Đôi nét về giải pháp Data Diode truyền dữ liệu một chiều an toàn

Ngày nay, công nghệ truyền tin tạo điều kiện thuận lợi cho việc trao đổi thông tin giữa các thiết bị và các mạng. Tuy nhiên, một thực tế chung trong kiến trúc mạng là phải thêm các hàng rào bảo vệ giữa các mạng tin cậy và mạng không tin cậy. Trong hướng dẫn của hệ thống điều khiển và tự động công nghiệp (Industrial Automation and Control System - IACS) của Mỹ đã đề xuất nhiều thiết bị hàng rào bảo vệ giữa một mạng điều khiển nhà máy điện và các hệ thống mạng không an toàn (như mạng của nhà máy và mạng internet (NIST, 2011)). Báo cáo của Bộ An ninh nội địa Mỹ (US Department Homeland Security – DHS) đã thống kê các mối đe dọa đến hệ thống điều khiển mạng công nghiệp (Industrial Control System - ICS), sắp xếp theo mức độ nguy cơ giảm dần, cụ thể: phần mềm có chứa mã độc (38%), hệ thống chưa cập nhật các bản vá lỗi (29%), các kết nối mở (17%), các vi phạm quy định (9%), cuối cùng là lộ lọt thông tin, khai thác mở cửa hậu. Tương ứng với các mối nguy cơ trên, DHS cũng đề xuất 7 chiến lược để bảo vệ Cơ sở hạ tầng công nghiệp quan trọng. Theo thống kê năm 2014 - 2015, những chiến lược này giúp ngăn cản sự tấn công vào hệ thống lên đến mức 98%. Một trong số những chiến lược đó là:

1. Ứng dụng được xác nhận (Application Whitelisting): lên danh sách các ứng dụng được phép cài đặt.

2. Lập chính sách cấu hình chuẩn và lịch cập nhật bản vá đã được xác thực.

3. Giảm tối đa phạm vi cần bảo vệ, như cô lập hệ thống ICS, khóa các dịch vụ/cổng không sử dụng; sử dụng Data Diode để phân chia các vùng mạng chức năng; với các mạng cần truyền dữ liệu hai chiều, sử dụng riêng từng cổng cho từng đường truyền/nhận dữ liệu.

4. Xây dựng một môi trường được bảo vệ: hạn chế các đường dẫn trực tiếp giữa các máy chủ; phòng ngừa và ngăn chặn sự lây nhiễm.

5. Đảm bảo việc truy cập từ xa an toàn: Tìm và xóa bỏ các ứng dụng truy cập cửa hậu và modem; chỉ cho phép giám sát được thực hiện bởi thiết bị phần cứng Data Diode chứ không dựa vào phần mềm với thiết lập cấu hình “chỉ đọc”; cấp quyền kết nối theo từng phiên với thiết lập thời gian, không cấp quyền kết nối vĩnh viễn.

Từ các phương án trên, cho thấy có 2 hướng tiếp cận trong việc thực hiện việc đảm bảo an toàn hệ thống IACS.

Thứ nhất, chiến lược dựa trên việc xây dựng chính sách tường minh nhằm đảm bảo an toàn hệ thống như: thống nhất các ứng dụng an toàn cài đặt trên hệ thống; phối hợp với nhà cung cấp hệ điều hành/phần mềm để yêu cầu các bản vá chính thức từ nhà sản xuất; khóa các cổng/dịch vụ không sử dụng trên hệ thống, kiểm soát/giám sát truy cập thiết bị, hạn chế kết nối từ xa liên tục.

Thứ hai, DHS đề xuất một thiết bị bảo mật theo hướng công nghệ mới, mang tên Data Diode. Đây là thiết bị bảo mật truyền dữ liệu một chiều vật lý, cung cấp phương án triển khai đảm bảo các yếu tố chất lượng dịch vụ, bảo mật, có khả năng triển khai rộng rãi và đã được chứng minh là đáng tin cậy và có thể mở rộng trong nhiều cơ quan chính phủ.

Bài toán đặt ra là các hệ thống mạng công nghiệp với dữ liệu nhạy cảm và quan trọng, cần được cô lập, nhưng vẫn có phải có chính sách phân quyền truy cập với người dùng được ủy quyền, dễ dẫn đến nguy cơ bị tấn công mạng. Giải pháp tốt nhất là ứng dụng công nghệ tân tiến, thiết bị bảo mật Data Diode chỉ cho phép luồng thông tin truyền 1 chiều, là bất khả xâm phạm với tấn công mạng.

Trong thực tế, Data Diode được ứng dụng phổ biến nhất là trong các hệ thống IACS, các trung tâm dữ liệu của ngân hàng và các hệ thống quân sự. Giải pháp này được triển khai theo 2 mô hình chính, để bảo toàn các thuộc tính cơ bản của một hệ thống. 

Hình 1. Mô hình hệ thống Hệ thống chỉ nhận dữ liệu - cấu hình bảo mật cao [1]

Hệ thống chỉ nhận dữ liệu - cấu hình bảo mật cao (Receive - Only - High-Confidentiality Configuration) bảo toàn tính bảo mật của hệ thống. Trong trạng thái cần được bảo vệ, hệ thống sẽ chỉ nhận dữ liệu từ các hệ thống khác, mà không hề có bất kỳ dữ liệu nào được truyền theo chiều ngược lại. Các cuộc tấn công hoặc khai thác lỗ hổng có thể được gửi tới mạng được bảo vệ. Tuy nhiên, không có bất cứ thông tin nào của mạng này có thể được gửi trả ra mạng bên ngoài.

Hệ thống chỉ phát - cấu hình tính khả dụng cao (Transmit - Only - High -Availability Configuration) bảo toàn tính khả dụng của hệ thống. Trong trạng thái cần được bảo vệ, hệ thống sẽ chỉ truyền dữ liệu tới các hệ thống khác, mà không tiếp nhận bất kì dữ liệu nào từ các hệ thống khác gửi tới.

(a)

(b)

Hình 2. Mô hình Hệ thống chỉ phát - cấu hình tính khả dụng cao [1, 2]

Vì đặc điểm này mà hệ thống chỉ phát - cấu hình khả dụng có khả năng: Hệ thống mạng được bảo vệ sẽ không thể bị dò quét từ xa, tấn công hoặc chiếm quyền điều khiển; có khả năng chống lại các cuộc tấn công từ chối dịch vụ.

(a)

(b)

Hình 3: Mô hình hệ thống bảo mật truyền dữ liệu sử dụng thiết bị truyền dữ liệu một chiều Data Diode.

So sánh Data Diode và tường lửa   

Tường lửa là một công nghệ bảo mật phổ biến lớp biên. Tường lửa hoạt động linh hoạt dựa vào các tập luật (Forrest, 2012). Do dựa trên nền tảng phần mềm, các tường lửa dễ tồn tại các lỗ hổng bảo mật như: lỗi cấu hình và bị lây nhiễm các phần mềm độc hại backdoor dẫn đến các mạng có nhiều khả năng bị đe dọa (Kamara, 2001). Data Diode là công nghệ bảo mật lớp biên đã được chứng minh là loại bỏ được hoàn toàn các nhược điểm từ công nghệ tường lửa (Westmacott, 2003). Tuy nhiên, công nghệ này vẫn chưa được ứng dụng rộng rãi. Data Diode hoạt động theo một nguyên tắc duy nhất đó là dữ liệu sẽ chỉ truyền theo một hướng giữa các mạng.

Hình 4: Các mức độ bảo vệ an toàn hệ thống của một số thiết bị bảo mật

Công ty Fox-IT chuyên cung cấp các giải pháp công nghệ sáng tạo để ngăn chặn, xử lý và giảm thiểu các vấn đề liên quan đến các mối đe dọa trên không gian mạng nguy hiểm nhất cho chính phủ, quốc phòng, các cơ sở hạ tầng then chốt, ngân hàng, khách hàng thương mại trên toàn thế giới. Công ty này đã đưa ra 5 lý do cần biết về công nghệ bảo mật một chiều của Data Diode [3, 4].

Thứ nhất, Data Diode đảm bảo sự phân tách bảo mật của các mạng. Sự phân tách mạng là một trong những cách hiệu quả nhất để bảo vệ mạng. Phương pháp này gây khó khăn lớn tin tặc để tiếp cận với các thành phần của mạng. Thông qua cách này, việc truy cập tới các thông tin nhạy cảm hoặc các hệ thống then chốt có thể bị giới hạn một cách hiệu quả. Các phương pháp để phân tách mạng bao gồm cách ly về mặt vật lý, các bộ lọc luồng lưu lượng, tạo các VLAN, sử dụng proxy và được biết đến rộng rãi nhất là tường lửa. Tất cả các phương pháp này có thể là một phần của kiến trúc mạng bảo mật. Nhưng trong số các phương pháp trên, không có phương pháp nào có thể cung cấp sự chắc chắn một cách tuyệt đối rằng mạng không thể bị tấn công và dữ liệu sẽ chỉ truyền theo một chiều. Data Diode là giải pháp bảo mật duy nhất mà có thể đảm bảo rằng dữ diệu được truyền theo một chiều. Thiết bị Data Diode về vật lý là đơn giản và chỉ bao gồm các cổng cáp quang và kết nối nguồn. Đường truyền vật lý cho tín hiệu quang và các tín hiệu điện (tạo nên dữ liệu) chỉ cho phép để truyền theo một chiều. Data Diode không chứa bất kỳ phần mềm hay các cổng logic nào khác, do đó khả năng lỗi cấu hình hoặc bị tấn công là không thể xảy ra. 

Thứ hai, Data Diode có chi phí thấp hơn và giảm độ phức tạp hơn so với tường lửa và các giải pháp phần mềm khác. Bên cạnh đó, Data Diode có chi phí duy trì thấp. Thiết bị Data Diode về mặt vật lý không cần phải được cập nhật. Cấu hình của Diode là đơn giản, không yêu cầu người có chuyên môn để duy trì. Việc sử dụng Data Diode sẽ giảm tính phức tạp của mạng. Không quan trọng việc tồn tại lỗi cấu hình, quản trị viên có thể chắc chắn một cách tuyệt đối rằng dữ liệu chỉ có thể truyền theo đúng một chiều.

Thứ ba, Data Diode cho phép truyền dữ liệu thời gian thực trong các môi trường bảo mật cao. Giải pháp phân tách mạng trong các môi trường có tính bảo mật cao (ví dụ các nhà máy điện hạt nhân hoặc các cơ quan cần tính bảo mật cao) đã triển khai từ lâu đó là cô lập mạng về mặt vật lý. Giải pháp này hiện không còn khả thi nữa. Hiện nay, lượng dữ liệu ngày càng gia tăng. Điều này yêu cầu cần có khả năng xử lý và phản ứng với dữ liệu nhanh nhất có thể. Từ những xu hướng này, không có khả năng để truyền dữ liệu từ mạng này sang mạng khác sử dụng CD hoặc USB. Hiện nay, các môi trường quan trọng này có thể truyền an toàn một lượng lớn dữ liệu trực tiếp ở tốc độ cao thông qua một Data Diode.

Thứ tư, Data Diode có khả năng ngăn chặn các thiệt hại về mặt vật lý. Trong các mạng công nghiệp, các hệ thống số được kết nối tới các xử lý vật lý. Đây cũng được gọi là các hệ thống mạng vật lý. Khi các hệ thống này được kết nối tới các mạng không bảo mật (mạng Internet), điều này sẽ tạo điều kiện cho tin tặc chiếm quyền điều khiển dẫn đến việc dò rỉ dữ liệu. Bằng cách sử dụng Data Diode, dữ liệu có thể được chia sẻ từ mạng công nghiệp tới mạng văn phòng mà không cần lo ngại vấn đề tin tặc sẽ xâm nhập vào hệ thống mạng vật lý.

Thứ năm, đề xuất các quy định nội bộ hoặc buộc phải thực hiện Data Diode. Một số quốc gia đã đề xuất hoặc thậm chí bắt buộc các tổ chức cụ thể (chủ yếu là các tổ chức trong chính phủ hoặc các ngành cơ sở hạ tầng quan trọng) để thực hiện Data Diode trong mạng của họ.

Trên đây là đôi nét về giải pháp Data Diode truyền dữ liệu một chiều an toàn và đánh giá sự khác biệt của Data Diode và thiết bị bảo mật tường lửa. Phần tiếp theo của bài báo giới thiệu về việc ứng dụng Data Diode trong quân đội một số nước và tại Việt Nam.