データダイオードを介したログ、アラート、およびテレメトリの送信

詳細はこちら
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。
ホーム/ ブログ / 信頼できない環境間でのSecure 転送…
クリティカル・ネットワーク・セキュリティ

データダイオード、デジタル署名、およびmTLSを用いた、信頼できないネットワークを介したSecure 転送

著者: サル・モルランド、プロダクト担当シニアディレクター
この記事を共有する

信頼できる環境と信頼できない環境の間でデータを安全に転送することは、特に中継ネットワークが信頼できない場合、大きな課題となります。クロスドメインファイル転送アーキテクチャは、一方向のデータフロー、暗号署名、および相互認証された転送を組み合わせることで、環境間でデータを安全に転送することができます。この設計では、中継ネットワークが敵対的であると想定し、双方向通信を排除することで、データの完全性、真正性、およびシステムの隔離を維持するための、堅牢かつ監査可能なアプローチを提供します。

ドメイン間データ転送における信頼の再考

ドメイン間データ転送システムでは、データを共有するという運用上の必要性と、不正アクセス、データ漏洩、およびコマンド&コントロール経路を防止するセキュリティ対策とのバランスをとらなければならない。攻撃者が転送ネットワークを監視したり、侵害したりする可能性があるため、セキュリティ対策は従来のネットワークベースの保護手段のみに依存することはできない。

ここで紹介するアーキテクチャは、交通ネットワークが信頼できず、侵害される可能性があるという前提に基づいて設計されており、物理的な隔離と暗号による検証を通じてセキュリティが確保されています。

前提条件、脅威モデル、およびアーキテクチャ

前提条件

  • 公共交通網は信頼できず、積極的に敵対的な行動をとる可能性がある
  • 攻撃者は、トラフィックを傍受、改ざん、再送信、遅延、または注入する可能性がある
  • 信頼済みドメインと信頼されていないドメイン間の双方向通信は一切許可されません
  • 信頼は、指定された暗号鍵および検証ロジックに限定される

対処すべき脅威

  • 中間者攻撃
  • データの改ざんと偽造
  • リプレイ攻撃
  • リモートコマンドの実行
  • 隠れたフィードバック経路

アーキテクチャの概要

このアーキテクチャは 3 つのセキュリティゾーンで構成されており、システムはどの時点においても、セキュリティ境界をまたぐ双方向の接続を許可しません。

  1. 信頼ゾーン(署名用)
  2. 信頼できないトランジットネットワーク
  3. 信頼できないゾーンの検証ドメイン

このダイオードベースのアーキテクチャの仕組み

署名ドメインとしての「Trusted Zone」

すべてのデータは、信頼できる署名ゾーンから生成されます。公開に先立ち、ファイルはポリシーに従って検証され、データダイオード上の保護された秘密鍵を使用してデジタル署名されます。この署名により、出所と完全性に関する暗号学的証明が確立されます。一度署名されると、ファイルは信頼性の観点から不変となり、その後のいかなる変更も下流で検出されます。

このゾーンには外部ネットワークへの接続がなく、署名操作は厳格に制限されており、秘密鍵はハードウェアベースのストレージによって保護されています。また、承認されたデータのみが公開されるよう、署名前にコンテンツの検査やサニタイズを行うことも可能です。

データダイオードを用いた物理的強制措置

アウトバウンド・ダイオード部品

最初のデータダイオードコンポーネントは、信頼できる環境からの一方向のデータフローを強制します。これにより、データ、シグナリング、またはプロトコルのフィードバックが送信元ドメインに戻ることを物理的に防止します。

受電用ダイオード部品

2つ目のデータダイオードコンポーネントは、信頼できないドメインへの一方向の流入を強制します。これにより、信頼できないネットワークが内部システムと双方向の接続を確立することを防ぎ、情報の流れを固定化することで、セキュリティ認定の手続きを簡素化します。

信頼できないネットワークを介したSecure

ダイオードの両端の間では、データは信頼できないネットワークを経由して送信されます。トランスポート通信は、相互TLS(mTLS)を使用して保護され、エンドポイントの認証と転送中のデータの暗号化が行われます。

mTLSは、信頼の基盤ではなく、多層防御の手段として明確に扱われます。これは、なりすましや受動的な傍受に対するリスクを軽減しますが、データの完全性や真正性を保証する手段としては依存されません。

信頼できない検証ドメイン

信頼できないドメインでは、受信したファイルに対して暗号による検証が行われます。ダイオードは、データを受け入れる前に、デジタル署名、証明書チェーン、およびポリシー上の制約を検証します。検証に失敗したデータは拒否され、ログに記録されます。

このドメインにおける信頼は、承認された公開鍵または証明書、ならびに検証ロジックおよびポリシーの適用に限定されます。その結果、ネットワーク層やトランスポート層に対しては一切信頼が置かれません。

セキュリティ保証と成果

このアーキテクチャは、強力なセキュリティ保証を提供します。たとえトランジットネットワークが完全に侵害されたとしても、攻撃者は信頼されたデータを偽造したり、信頼されたシステムに影響を及ぼしたりすることはできません。主なセキュリティ保証には、以下のものが含まれます:

  • 物理的に強制された一方向のデータフロー
  • 転送方式に依存しない暗号的完全性および真正性
  • インタラクティブな攻撃対象領域の排除
  • 傍受、再送信、改ざんに対する耐性
  • 職務と監査範囲の明確な区分

Secure データ転送を実現するための専用ソリューション

MetaDefender Diode™ などの データダイオードデジタル署名、および多層的な転送セキュリティを組み合わせることで、このアーキテクチャは、ネットワーク上の信頼関係に依存することなく、安全なドメイン間ファイル転送を実現します。この設計は、強力な保証、最小限の信頼前提、および監査可能な制御が求められる、信頼性の高い環境、重要インフラ、および規制対象のシステムに最適です。

OPSWAT がこのアーキテクチャの導入をOPSWAT について詳しく知りたい方は、今すぐ専門家にご相談ください。

お問い合わせ
タグ

最新の投稿

OPSWAT ニュースレター

OPSWAT 最新情報を、イベント情報とともにお届けします。 業界を牽引するニュースをお届けします。
サインアップする

ソーシャルメディアでフォローする

LinkedIn、Facebook、Twitter、YouTubeでOPSWATのフォローを !

OPSWATで最新情報をお届けします!

今すぐご登録ください、 ストーリー、イベント情報などをお届けします。
購読する