数据二极管只许可数据单向勾当,有用地掩护����发送装备免受内部进犯。与峻厉的交通差人一样,数据二极管加强了数据在搜集合传输的单向路由,确保二极管面前的物联网装备不会遭到歹������意传入流量的侵害。
简略而文雅的处������置打算,数据二极管为物联网 (IoT) 情况供给基于硬件的宁静性。跟着毗连装备数目的增添和搜集扩大到更普遍和更偏僻的地域,这些情况变得加倍懦弱。对物联网根本举措措施的任何办理员来讲,宁静是现今最关怀的题目——这是���有充实来由的。
“物联网装备此刻占察看到的受传染装备的 32.72%,”诺基亚在其“2020 年要挟谍报报告”中指出,该报告按照公司宁静软件搜集的数据记实了搜集合的歹意软件勾当。“与 2019 年�������比拟,物联网装备在全体装备细分中所占的份额从之前的 16.17% 增添了 100%。” 对物联网终真个要挟如斯严峻,以致于诺基亚得出论断:“搜集犯法份子正将注重力集合在物联网和挪动装备上。”
“跟着物联网装备数������目不时增添,关头�������根本举措措施的数字化水平不时进步,这进步了搜集宁静的规范,”西门子挪动的毗连和物联网环球产物司理安德烈斯·吉拉特 (Andres Guilarte) 在答复 IoT World Today 的电子邮件题目时写道。
数据二极管若何掩护搜集
按照 Dictionary�������.com 的说法,二极管是“一种器件,如二元电子管或半导体,电流只能在一个标的������目的上自在经由进程”。
数据二极管将此手艺利用于搜集根本举措措施,以许可数据在一个标的目的上�����勾当并禁止数据在其轨道上的另外一个������死角中传布。固然自几十年前推出以来,它们的庞杂水平和功效都在不时进步,但数据二极管实质上依然是供给绝对简略办事的单一用处装备。
数据�������二极管的使命体例与其余基于硬件的搜集流量节制器近似。比方,经由进程转变电缆毗连(比方从 RS-232 毗连器上取下针脚以避免数据在一个标的目的上勾当)已������完成了近似的结果。能够或许或许或许必定的是,这是一种蛮力处置打算,并且缺少二极管功效,比方对搜集操纵相当首要的和谈认识。
另有一些搜集网关能够或许或许或许限定或消弭经由进程搜集的某些数据流,但它们常常具备与防火墙手艺近似的庞杂性、硬件请求和更新题目。451 Research 物联网研讨阐发师 Johan Vermij 说:“二极管的一个益处是你不须要修补它们,是以它们比�������防火墙更合适远间隔站点。”
“这是一种基于硬件物������理的单向传输,”二极管制作商 Owl Cyber Defense 的首席立异官 Brian Romansky 说。“你不能奥秘或不测地翻开一个你健忘的向后端口。������”
按照 Romansky 的说法,数据二极管能够或许或许或许追溯到暗斗时期����。“数据二极管�����的观点来自一些现实上是国防部打算的使命,现实上能够或许或许或许追溯到美国和俄罗斯签订核服役和谈的时辰,”他指出。两边须要同享数据以确保遵照和谈。“我若何与我最不信赖的仇敌分享我最奥秘的数据集合的数据?我若何使这类毗连使命而不是一个很是手动、有趣的进程?是以,数据二极管的发现便是为了做到这一点。”
鉴于他们的国防和谍报血缘,数据二极管出此刻河山宁静部的倡议中也就缺乏为奇了。“若是单向通信能够或�������许或许或许完成一项使命,请利用光分手(“数据二极管”),”该局部在其“进攻 ICS 的七种战略”���出书物中倡议。
数据二极管在宁静场景中的位置
胜利的物联网宁静战略能够或许或许或许须要利用软件和硬件宁静产物的多层体例。典范的物联网情况包含用于搜集和阐发数据的智能装备和非智能装备。智�����能装备能够或许或许或许具备更多固有缝隙,但它们也具备运转庞�����杂宁静软件的计较才能。智能水平较低的端点装备很少有处置才能来完成分派给他们的使命之外的任何任务。
加密和防火墙是物联网宁静场景中的规范设置装备������摆设,但它们也能够或许或许或许在某些范畴达不到请求,从而留下潜伏的缝隙。加密的����数据流量越多越好,但加密息争密数据能够或许或许或许会给搜集带来提早,并致使须要及时呼应来自传感器和其余端点装备的数据的体系呈现题目。
防火墙是 IT 搜集宁静的首要构成局部,也在会商中据有凸起位置。防火墙能够或许或许或许有用地避免入侵并节制搜集合数据挪动的流量和标的目的。防火墙的毛病谬误是它们须要公用办事器,须要办理和监控,并常常修补和更新。对须要同时运转多个防火墙的庞杂搜集来讲,这能够或许或许或许成�����为一项沉重的使命。
“斟酌到不时增添�������的毗连性和疾速增添的搜集进犯,防火墙不再是独一的搜集宁静选项,”西门子的 Guilarte 指出。
新兴的物联网宁静手艺范畴触及利用基于硬件的宁静装备。偶然称为硬件宁静����模块(或 HSM),该类别包含宁静公用装备(如数据二极管)和已利用供给宁静功效的芯片加强的端点装备。
对数据二极管的关头现实
固然数据二极管已找到了进入各类情况和操纵的体例,但它们最常被援用的完成是将报告与数据搜集断绝开来。“咱们看到的最罕见的用例������现实上是汗青数据复制,”Romansky 说。“您能够或许或许或许从该体系中获得报告和信息�����,同时保障不要挟进入。”
可是,此刻,二极管以更多体例用于加强物联网宁静性。二�����极管能够或许或许或许赞助掩护的一些关头利用包含:
备份和灾害规复存储库
复制数据库和其余利用法式数据
收支长途传感器和其余举措措施的流量
潜伏实行者能够或许或许或许担忧的一个题目是领受装备是不是能够或许或许或许确认已收到数据。
451 的 Vermij 指出:“若是发送搜集没法考证从其余搜集领遭到的数据,单向数据传输根基上是一种盲传输。������” 不它,发送体系就没法确认他们的数据已被领受。“这能够或许或许或许会致使重传,从而耗损额定的带宽。” 维尔米补充道。
可是古代数据二极管比之前的简略单向开关智能很多。凭仗对某些通信和谈的内涵懂得,二������极管能够或许或许或许在不裸露数据的情况下供给须要简直认。
“不管甚么时候您测验考试成立 TCP 会话,您都须要前往确�����认——它是基于会话的,”Romansky 说。他指出,Owl 的二极管内置了代办署理办事器来处置确认题目。“当您毗连到数据二极管时,您现实上是在毗连到在二极管上运转的利用法式,并且您正在毗连到咱们开辟的�������利用法式,该利用法式晓得您测验考试发送的和谈进来。”
另外一个斟酌身分能够或许或许或许是数据二极管若安在现有宁静体系的情况中使命,首要是宁����静体系若何能够或许或许或许监控数据二极管前面的装备。数据二极管的准确安排将确保宁静利用法式获得他们须要的工具。Romansky 说:“若是您有 SOC 或 NOC,您能够或许或许或许经由进程二极管通报监控数据,并将其传递到搜集阐发的 SOC 或 NOC。”
西门子的 Guilarte 指出,数据�������二极管不太能够或许或许或许搅扰现有的宁静体系,但它乃至能够或许或许或许使它们变得更好。“它不轻易遭到软件变动或办理不善的影响,”Guilarte ��������写道,“默许情况下它是宁静的,并且不毛病设置装备摆设或软件缝隙能够或许或许或许使其不宁静。”
数据二极管买家清单
数据二极管的本钱凡是为几千美圆,跟着增加更庞杂的功效,价钱会上涨。这与防火墙的�����本钱是一致的,但二极�������管的利用寿命远远跨越其余搜集产物。
“有些已运转了 20 年而无需保护,”Vermij 指出。
Guilarte 指出�������,对某些物联网情况来讲,这类靠得住性能够或许或许或许是一个大题目。“鉴于数据二极管用于高度宁静/敏感的体系,长性命周期撑持是必须的,以婚配此类体系的长性命周期,”他写道。
采办数据二极管时须要注重�������的其余一些特征包含吞吐量才能和和谈�������撑持,这二者都将取决于以后和打算的搜集架构。
宁静评级也能够或许或许����或许是一个身分。很多二极管利用 EAL1 到 EAL7 的评价保障品级量表停止评级。EAL7 是最高品级,表现产物已过正式的设想考证和测试。其余规范也能够或许或许或许阐扬感化。Guilart�������e 还应斟酌“按照 IEC 62443 等国际公认规范对开辟、制作和撑持停止自力的宁静评价”。
基于硬件的物联网宁静的将来
与数据二极管一样有用,它们能够或许或许或许会遭到愈来愈多撑持数千或������数十万端点的普遍物联网搜集的挑衅。因为这类范围和搜集庞杂性,有用的宁静性必须加倍本地化。
Vermij 说:“搜集宁静变得不能够或许或许或许,以是咱们必须将宁静带到边缘,装��������������备自身。” “完整的气隙不再适用了。”
数据二极管制作商大白传统的二极管操纵能够或许或许或许不够,并且正在将他们的手艺移植到能够或许或许或许间接集成到端点装备中的芯片巨细的平台。“一旦您能够或许或许或许在现场可编程门阵列中停止这类查抄,您此刻便������能够或许或许或许光鲜明显下降数据包处置处置打算的尺寸、分量、功率和本钱。以是此刻你能够或许或许或许起头斟酌我还能把它放在那里�������?”
