إرسال السجلات والتنبيهات وبيانات القياس عن بُعد عبر صمام ثنائي البيانات

اكتشف كيف
نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
الصفحة الرئيسية/ المدونة / عمليات نقل Secure في بيئات غير موثوقة…
أمن الشبكات الأساسية

عمليات نقل Secure عبر Secure على الشبكات غير الموثوق بها باستخدام «ديودات البيانات» والتوقيعات الرقمية وprotokol mTLS

بقلم سال مورلاندو، المدير الأول لقسم المنتجات
شارك هذا المنشور

يُشكل النقل الآمن للبيانات بين البيئات الموثوق بها وغير الموثوق بها تحديات كبيرة، لا سيما عندما لا يمكن الوثوق بشبكة النقل. ويمكن لبنية نقل الملفات عبر المجالات أن تنقل البيانات بأمان بين البيئات من خلال الجمع بين تدفق البيانات أحادي الاتجاه، والتوقيع التشفيري، والنقل المصادق عليه بشكل متبادل. ومن خلال افتراض وجود شبكة نقل معادية والتخلص من الاتصال ثنائي الاتجاه، يوفر هذا التصميم نهجًا قويًّا وقابلًا للتدقيق للحفاظ على سلامة البيانات وأصالتها وعزل النظام.

إعادة النظر في مسألة الثقة في عمليات نقل البيانات عبر المجالات المختلفة

يجب أن تحقق أنظمة نقل البيانات عبر المجالات التوازن بين الحاجة التشغيلية لمشاركة البيانات والضوابط الأمنية التي تمنع الوصول غير المصرح به، وتسرب البيانات، ومسارات القيادة والتحكم. ونظرًا لأن المهاجمين قد يراقبون شبكة النقل أو يخترقونها، فلا يمكن أن تعتمد الإجراءات الأمنية حصريًّا على وسائل الحماية التقليدية القائمة على الشبكة.

تم تصميم البنية المعروضة هنا انطلاقًا من افتراض أن شبكة النقل غير موثوق بها وقد تكون معرضة للاختراق، ويتم فرض الأمان من خلال العزل المادي والتحقق التشفيري.

الافتراضات، ونموذج التهديدات، والبنية

الافتراضات

  • شبكة النقل غير موثوقة وقد تكون معادية بشكل فعلي
  • قد يقوم المهاجمون باعتراض حركة المرور أو تعديلها أو إعادة إرسالها أو تأخيرها أو إدخال بيانات فيها
  • لا يُسمح بأي اتصال ثنائي الاتجاه بين المجالات الموثوقة وغير الموثوقة
  • تقتصر الثقة على مفاتيح التشفير المحددة ومنطق التحقق

التهديدات التي يجب معالجتها

  • هجمات الرجل في الوسط
  • التلاعب بالبيانات والتزوير
  • هجمات إعادة التشغيل
  • تنفيذ الأوامر عن بُعد
  • قنوات التغذية الراجعة السرية

نظرة عامة على البنية

تتألف البنية من ثلاث مناطق أمنية، ولا يسمح النظام في أي مرحلة من المراحل بالاتصال ثنائي الاتجاه عبر الحدود الأمنية:

  1. المنطقة الموثوقة (للتوقيع)
  2. شبكة نقل غير موثوق بها
  3. نطاق التحقق من المنطقة غير الموثوق بها

كيف تعمل هذه البنية القائمة على الثنائيات

«المنطقة الموثوقة» باعتبارها مجال التوقيع

تنبع جميع البيانات من منطقة توقيع موثوقة. وقبل إصدار الملفات، يتم التحقق من صحتها وفقًا للسياسة المعمول بها، ثم يتم توقيعها رقميًّا باستخدام مفتاح خاص محمي على «ديود البيانات». ويُشكّل التوقيع دليلاً تشفيرياً على المنشأ والسلامة. وبمجرد توقيع الملفات، تصبح غير قابلة للتعديل من منظور الثقة، وسيتم الكشف عن أي تعديل لاحق في المراحل اللاحقة.

لا تتوفر في هذه المنطقة أي اتصال شبكي وارد، كما أن عمليات التوقيع تخضع لقيود صارمة، ويتم حماية المفاتيح الخاصة باستخدام وسائط تخزين مدعومة بالأجهزة. ويمكن أيضًا إجراء فحص المحتوى أو تنقيته قبل التوقيع لضمان عدم الإفصاح إلا عن البيانات المعتمدة.

التنفيذ المادي باستخدام الثنائيات البياناتية

مكون الصمام الثنائي الخارجي

يفرض مكون الصمام الثنائي الأول للبيانات تدفقًا أحادي الاتجاه خارج البيئة الموثوقة. وهو يمنع فعليًّا أي بيانات أو إشارات أو ردود بروتوكولية من العودة إلى المجال المصدر.

مكون الصمام الثنائي الوارد

يضمن مكون الصمام الثنائي للبيانات الثاني الدخول في اتجاه واحد إلى المجال غير الموثوق به. وهذا يمنع الشبكات غير الموثوق بها من إقامة علاقات ثنائية الاتجاه مع الأنظمة الداخلية، ويبسط عملية الاعتماد الأمني من خلال فرض تدفق ثابت للمعلومات.

Secure عبر الشبكة غير الموثوق بها

تنتقل البيانات عبر شبكة غير موثوق بها بين نقطتي طرفي الصمام الثنائي. ويتم حماية اتصالات النقل باستخدام بروتوكول TLS المتبادل (mTLS) لمصادقة نقاط الطرف وتشفير البيانات أثناء نقلها.

يُعامل نظام mTLS بشكل صريح ك إجراء من إجراءات «الدفاع المتعدد المستويات»، وليس كمرجع موثوق. فهو يقلل من التعرض لانتحال الهوية والاعتراض السلبي، ولكن لا يُعتمد عليه لضمان سلامة البيانات أو صحتها.

مجال التحقق غير الموثوق به

في المجال غير الموثوق به، تخضع الملفات المستلمة لعملية التحقق التشفيري. يقوم «الديود» بالتحقق من صحة التوقيعات الرقمية وسلاسل الشهادات وقيود السياسة قبل قبول البيانات. أما عمليات التحقق التي تفشل، فيتم رفضها وتسجيلها.

تقتصر الثقة في هذا المجال على المفاتيح العامة أو الشهادات المعتمدة، بالإضافة إلى آليات التحقق وتطبيق السياسات. ونتيجة لذلك، لا تُمنح أي ثقة لطبقة الشبكة أو طبقة النقل.

الضمانات الأمنية والنتائج

توفر هذه البنية ضمانات أمنية قوية. فحتى في حالة تعرض شبكة الترحيل للاختراق الكامل، لا يمكن للمهاجمين تزوير البيانات الموثوقة أو التأثير على الأنظمة الموثوقة. وتشمل الضمانات الأمنية الرئيسية ما يلي:

  • تدفق البيانات أحادي الاتجاه المفروض ماديًا
  • سلامة التشفير وأصالته بغض النظر عن وسيلة النقل
  • القضاء على نقاط الضعف التفاعلية
  • القدرة على مقاومة الاعتراض وإعادة التشغيل والتعديل
  • الفصل الواضح بين المهام وحدود التدقيق

حلول مصممة خصيصًا حلول كين نقل البيانات Secure

من خلال الجمع بين الثنائيات الضوئية، مثل MetaDefender Diode™، والتوقيعات الرقمية، وأمن النقل متعدد الطبقات، تتيح هذه البنية نقل الملفات بشكل آمن عبر المجالات المختلفة دون الاعتماد على الثقة الشبكية. ويُعد هذا التصميم مناسبًا تمامًا للبيئات الموثوقة، والبنية التحتية الحيوية، والأنظمة الخاضعة للتنظيم التي تتطلب ضمانات قوية، وافتراضات ثقة محدودة، وضوابط قابلة للتدقيق.

لمعرفة المزيد عن الكيفية التي يمكن أنOPSWAT بها OPSWAT في تنفيذ هذه البنية، تواصل مع أحد الخبراء اليوم.

تحدث إلى خبير
العلامات:

آخر المقالات

اشترك في التثبيتة الإخبارية OPSWAT

احصل على آخر تحديثات شركة OPSWAT إلى جانب معلومات عن الفعاليات و الأخبار التي تدفع الصناعة إلى الأمام.
سجّلني

تابعنا على مواقع التواصل الاجتماعي Media

اتبع OPSWAT على لينكد إن وفيسبوك وتويتر ويوتيوب للمزيد!

ابق على اطلاع دائم OPSWAT!

اشترك اليوم لتلقي آخر تحديثات الشركة, والقصص ومعلومات عن الفعاليات والمزيد.
اشترك