在可信與不可信環境之間安全地傳輸資料面臨著重大挑戰,特別是在中繼網路不可信的情況下。跨域檔案傳輸架構透過結合單向資料流、加密簽名以及相互驗證的傳輸機制,能夠在不同環境之間安全地傳輸資料。此設計假設中繼網路具有敵意,並消除雙向通訊,從而提供了一種強健且可稽核的方法,以維持資料的完整性、真實性及系統隔離性。
重新思考跨域資料傳輸中的信任問題
跨網域資料傳輸系統必須在「分享資料以滿足營運需求」與「實施安全控制措施以防止未經授權的存取、資料外洩及指揮與控制通道」之間取得平衡。由於攻擊者可能監控或入侵傳輸網路,因此安全防護不能僅依賴傳統的網路型防護措施。
此處介紹的架構是基於「傳輸網路不可信且可能遭到入侵」的假設而設計,並透過實體隔離與加密驗證來確保安全性。
假設、威脅模型與架構
假設
- 該中繼網路不可信,且可能具有積極的敵意
- 攻擊者可能會攔截、篡改、重放、延遲或注入流量
- 不允許受信任域與不受信任域之間進行雙向通訊
- 信任範圍僅限於指定的加密金鑰與驗證邏輯
需處理的威脅
- 中間人攻擊
- 資料篡改與偽造
- 重放攻擊
- 遠端指令執行
- 隱蔽的回饋管道
架構概述
該架構由三個安全區域組成,系統在任何情況下都不允許跨安全邊界的雙向連通:
- 受信任區域(用於簽署)
- 不可信的中繼網路
- 不受信任區域驗證網域
這種基於二極體的架構如何運作
「受信任區域」作為簽署網域
所有資料均源自可信的簽署區域。在釋出前,系統會依據政策對檔案進行驗證,並透過資料二極體上的受保護私鑰進行數位簽署。該簽名可提供來源與完整性的加密證明。一旦完成簽署,從信任角度來看,檔案即為不可變更,且任何後續的修改都將在下游被偵測到。
此區域不具備外連網路連通性,簽名操作受到嚴格限制,且私鑰透過硬體支援的儲存裝置加以保護。此外,亦可在簽名前進行內容檢查或淨化,以確保僅釋出經核准的資料。
利用資料二極體進行物理強制執行
輸出二極體元件
第一個資料二極體元件強制實現從受信任環境單向輸出的資料流。它能從物理層面防止任何資料、訊號或協定回傳至來源域。
輸入二極體元件
第二個資料二極體元件強制實施單向資料流入至不受信任的域。此舉可防止不受信任的網路與內部系統建立雙向連線,並透過強制實施固定的資訊流動,簡化安全認證流程。
在不可信網路中實現Secure
在二極體的兩端之間,資料會經過一個不可信的網路。傳輸通訊透過相互 TLS(mTLS)進行保護,藉此驗證端點並對傳輸中的資料進行加密。
mTLS 被明確視為一種「深度防禦」控制措施,而非信任錨點。它能降低遭冒充及被動攔截的風險,但並不能作為確保資料完整性或真實性的依據。
不可信驗證域
在不可信域中,接收到的檔案會經過加密驗證。該驗證模組會在接受資料之前,先驗證數位簽章、憑證鏈及政策限制。驗證失敗的資料將被拒絕並記錄在案。
此領域的信任範圍僅限於經核准的公鑰或憑證,以及驗證邏輯與政策執行。因此,不會對網路層或傳輸層給予任何信任。
安全保證與成果
此架構提供了強大的安全性保證。即使中繼網路遭到完全入侵,攻擊者仍無法偽造受信任的資料,亦無法影響受信任的系統。主要的安全性保證包括:
- 透過硬體強制實施的單向資料流
- 與傳輸層無關的加密完整性與真實性
- 消除互動式攻擊面
- 對攔截、重播及竄改的抗干擾能力
- 職責與審計範圍的明確區分
專為實現Secure 資料傳輸而設計的解決方案
透過結合資料二極體(例如 MetaDefender Diode™)、 數位簽章及分層傳輸安全機制,此架構能在無需依賴網路信任的前提下,實現安全的跨網域檔案傳輸。此設計非常適合需具備高度保障、最低信任假設及可稽核控制措施的可信環境、關鍵基礎設施及受監管系統。
若想進一步了解 OPSWAT 如何OPSWAT 建置此架構,請立即聯絡專家。
