在可信环境与不可信环境之间安全地传输数据面临着重大挑战,尤其是在中转网络不可信的情况下。跨域文件传输架构通过结合单向数据流、加密签名和相互认证的传输机制,可在不同环境之间安全地传输数据。该设计假设中转网络具有敌意并消除双向通信,从而提供了一种稳健且可审计的方法,以维护数据的完整性、真实性及系统隔离性。
重新审视跨域数据传输中的信任问题
跨域数据传输系统必须在数据共享的运营需求与防止未经授权访问、数据泄露以及命令与控制通道的安全控制措施之间取得平衡。由于攻击者可能会监视或破坏传输网络,因此安全防护不能仅依赖传统的基于网络的保护措施。
本文介绍的架构设计基于以下假设:传输网络不可信且可能遭到破坏,因此通过物理隔离和加密验证来保障安全性。
假设、威胁模型与架构
假设
- 该中转网络不可信,且可能具有主动攻击性
- 攻击者可能会拦截、篡改、重放、延迟或注入流量
- 不允许受信任域与不受信任域之间进行双向通信
- 信任仅限于指定的加密密钥和验证逻辑
需应对的威胁
- 中间人攻击
- 数据篡改和伪造
- 重放攻击
- 远程命令执行
- 隐蔽的反馈渠道
架构概述
该架构由三个安全区域组成,系统在任何情况下都不允许跨安全边界建立双向连接:
- 受信任区域(用于签名)
- 不可信的中转网络
- 不受信任区域验证域
这种基于二极管的架构是如何工作的
“受信任区域”作为签名域
所有数据均源自可信签名区。在发布之前,系统会根据政策对文件进行验证,并使用数据二极管上的受保护私钥对文件进行数字签名。该签名提供了关于数据来源和完整性的加密证明。一旦签名完成,从信任角度来看,文件即成为不可变的,后续的任何修改都将在下游被检测到。
该区域不具备入站网络连接,签名操作受到严格限制,且私钥通过硬件支持的存储进行保护。此外,还可在签名前对内容进行检查或净化,以确保仅发布经批准的数据。
利用数据二极管实现物理隔离
输出二极管元件
第一个数据二极管组件强制实现从受信任环境向外的单向数据流。它从物理上阻止任何数据、信令或协议反馈返回源域。
输入二极管元件
第二个数据二极管组件强制实现向不可信域的单向数据流入。这既能防止不可信网络与内部系统建立双向连接,又能通过强制实施固定的信息流来简化安全认证流程。
在不可信网络中Secure
在二极管两端之间,数据会经过一个不可信的网络。传输通信通过双向 TLS(mTLS)进行保护,以验证端点身份并加密传输中的数据。
mTLS 被明确视为一种深度防御控制措施,而非信任锚点。它能降低遭遇冒充和被动拦截的风险,但不能依赖其来确保数据的完整性或真实性。
不受信任的验证域
在不受信任的域中,接收到的文件需经过加密验证。二极管在接受数据之前,会验证数字签名、证书链和策略约束。验证失败的数据将被拒绝并记录在案。
该域中的信任仅限于经过批准的公钥或证书,以及验证逻辑和策略执行。因此,不会对网络层或传输层给予任何信任。
安全保障与成果
该架构提供了强有力的安全保障。即使传输网络遭到完全破坏,攻击者也无法伪造受信任的数据或影响受信任的系统。主要的安全保障包括:
- 通过物理手段强制实现的单向数据流
- 与传输无关的加密完整性和真实性
- 消除交互式攻击面
- 对截获、重放和篡改的抗干扰能力
- 职责和审计范围的明确划分
专为实现Secure 数据传输而设计的解决方案
通过结合数据二极管(如 MetaDefender Diode™)、 数字签名和分层传输安全技术,该架构可在无需依赖网络信任的情况下实现安全的跨域文件传输。该设计非常适合可信环境、关键基础设施以及受监管的系统,这些场景需要强有力的保障、最低限度的信任假设以及可审计的控制措施。
如需进一步了解 OPSWAT 如何OPSWAT 实施该架构,请立即咨询专家。
