ComSource ve své laboratoři otestoval nasazení datových diod pro ochranu mezi IT a OT světem

Testování v laboratoři ComSource ověřilo funkčnost klíčových příkladů využití zahrnujících přenos souborů, logování, průmyslové protokoly i bezpečný přenos dat z externích médií.

„Datové diody jsou dnes pro organizace spravující kritickou infrastrukturu prakticky nepostradatelné. Umožňují řízenou komunikaci i tam, kde jsou sítě provozovány jako zcela fyzicky oddělené a nepropojené – a právě to je u průmyslových prostředí zásadní. Tradiční firewally totiž fyzické oddělení sítí nezajistí a jejich komplexnost přináší riziko lidských chyb. Proto jsme v naší laboratoři datové diody OPSWAT důkladně otestovali, abychom zákazníkům mohli nabídnout ověřené a funkční řešení," uvedl Jaroslav Cihelka, spolumajitel společnosti ComSource a expert na kybernetickou bezpečnost.

Portfolio datových diod OPSWAT pokrývá celé spektrum potřeb. Nabízí jednoduché optické diody s přenosem pouze jedním směrem, jednosměrné i obousměrné bezpečnostní brány propojené speciálním kabelem – vhodné například pro replikace databází mezi oddělenými prostředími – i pokročilý Transfer Guard s funkcemi multiscanningu a sanitizace přenášených souborů. Diody podporují jak standardní přenos souborů a zpráv logovacích mechanismů, tak průmyslové protokoly typické pro OT prostředí, jako jsou Modbus, OPC DA, OPC A&E, OPC UA, MQTT, UDP nebo TCP. Součástí portfolia je také MetaDefender Industrial Firewall zajišťující filtraci protokolů a portů výhradně v OT prostředí. Diody OPSWAT navíc mají oficiální certifikaci pro nasazení v prostředích s utajovanými informacemi napříč zeměmi NATO.

Testování v laboratoři ComSource: Čtyři klíčové scénáře

V laboratoři ComSource bylo ověřeno několik praktických scénářů odpovídajících reálnému nasazení v kritické infrastruktuře:

1. Přenos souborů přes optické diody mezi dvěma FTP servery – soubor nahraný na zdrojový FTP server byl přes BLUE diodu (bezpečná strana) předán do RED diody (potenciálně nebezpečná strana) a doručen na cílový FTP server. Oba FTP servery na sebe fyzicky ani logicky neviděly.

2. OPSWAT kiosek a přenos do OPSWAT MFT – na kiosku na bezpečné straně bylo oskenováno USB médium, povolené soubory byly přeneseny přes optické diody na druhou stranu, kde je převzalo MFT úložiště. Kiosek a MFT přitom neměly žádnou vzájemnou síťovou viditelnost.

3. Přenos syslog zpráv do centrálního log managementu – pomocí bilaterální bezpečnostní brány v unidirectionálním režimu byly logy z Linuxového virtuálního stroje přenášeny do centrálního logmanagementu na bezpečné straně, aniž by strany na sebe viděly.

4. Přenos zpráv protokolem MQTT – s využitím bilaterální bezpečnostní brány byl ověřen přenos zpráv protokolem MQTT využívaným v IoT prostředích. BLUE dioda fungovala jako MQTT subscriber a RED dioda jako MQTT publisher – vše v oddělených virtuálních strojích bez vzájemné síťové viditelnosti.

„Testy v laboratoři jednoznačně potvrdily, že datové diody OPSWAT plní svou funkci spolehlivě i v komplexních scénářích zahrnujících průmyslové protokoly nebo kombinaci kiosku s centrálním úložištěm. Zákazníci z řad kritické infrastruktury tak mohou mít jistotu, že nasazení tohoto řešení do jejich prostředí proběhne bez negativního dopadu na provoz,“ uzavřel Jaroslav Cihelka z ComSource.

Laboratoř ComSource: simulace reálného prostředí zákazníka

ComSource provozuje vlastní testovací laboratoř již přes deset let. Jejím smyslem je přesná simulace IT i OT prostředí zákazníka – od starších, dosud běžně využívaných zařízení, až po nejmodernější technologie. Laboratoř zahrnuje aktivní síťové prvky předních výrobců, jako jsou Juniper, Cisco, Extreme či HPE, a dále bezpečnostní platformy Ivanti, Progress Flowmon, Forcepoint, SentinelOne, F5, IBM, RedHat a nově i kompletní portfolio OPSWAT včetně kiosků MetaDefender. Díky tomu je možné otestovat nasazení jakéhokoliv nového řešení ještě před jeho zavedením do produkčního prostředí – bez rizika výpadků nebo narušení chodu zákazníka.