Bài viết này mô tả các phương án triển khai đa dạng của cơ chế truyền dữ liệu một chiều vật lý, hay data diode, có ưu điểm hơn các phương án truyền thống về chất lượng dịch vụ, độ tin cậy và bảo mật. Về cơ bản, data diode là các hệ thống truyền dữ liệu một chiều được sử dụng để cách ly các mạng bảo mật cao từ các mối đe dọa từ bên ngoài, đồng thời vẫn cho phép kiểm soát việc nhập/ xuất dữ liệu ở tốc độ cao. Đây có thể coi là một dạng tường lửa, có thể được thiết lập để truyền dữ liệu trong một chỉ hướng.
Phần 1: Đặt vấn đề
ICS là viết tắt của thuật ngữ Industrial Control Systems – hệ thống điều khiển công nghiệp), đây là hệ thống tập hợp các thiết bị điện, điện tử, cơ khí, thuỷ lực, và các thiết bị chuyên dụng khác theo từng ngành công nghiệp cụ thể như: điện, nước, xăng/ dầu, giao thông, khí tượng thuỷ văn… và thường được thiết kế độc lập và có các hệ thống giám sát và điều khiển riêng, tuy vẫn tuân theo các tiêu chuẩn phổ biến nhưng mỗi hãng cung cấp thiết bị, hệ thống lại phát triển thành các giao thức riêng đặc thù của chính mình.
Trong Công nghệ thông tin Information Technology – IT, với nền tảng giao thức Internet (IP), cùng với khái niệm về Cách mạng công nghiệp 4.0 IR, IoT và IIoT đã thay đổi hoàn toàn mạng ICS, mạng ứng dụng máy tính để quản trị các hệ thống thiết bị công nghiệp, Operation Technology – OT vốn được thiết kế và quản lý theo kiến trúc cũ với nguy cơ tiềm ẩn nhiều rủi ro (risk) và lỗ hỏng (flaws).
Báo cáo của Bộ An ninh nội địa Mỹ (US Department Homeland Security – DHS) đã thống kê các mối đe dọa đến hệ thống điều khiển mạng công nghiệp, sắp xếp theo mức độ nguy cơ giảm dần, dẫn đầu là các phần mềm có chứa mã độc (38%), hệ thống chưa cập nhật các bản vá lỗi (29%), các kết nối để mở (17%), các vi phạm quy định (9%), lộ thông tin cũng như khai thác mở cửa sau.
Tương ứng với các mối nguy cơ trên, Bộ An ninh nội địa Mỹ cũng đề xuất 7 chiến lược để bảo vệ Cơ sở hạ tầng công nghiệp quan trọng, với những chiến lược này giúp ngăn cản sự tấn công vào hệ thống lên đến mức 98% (theo thống kê năm 2014 – 2015):
- Ứng dụng được xác nhận (Application Whitelisting): lên danh sách các ứng dụng được phép cài đặt.
- Lập chính sách cấu hình chuẩn và lịch cập nhật bản vá đã được xác thực.
- Giảm tối đa phạm vi cần bảo vệ, như cô lập hệ thống ICS, khóa các dịch vụ/ cổng không sử dụng; sử dụng data diode để phân chia các vùng mạng chức năng; với các mạng cần truyền dữ liệu hai chiều, sử dụng riêng từng cổng cho từng đường truyền/ nhận dữ liệu.
- Xây dựng một môi trường được bảo vệ: hạn chế các đường dẫn trực tiếp giữa các máy chủ; phòng ngừa và ngăn chặn sự lây nhiễm.
- Thực hiện đảm bảo việc truy cập từ xa an toàn: Tìm và xóa bỏ các ứng dụng truy cập cửa sau và modem; chỉ cho phép giám sát được thực hiện bởi thiết bị phần cứng data diode chứ không dựa vào phần mềm với thiết lập cấu hình “chỉ đọc”; cấp quyền kết nối theo từng phiên với thiết lập thời gian, không cấp quyền kết nối vĩnh viễn.
Với các phương án trên, chúng ta nhận thấy có 2 hướng đi cụ thể trong việc thực hiện việc đảm bảo an toàn hệ thống ICS.
Thứ nhất, là chiến lược dựa trên việc xây dựng chính sách tường minh nhằm đảm bảo an toàn hệ thống như thống nhất được các ứng dụng an toàn (application whitelisting) được cài đặt trên hệ thống; phối hợp với nhà cung cấp hệ điều hành/ phần mềm để yêu cầu các bản vá chính thức từ nhà sản xuất; cũng như khóa các cổng/ dịch vụ không sử dụng trên hệ thống, kiểm soát/giám sát truy cập thiết bị, hạn chế kết nối từ xa liên tục.
Thứ hai, ta thấy DHS đề xuất một thiết bị bảo mật theo hướng công nghệ mới, mang tên data diode, là thiết bị bảo mật truyền dữ liệu một chiều vật lý, cung cấp phương án triển khai bảo mật đảm bảo các yếu tố chất lượng dịch vụ, độ tin cậy và bảo mật, cũng như được triển khai rộng rãi và có đã được chứng minh đáng tin cậy và có thể mở rộng trong nhiều cơ quan chính
Bài toán đặt ra là, các hệ thống mạng công nghiệp với dữ liệu nhạy cảm và quan trọng, cần được cô lập, nhưng vẫn có phải có chính sách phân quyền truy cập với người dùng được ủy quyền, dễ dẫn đến nguy cơ tấn công mạng. Giải pháp tốt nhất là ứng dụng công nghệ tân tiến, thiết bị bảo mật data diode chỉ cho phép luồng thông tin truyền theo 1 chiều, là bất khả xâm phạm do tấn công mạng.
Giới thiệu về data diode
Với việc sử dụng công nghệ bảo mật một chiều data diode, sẽ làm tăng đáng kể hệ thống mạng do việc tách mạng hiện có thành các mạng thông qua truyền dữ liệu một chiều. Kết hợp việc dữ liệu được truyền một chiều với các phương thức bảo mật vốn có để truyền dữ liệu đến/ đi tới các hệ thống mạng có mức ưu tiên bảo mật cao cần cô lập thông tin. Thêm vào một ưu điểm khác, dữ liệu một chiều có khả năng ngăn chặn việc dò tìm điểm yếu của hệ thống mạng, bước khởi đầu cho các cuộc tấn công mạng.
Cơ chế truyền dữ liệu một chiều được sử dụng thường xuyên để cho phép các thiết bị của hệ thống ICS/SCADA trên hệ thống OT gửi báo cáo thông tin trạng thái hoạt động theo thời gian thực sang hệ thống IT để phục vụ cho mục đích giám sát từ xa, đồng thời bảo vệ mạng ICS khỏi mọi dữ liệu độc hại từ hệ thống IT lây nhiễm ngược lại.
Bài viết này mô tả các phương án triển khai đa dạng của cơ chế truyền dữ liệu một chiều vật lý, hay data diode, có ưu điểm hơn các phương án truyền thống về chất lượng dịch vụ, độ tin cậy và bảo mật.
Về cơ bản, data diode là các hệ thống truyền dữ liệu một chiều được sử dụng để cách ly các mạng bảo mật cao từ các mối đe dọa từ bên ngoài, đồng thời vẫn cho phép kiểm soát việc nhập/ xuất dữ liệu ở tốc độ cao. Đây có thể coi là một dạng tường lửa, có thể được thiết lập để truyền dữ liệu trong một chỉ hướng. Điểm khác biệt là việc thiết lập chính sách bảo mật trên data diode dữ thực hiện kết hợp cả phần cứng và phần mềm.
Khi chính sách bảo mật truyền dữ liệu một chiều thực thi bởi phần cứng, sẽ là không thể để gửi tin nhắn dưới bất kỳ hình thức nào, như là việc lây nhiễm virus hay phần mềm độc hại qua email không thể truyền qua việc gửi thư tay qua bưu điện. Do đó, các data diode được thi hành bởi phần cứng được coi là an toàn nhất.
Và thật là dễ dàng để xây dựng một hệ thống truyền dữ liệu một chiều bằng phần cứng J (cách đơn giản nhất: chỉ để dây truyền dữ liệu, và cắt dây nhận dữ liệu trong cáp kết nối RS -232). Chỉ phức tạp khi xây dựng hệ thống truyền dữ liệu một chiều hiệu suất cao mà dễ triển khai.
Cơ chế truyền dữ liệu một chiều truyền thống bao gồm nhiều loại, mỗi loại có lợi thế và bất lợi duy nhất, như cáp kết nối một chiều (RS-232, cáp Ethernet), bộ chuyển đổi quang điện, dạng thiết bị ứng dụng thương mại được đóng gói hoàn chỉnh (Commercial-Off-The-Shelf – COTS), các chương trình phần mềm phức tạp, thiết bị bảo mật có khả năng thiết lập chính sách, hệ thống truyền dữ liệu dạng phần cứng (one-way system hardware) đặt tại điểm truyền/ nhận dữ liệu.
Các phương pháp cổ điển truyền thống như cắt 1 đường nhận dữ liệu (Rx) trong cáp RS – 232, giả kết nối Ethernet, bộ chuyển đổi quang – điện, do nhiều vấn đề đã chứng minh không đáng tin cậy, chậm và không an toàn.
Do đó, chúng ta chỉ đề cập đến các phương pháp hiện đại và có tính thực tiễn hơn, như các phần mềm phức hợp, tường lửa thiết lập chính sách, hay phần cứng chỉ hỗ trợ truyền dữ liệu một chiều.
Các chương trình phần mềm phức tạp ở đây đề cập đến các ứng dụng và hệ điều hành được thiết kế để truyền dữ liệu giữa các mạng theo một chiều. Chúng bao gồm các chính sách bảo mật với thiết lập chính sách chỉ đọc trong HĐH Unix hay Linux để tạo cổng kết nối an toàn cho luồng thông tin giữa các phân vùng mạng cần bảo mật.
Với việc có thể tích hợp giải pháp mã hóa bất đối xứng để thực thi chính sách truyền dữ liệu một chiều, phần mềm này cho phép người dùng sở hữu dữ liệu có quyền ghi để mã hóa dữ liệu trong khi người dùng khác truy cập được phân quyền chỉ đọc sử dụng một khóa khác để giải mã, do đó đảm bảo rằng dữ liệu chỉ truyền theo một hướng.
Tuy vậy, dù là giải pháp chuyên biệt cho bảo mật, một giải pháp phần mềm, đúng như tên gọi, vẫn là phần mềm được lập trình có tính năng bảo mật, có các chức năng phần mềm, phải kết nối, phải chấp nhận các truy cập, và phải xác thực, do vậy, vẫn chịu sự tấn công trên mạng và thường dễ bị tổn thương. Nhất là khi tính năng phần mềm càng phức tạp, quy mô (cả về nhân sự lẫn địa điểm) càng lớn càng là mục tiêu được chú ý của các cuộc tấn công mạng. Đồng thời, với cấu hình phần cứng ngày càng phát triển, và việc sử dụng kiểm soát hệ thống máy tính trái phép hỗ trợ cho truy cập trái phép, hệ thống phần mềm bảo mật ngày càng chịu nhiều nguy cơ tấn công.
Tường lửa có khả năng kích hoạt chính sách truyền dữ liệu một chiều Phương án này là sử dụng thiết bị tường lửa (dạng đóng gói gồm phần cứng và phần mềm hay phần mềm cài trên 1 máy chủ phục vụ) có thể được cấu hình để thực thi việc truyền dữ liệu theo một chiều, từ mạng bên trong đến bên ngoài. Đồng thời hệ thống có thể sử dụng một cặp thiết bị tường lửa được cấu hình back-to-back, 1 tường lửa bên trong chấp nhận kết nối từ nguồn cung cấp dữ liệu, 1 tường lửa bên ngoài ngăn chặn các truy cập không được phép ở đích đến. Ở đây, chúng ta thấy 1 hệ thống tường lửa back-to-back vật lý để tách các mạng riêng biệt, nhưng thực chất, chỉ là 1 dạng nâng cao của thiết bị bảo mật dạng đóng gói thương mại hoàn chỉnh (COTS).
Tại sao có thể nói như vậy? Vì thực chất cấu hình tường lửa dựa trên 1 loạt các chính sách về phân vùng hệ thống, 1 tập hợp các nhu cầu quản trị, 1 loạt các định nghĩa về phân quyền nhóm – phân quyền người dùng, 1 loạt các vấn đề về đảm bảo an toàn cũng như tính sẵn sàng của hệ thống.
Từ đó, tường lửa có khả năng kích hoạt chính sách truyền dữ liệu một chiều gặp phải các vấn đề rủi ro như trong mô hình Pho-mai Thụy sỹ, làm tường lửa trở nên dễ dàng bị xâm nhập.
Mô hình “Swiss Cheese” về nguyên nhân tai nạn là một mô hình được sử dụng trong phân tích và quản lý rủi ro, như các ngành công nghiệp an toàn hàng không, kỹ thuật, chăm sóc sức khỏe, tổ chức dịch vụ khẩn cấp và bảo mật nhiều lớp trong hệ thống thông tin máy tính. Được thiết kế mô phỏng như hệ thống con người, gồm nhiều lớp, dạng xếp chồng (stack), giúp giảm thiểu nguy cơ tấn công, tránh các điểm yếu dạng Single Point of Failure (SpoF – điểm yếu duy nhất của hệ thống).
Phần 2: Đặc tính của tường lửa một chiều – Diode
Từ lý thuyết về các thiết bị/ hệ thống bảo mật cho truyền dữ liệu một chiều như trên, tường lửa một chiều, thiết bị phần cứng được thiết kế dành riêng cho truyền dữ liệu một chiều – data diode – được đánh giá là phương án khả thi và thực tế nhất, cân bằng giữa các yếu tố đảm bảo bảo mật, toàn vẹn trong truyền dữ liệu giữa các hệ thống mạng
Là thiết bị phần cứng trên nền tảng điện toán đóng gói, được thiết kế dành riêng cho việc thực thi bảo mật cho chính sách truyền dữ liệu một chiều. Đây là phương thức tiệm cận mức an toàn nhất trong chính sách truyền dữ liệu một chiều. Hệ thống an ninh được thực hiện bởi bản mạch điện (circuitry) ở thiết bị giao tiếp (Communication Card) tại cả hai đầu truyền (Tx) và nhận (Rx) dữ liệu. Trong đó, thiết bị giao tiếp có kiến trúc sử dụng phần cứng chuyên dụng thực hiện chính sách bảo mật một chiều ở cả hai đầu cuối của cáp hoặc cáp quang kết nối, đảm bảo mức an toàn nhất.
Tường lửa một chiều, thiết bị bảo mật thiết kế dành riêng cho việc truyền dữ liệu một chiều (hay còn gọi là Data Diode) bao gồm tập hợp nhiều yếu tố kỹ thuật và chính sách đặc thù duy nhất, hầu hết là gắn với đặc tính không có bất kỳ hình thức xác nhận tin nhắn nào. Vì lý do này, hiệu suất và độ tin cậy của data diode đạt mức cao nhất trong phương thức thực thi truyền dữ liệu một chiều.
Tính năng kiểm soát lỗi
Đảm bảo an toàn dữ liệu là yêu cầu chính của data diode, nhưng việc đảm bảo xác nhận tính toàn vẹn của dữ liệu là yêu cầu bắt buộc trong truyền thông, do đó, một trong những thách thức chính trong việc tạo chuyển giao một chiều là quản lý kiểm soát lỗi. Việc mất hay sai lệch dữ liệu có thể xảy ra khi lỗi tràn bộ đệm bên nhận trong phần cứng hoặc bộ nhớ. Trong giao thức truyền thông hai chiều như TCP, sử dụng tin nhắn xác nhận nhằm giúp truyền lại dữ liệu khi cần thiết. Trong hệ thống truyền tải một chiều, điều này là không thể vì vi phạm nguyên tắc bảo mật trong truyền dữ liệu.
Để giảm thiểu việc mất/ sai lệch dữ liệu, đồng thời đảm bảo an toàn trong truyền dữ liệu, data diode sử dụng phương thức dự phòng, bằng cách gửi cùng một dữ liệu nhiều lần hay thêm thông tin bổ sung như mã sửa lỗi chuyển tiếp (FEC – Forward Error Correction) để tái tạo lại dữ liệu bị mất nếu nhận đủ dữ liệu tốt. Hay một kỹ thuật khác được sử dụng là kiểm soát tốc độ gửi dữ liệu để đảm bảo rằng người nhận luôn có thể nhận được dữ liệu. Kết hợp với việc kiểm tra và phát hiện dữ liệu bị mất bằng phần cứng hoặc phần mềm bằng cách gắn thẻ dữ liệu với số thứ tự để đảm bảo phát hiện các gói bị mất. Dữ liệu có thể được xác minh tính toàn vẹn thông qua phương thức mã checksum, kiểm tra độ dài và xác thực định dạng trong mỗi gói. Với nhiều gói dữ liệu, chúng ta có thể sử dụng thuật toán như SHA (Secure Hash Algorithm) hay MD5 (Massage Digest algorithm 5) để xác minh tính chính xác.
Quản trị chính sách an ninh
Để quản trị hiệu quả hệ thống truyền dữ liệu một chiều giữa các mạng, cần phải xác định rõ ranh giới và đặt ra chính sách cụ thể cho từng mạng. Từ đó gán quyền quản trị rõ ràng cho thiết bị phía nguồn và đích trong kết nối giữa các phân mạng.
Một giải pháp tốt hơn là tùy biến thiết kế data diode về kiến trúc, phương thức giao tiếp nhằm tương thích với chỉ hệ thống mạng mà chúng được kết nối và bảo vệ, được quản lý theo chính sách của từng hệ thống đó. Với việc phân tách rõ chức năng, nhiệm vụ cụ thể, kiến trúc dạng đường ổng phân chia nền tảng (split-platform architect pipeline) rất có ưu thế về bảo mật mà vẫn đảm bảo yếu tố đơn giản, rõ ràng trong cấu hình.
Tự bảo vệ
Các chính sách bảo mật được đặt thiết lập trong phần mềm hoặc phần cứng phải chịu nhiều hình thức tấn công khác nhau bởi các thực thể độc hại. Một cuộc tấn công có thể xảy ra dưới hình thức giả mạo trong thực tế hoặc qua tấn công qua mạng. Để bảo vệ hệ thống an ninh khỏi các tấn công vật lý, hệ thống thường được đặt tại các khu vực được bảo vệ, và chỉ các nhân viên được phân quyền có thể truy cập. Một hạn chế của sử dụng cáp kết nối một chiều và phần cứng hệ thống trực tiếp là nhân viên truy cập trực tiếp có thể thay đổi các chính sách.
Khi các giải pháp phần cứng được thiết kế và sản xuất nhúng trong các cổng của hệ thống sẽ đảm bảo an ninh bảo mật tốt hơn nhiều do được khóa, niêm phong trong hộp, hạn chế sự can thiệp từ bên ngoài.
Trong hệ thống phần mềm được thiết kế phức tạp và tường lửa có tính năng kích hoạt bảo mật đã có sẵn các kết nối hai chiều, và việc thực thi chính sách truyền dữ liệu một chiều trong bộ nhớ của thiết bị được cài đặt phần mềm hay tích hợp tính năng bảo mật. Với các phần mềm bảo mật được tích hợp trên các hệ điều hành cứng (Hardened Operation System), chúng có năng lực rất mạnh trong việc chống lại tấn công mạng, tiệm cận mức bảo mật air-gap (air-gap: không có giao tiếp, do đó, không có mất mát/ sai lệch dữ liệu).
Với lý thuyết Bảo mật theo chiều sâu (Defense in Depth), chính sách bảo mật đa lớp kết hợp cả phần cứng và phần mềm là những hệ thống cao cấp nhất cung cấp khả năng chống tấn công.
Theo FPT TechInsight