GIẢI PHÁP CỔNG BẢO MẬT 01 CHIỀU – UNIDIRECTIONAL SECURITY GATEWAY – OPSWAT NETWALL

GIẢI PHÁP CỔNG BẢO MẬT 01 CHIỀU – UNIDIRECTIONAL SECURITY GATEWAY – OPSWAT NETWALL

1.1  Giới thiệu về giải pháp OPSWAT NETWALL USG.

OPSWAT NetWall USG (Cổng bảo mật đơn hướng) đảm bảo tính bảo mật không thỏa hiệp cho truyền thông OT/IT, cung cấp quyền truy cập vào dữ liệu OT thời gian thực và cho phép truyền tệp và dữ liệu IT-OT an toàn mà không có nguy cơ gây ra các mối đe dọa bảo mật cho các tài sản và mạng sản xuất OT quan trọng. NetWall USG thực thi luồng dữ liệu một chiều trong khi vẫn đảm bảo phân phối tải trọng và ngăn ngừa mất mát và truyền lại dữ liệu.

OPSWAT NetWall USG cung cấp quyền truy cập vào dữ liệu OT thời gian thực và cho phép truyền dữ liệu IT-OT an toàn —với đầy đủ lợi ích về tốc độ, độ trễ thấp và chức năng cũng như độ tin cậy hoàn toàn và không mất dữ liệu. Vì không thể kết nối mạng đường dẫn trở lại, OPSWAT NetWall USG đảm bảo dữ liệu hoạt động theo thời gian thực có thể được gửi tới người dùng mạng công ty mà không có nguy cơ gây ra các mối đe dọa bảo mật cho các mạng OT được bảo vệ.

Với công nghệ truyền dữ liệu một chiều độc quyền về mặt vật lí của OPSWAT. Dữ liệu sẽ được đảm bảo được phân phối tải trọng với tính an toàn cao cho phép truyền đồng thời nhiều loại dữ liệu

1.2  Đặc tính nổi bật

Ngăn chặn thông tin liên lạc C&C độc hại từ mạng OT: Với việc truyền dữ liệu mà loại bỏ các header của các gói tin TCP/UDP và chỉ truyền phần payload. Điều này cho phép giấu toàn bộ các địa chỉ IP trong khu vực OT và IT, khiến cho các các thiết bị không thể kết nối liên lạc được với các C&C server bên ngoài. Đảm bảo tính bảo mật tuyệt đối bên trong khu vực OT.

Bảo vệ các phân đoạn mạng, thiết bị, máy chủ historical, SCADA, DCS, HMI và PLC: Với việc giải pháp chỉ cho phép truyền thông theo một chiều về mặt vật lí, vậy nên không thể thiết lập bất kì kết nối nào theo chiều ngược lại, cho nên toàn bộ các phân đoạn mạng, thiết bị, các máy chủ historical, SCADA,DCS,… được bảo vệ bởi Netwall USG sẽ được bảo vệ ở mức độ cao nhất.

Tích hợp liền mạch với OPSWAT MetaDefender Kiosk và Vault: Với việc cùng nằm trong một hệ sinh thái của OPSWAT. Netwall có thể dễ dàng tích hợp được với các giải pháp bảo mật, phân tích mã độc cấp cao hơn của OPSWAT như MetaDefender Kiosk và Vault, các giải pháp sử dụng công nghệ CDR ( phân giải và tái cấu trúc dữ liệu) trứ danh của OPSWAT. Đảm bảo cho vùng OT đảm bảo được môi trường cao nhất về bảo mật.

Bảo mật việc chuyển các bản cập nhật phần mềm và các tệp khác sang miền được bảo vệ: Giải pháp OSWAP Netwall hỗ trợ các tính năng truyền các bản cập nhật phần mềm và các tệp an toàn sang vùng miền được bảo vệ.

Transparent với người dùng: Sao chép dữ liệu nhanh và độ chính xác cao, điều này có nghĩa là không cần thay đổi quy trình làm việc của người dùng doanh nghiệp.

Vận hành đơn giản: Sẵn sàng để sử dụng trong vài phút sau khi thiết lập ban đầu một lần. Không cần kiểm tra hoặc cấu hình tường lửa.

Hỗ trợ đầy đủ cho các giao thức công nghiệp:

• Modbus
• OPC (UA, DA, A&E)
• MQTT-SN

Các giao thức IT hỗ trợ:

• UDP, TCP, HTTP, HTTP
• Video/Audio stream transfer

Hỗ trợ các ứng dụng giám sát CNTT:

• Log Transfer, SNMP Traps, SYSLOG
• Tích hợp SIEM qua SYSLOG

File/Folder Transfers:

• FTP, Folder and file transfers/copying
• Windows File Share, SMB, CIFS
• Antivirus updates, patch (WSUS) updates

Thông lượng thiết bị linh hoạt, có thể thay đổi theo nhu cầu: Chọn thông lượng 50Mbit, 100Mbit, 1Gbit hoặc 10Gbit - tất cả có thể lựa chọn thay đổi bằng phần mềm để đáp ứng các yêu cầu hiện tại và tương lai.

1.3  Mô hình giải pháp

NetWall USG hỗ trợ sao chép theo thời gian thực của cơ sở dữ liệu Lịch sử và SQL mà không ảnh hưởng đến tính bảo mật và tính toàn vẹn của các hệ thống sản xuất quan trọng của bạn và không yêu cầu truyền lại dữ liệu

Kiến trúc triển khai, OPSWAT NetWall USG phải được triển khai Inline, đặt giữa vùng miền mạng có tính bảo mật cao, bao gồm hạ tầng quan trọng (critical infragstructures) và vùng miền mạng có tính bảo mật thấp, mạng internet thông thường ( IT Network).

Mô hình triển khai độc lập ( standalone) giữa 2 vùng mạng: trong trường hợp triển khai khi hệ thống chỉ cần 1 thiết bị hoạt động duy nhất, đảm bảo về mặt tính năng, tối ưu về chi phí và không bị chịu quá nhiều ảnh hưởng khi downtime dịch vụ

Triển khai dạng dự phòng cao HA ( High – Availbility): Triển khai đối với hạ tầng quan trọng, các dịch vụ và hệ thống bảo đảm bảo kết nối 24/7. Khi triển khai dưới mô hình HA, hệ thống luôn được dự phòng theo dạng 1+1, khi 1 thiết bị gặp sự cố, thiết bị còn lại sẽ đóng vai trò giao tiếp thông tin mà không cần phải cấu hình lại, đảm bảo kết nối luôn được duy trì.

1.4   Các đặc tính khác

- Dễ dàng triển khai: Nền tảng được cấu hình sẵn triển khai nhanh chóng, liền mạch
- Vận hành đơn giản: Sẵn sàng sử dụng trong vài phút sau một lần thiết lập ban đầu. Không cần cấu hình hoặc kiểm tra tường lửa.
- Đáp ứng các tiêu chuẩn công nghiệp khắt khe với các yêu cầu của các tiêu chuẩn An ninh mạng công nghiệp, bao gồm: NERC CIP, NIST ICS/CSF/800-82/800-53, IEC 62443, NRC 5.71, CFATS, ISO 27001/ 27032 / 27103, ANSSI, IIC SF, v/v… Bảo vệ chống lại các kỹ thuật tấn công công nghiệp do MITRE đã thiết kế ATT&CK cho ICS.

1.5  Thông số kỹ thuật:

1.6   Lợi ích triển khai giải pháp

• Truyền dữ liệu từ OT tới CNTT an toàn, không mất dữ liệu
• Bao gồm một cơ chế duy nhất để cho phép nhận phản hồi dữ liệu cho các ứng dụng được chọn
• Cách ly các tài sản Critical infragstructures chống lại các cuộc tấn công mạng
• Ngăn chặn sự xâm nhập dữ liệu mạng quan trọng và các kết nôi C&C độc hại

Xem thêm:

• Giải Pháp Cổng Bảo Mật 02 Chiều
• Trạm Làm Sạch Dữ Liệu

Liên hệ tư vấn:

Công ty cổ phần Nam Trường Sơn Hà Nội

Tầng 15, tòa Licogi 13, 164 Khuất Duy Tiến, P. Nhân Chính, Q. Thanh Xuân, Hà Nội

Tel: 02462.818.045

Email: ntshanoi@nts.com.vn