La transferencia segura de datos entre entornos de confianza y no confiables plantea retos importantes, especialmente cuando no se puede confiar en la red de tránsito. Una arquitectura de transferencia de archivos entre dominios permite trasladar datos de forma segura entre entornos mediante la combinación de un flujo de datos unidireccional, la firma criptográfica y un transporte con autenticación mutua. Al partir de la hipótesis de una red de tránsito hostil y eliminar la comunicación bidireccional, este diseño ofrece un enfoque robusto y auditable para mantener la integridad y la autenticidad de los datos, así como el aislamiento del sistema.
Un nuevo enfoque de la confianza en las transferencias de datos entre dominios
Los sistemas de transferencia de datos entre dominios deben encontrar un equilibrio entre la necesidad operativa de compartir datos y los controles de seguridad que impidan el acceso no autorizado, la fuga de datos y las vías de mando y control. Dado que los adversarios pueden observar o comprometer la red de tránsito, la seguridad no puede basarse únicamente en las protecciones tradicionales basadas en la red.
La arquitectura que aquí se presenta se ha diseñado partiendo de la hipótesis de que la red de tránsito no es fiable y podría estar comprometida, y la seguridad se garantiza mediante el aislamiento físico y la verificación criptográfica.
Supuestos, modelo de amenazas y arquitectura
Supuestos
- La red de tránsito no es fiable y puede ser abiertamente hostil
- Los atacantes pueden interceptar, modificar, reproducir, retrasar o inyectar tráfico
- No se permite la comunicación bidireccional entre dominios de confianza y dominios no confiables
- La confianza se limita a las claves criptográficas designadas y a la lógica de verificación
Amenazas que hay que abordar
- Ataques de intermediario
- Manipulación y falsificación de datos
- Ataques de repetición
- Ejecución remota de comandos
- Canales de comunicación encubiertos
Descripción general de la arquitectura
La arquitectura consta de tres zonas de seguridad, y en ningún momento el sistema permite la conectividad bidireccional a través de los límites de seguridad:
- Zona de confianza (para la firma)
- Red de tránsito no fiable
- Dominio de verificación de la zona no confiable
Cómo funciona esta arquitectura basada en diodos
Zona de confianza como dominio de firma
Todos los datos proceden de una zona de firma de confianza. Antes de su publicación, los archivos se validan de acuerdo con la política establecida y se firman digitalmente utilizando una clave privada protegida en el diodo de datos. La firma constituye una prueba criptográfica del origen y la integridad. Una vez firmados, los archivos son inmutables desde el punto de vista de la confianza, y cualquier modificación posterior se detectará en las etapas posteriores del proceso.
Esta zona carece de conectividad de red entrante, las operaciones de firma están estrictamente restringidas y las claves privadas se protegen mediante un almacenamiento respaldado por hardware. También se puede llevar a cabo una inspección o depuración del contenido antes de la firma para garantizar que solo se publiquen los datos autorizados.
Aplicación física mediante diodos de datos
Componente de diodo de salida
El primer componente del diodo de datos garantiza un flujo unidireccional fuera del entorno de confianza. Impide físicamente que cualquier dato, señal o retroalimentación de protocolo vuelva al dominio de origen.
Componente de diodo de entrada
El segundo componente del diodo de datos garantiza que el acceso al dominio no fiable sea unidireccional. Esto impide que las redes no fiables establezcan relaciones bidireccionales con los sistemas internos y simplifica la acreditación de seguridad al garantizar un flujo de información fijo.
Secure a través de una red no fiable
Entre los extremos del diodo, los datos atraviesan una red no fiable. La comunicación de transporte se protege mediante TLS mutuo (mTLS) para autenticar los extremos y cifrar los datos en tránsito.
El mTLS se considera explícitamente un control de defensa en profundidad, no un punto de confianza. Reduce la vulnerabilidad ante la suplantación de identidad y la interceptación pasiva, pero no se recurre a él para garantizar la integridad o la autenticidad de los datos.
Dominio de verificación no fiable
En el dominio no confiable, los archivos recibidos se someten a una verificación criptográfica. El diodo valida las firmas digitales, las cadenas de certificados y las restricciones de política antes de aceptar los datos. Las validaciones fallidas se rechazan y se registran.
La confianza en este dominio se limita a las claves públicas o certificados aprobados, así como a la lógica de verificación y a la aplicación de políticas. Por consiguiente, no se deposita confianza alguna en la capa de red ni en la capa de transporte.
Garantías de seguridad y resultados
Esta arquitectura ofrece sólidas garantías de seguridad. Incluso si la red de tránsito se viera totalmente comprometida, los atacantes no podrían falsificar datos fiables ni influir en los sistemas fiables. Entre las principales garantías de seguridad se incluyen:
- Flujo de datos unidireccional impuesto físicamente
- Integridad y autenticidad criptográficas independientes del transporte
- Eliminación de las superficies de ataque interactivas
- Resistencia frente a la interceptación, la reproducción y la modificación
- Una clara separación de funciones y de los límites de la auditoría
Soluciones diseñadas específicamente para permitir transferencias Secure de datos Secure
Al combinar diodos de datos —como MetaDefender Diode™—, firmas digitales y seguridad de transporte por capas, esta arquitectura permite la transferencia segura de archivos entre dominios sin depender de la confianza en la red. El diseño resulta idóneo para entornos de confianza, infraestructuras críticas y sistemas regulados que requieren un alto nivel de garantía, supuestos de confianza mínimos y controles auditables.
Para obtener más información sobreOPSWAT implementar esta arquitectura, póngase en contacto con un experto hoy mismo.
