Contact
Contact

DataDiodes bij Sentyron: hoe het werkt, wat het mogelijk maakt en waarom het zo krachtig is

DataDiodes bij Sentyron: hoe werkt het, wat maakt het mogelijk en waarom is het zo krachtig?

Door Jef Pauwels, Sentyron

Inleiding

In steeds meer omgevingen nemen digitale bedreigingen toe en groeit de behoefte om kritieke systemen te scheiden van minder vertrouwde netwerken. Als productmanager bij Sentyron zie ik elke dag hoe onze datadiode-oplossingen organisaties helpen om vitale netwerken te beschermen en toch een veilige gegevensuitwisseling mogelijk te maken.

In dit artikel geef ik een duidelijk en volledig overzicht van:

  1. Wat een datadiode precies is en hoe hij werkt
  2. De specificaties van onze Sentyron DataDiode
  3. Praktijkvoorbeelden
  4. De duidelijke voordelen
  5. Belangrijkste overwegingen voor implementatie

Wat is een datadiode en hoe werkt deze?

Een hardware datadiode (ook bekend als een "one-way gateway" of unidirectionele gateway) is een fysieke oplossing die gegevens slechts in één richting laat stromen tussen twee netwerken. Dit is niet zomaar een software firewall regel, maar een fysiek mechanisme dat elke retourstroom van gegevens naar het hogere of beter beveiligde netwerk verhindert.

Hoe werkt de Sentyron DataDiode?

Belangrijkste elementen:

  • Er is een echte fysieke scheiding: de zender (uitgaande kant) en ontvanger (inkomende kant) zijn zo ontworpen dat er geen retourpad mogelijk is.
  • Dit wordt vaak bereikt door gebruik te maken van een optische (glasvezel) verbinding om unidirectionaliteit te garanderen. Andere implementaties gebruiken hardwarecomponenten met alleen zenden of alleen ontvangen functionaliteit.
  • Een datadiode breekt standaard netwerkprotocollen en reduceert communicatie tot eenrichtingsverkeer (UDP).
  • Om complexere gegevensuitwisselingen mogelijk te maken (bijv. monitoring, logging, analyse), kunnen aanvullende componenten zoals gegevensfilters, protocolproxies of agents worden ingezet.
  • Doel: vertrouwelijkheid, integriteit en netwerksegmentatie maximaliseren en tegelijkertijd de risico's van malware, ongeautoriseerde toegang, bedreigingen van binnenuit of configuratiefouten minimaliseren.

Sentyron DataDiode Ruggedized Edition: specificaties en onderscheidende kenmerken

Hier zijn de belangrijkste eigenschappen van onze onlangs gecertificeerde datadiode en wat ons product zo bijzonder maakt:

  • Certificeringsniveau: CC EAL7+. Een van de hoogste garantieniveaus wereldwijd.
  • Gegevensdoorvoer: Verkrijgbaar in 1 Gbps en 10 Gbps varianten.
  • Militair/robuust ontwerp: Robuust: voldoet aan MIL-STD-810G (schokken), MIL-STD-810F (trillingen) en is operationeel in een breed temperatuurbereik van -20 °C tot +60 °C. Bestand tegen elektromagnetische interferentie (EMI) volgens EN 55035 (2016).
  • TEMPEST / emissiebescherming: TEMPEST SDIP-27/A conform ontwerp.
  • Formele goedkeuring voor gevoelige/gerubriceerde gegevens: Gecertificeerd door de Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) voor gebruik tot Stg Zeer Geheim ("Top Secret") en NAVO "Cosmic Top Secret".

Dankzij deze certificeringen en de robuuste constructie is de Sentyron datadiode geschikt voor zeer veeleisende omgevingen zoals defensie, kritieke infrastructuur, offshore en andere "extreme" contexten waar risico's niet kunnen en mogen worden getolereerd.

Gebruikscases

Militaire en defensie-omgevingen

  • Doorsturen van tactische gegevens (bijv. surveillance, sensoren, veldinformatie) van minder veilige netwerken naar commandocentra, waarbij backflow en aanvalsoppervlakken worden geëlimineerd.
  • Samenwerken met bondgenoten of niet-NAVO-netwerken, waar gegevens moeten worden ontvangen zonder kwetsbaarheden te introduceren. Onze Ruggedized Edition wordt gebruikt in dergelijke integraties.

Kritieke infrastructuur en operationele technologie (OT)

  • Energiecentrales, waterzuivering, transport (spoor, metro), olie & gas maken vaak gebruik van legacy-systemen met beperkte ingebouwde beveiliging, maar met grote hoeveelheden procesgegevens.
  • Deze systemen moeten continu draaien. Een datadiode maakt monitoring, logging en analyse mogelijk zonder OT bloot te stellen aan externe bedreigingen vanuit IT-netwerken.
  • In OT fungeert de datadiode als een veilige brug naar IT, waarbij sensorgegevens, status, alarmen, enz. veilig worden geëxporteerd, terwijl wordt voorkomen dat malware OT infiltreert.

Industriële omgevingen

  • Zowel IT- als OT-omgevingen delen vaak specifieke gegevens met leveranciers (voorspellend onderhoud), bedrijfsonderdelen (inkoop, logistiek), tussenhandelaren, overheden en klanten.
  • Een diode beschermt alle verzamelde informatie tegen externe risico's.

Beeld- en videostreaming, bewaking

  • CCTV- en bewakingssystemen hebben vaak externe toegang tot beelden nodig, maar mogen niet gemanipuleerd of binnengedrongen kunnen worden. Datadiodes maken veilige eenrichtingsuitvoer mogelijk.
  • Gebruikt in smart city- en railinfrastructuurprojecten. Sentyron wordt ingezet in spoorwegnetwerken waar operationele gegevens veilig moeten worden gedeeld.
  • Omgekeerd verzamelen SOC's of controlekamers grote hoeveelheden gegevens (camera's, sensoren, hulpdiensten). Deze omgevingen mogen geen gegevens lekken en alle upstream gegevensleveranciers moeten ook beschermd blijven.

Veilige updates en patches

  • Hooggeclassificeerde netwerken hebben software-updates en patches nodig, maar kunnen geen directe verbindingen met minder vertrouwde netwerken of het internet toestaan.
  • Met een gegevensdiode kunnen updates veilig worden geïmporteerd zonder het netwerk open te stellen voor bedreigingen van buitenaf.

Logging, monitoring en analyse

  • Exporteren van logs, alarmen en statusgegevens van beveiligde netwerken naar monitoringsystemen/SIEM zonder inkomende toegang toe te staan.
  • Database replicatie van niet-kritieke gegevens naar analyseplatforms of cloud voor business intelligence. Gebruikelijk in de industrie en financiële sectoren.

Naleving van regelgeving

  • Sectorspecifieke vereisten (defensie, nucleair, kritieke infrastructuur) vereisen isolatie van bepaalde systemen.
  • Europese voorschriften zoals NIS2 vereisen strikte segmentatie en bescherming; gegevensdioden helpen bij het voldoen aan deze voorschriften.
  • Overheden, inlichtingendiensten en wetshandhavers met geclassificeerde gegevensniveaus ("Vertrouwelijk", "Geheim", "Topgeheim") vertrouwen op diodes voor naleving.

R&D en bedrijfsgeheimen

  • Organisaties die zich bezighouden met innovatie en onderzoek zijn kwetsbaar voor spionage.
  • Data diodes worden gebruikt om gevoelige interne netwerken of back-up servers te scheiden van bredere bedrijfsnetwerken.

Lees ook deel II, waarin we dieper ingaan op de voordelen van de datadiode.

Terug naar nieuws