Hava Boşluklu Ağların Tanımlanması
Hava boşluklu ağ , bilgisayarların veya ağların genel internet de dahil olmak üzere güvenli olmayan sistemlerden fiziksel veya mantıksal olarak izole edildiği bir güvenlik mimarisidir. Genellikle "hava boşluğu" olarak bilinen bu ayrım, yetkisiz erişimi önleyerek hassas verilerin ve sistemlerin harici siber tehditlerden korunmasını sağlar.
Genellikle sınıflandırılmış ağlar veya kritik altyapıdaki OT (operasyonel teknoloji) sistemleri gibi maksimum koruma gerektiren ortamlarda kullanılan hava boşluklu sistemler, mevcut en güvenli ağ tasarımlarından birini sunar.
Hava Boşluğu ve Ağ İzolasyonu: Temel Farklılıklar
Ağ izolasyonu, VLAN'lar veya güvenlik duvarları gibi yazılım tanımlı sınırlar aracılığıyla ağların bölümlere ayrılmasını içerebilirken, hava boşluklu ağlar bağlantıyı tamamen ortadan kaldırır. Bu fiziksel bağlantı kesilmesi, gelen veya giden trafik yollarını ortadan kaldırarak hava boşluklu sistemleri harici tehlikelere karşı daha dirençli hale getirir.
Açıklamalı Endüstri Terminolojisi
Hava boşluklu ağlar, gizli devlet sistemleri, OT ortamları ve ICS (endüstriyel kontrol sistemleri) gibi yüksek güvenlikli ortamlarda yaygındır. Bu ağlar genellikle kesinti veya veri ihlallerinin yıkıcı sonuçlar doğurabileceği altyapıları destekler.
"Yüksek taraf/alçak taraf" gibi terimler, güvenilir ve güvenilmeyen ortamlar arasındaki ayrımı ifade eder ve hava boşluğu, ikisi arasında doğrudan bir köprü olmamasını sağlar.
Hava Boşluklu Ağlar Nasıl Çalışır?
Hava boşluklu ağlar, güvenli olmayan sistemlerden fiziksel ya da mantıksal ayrımı zorlayarak çalışır. Bu önlemler, izole edilmiş sistem ile harici ağlar arasında kablolu veya kablosuz hiçbir doğrudan iletişim olmamasını sağlar.
Yaygın mimarilerden biri, herhangi bir gelen veri akışına izin vermeden bilginin hava boşluklu ortamdan dışarı akmasına izin vermek için veri diyotları gibi donanım zorlamalı tek yönlü ağ geçitlerinin kullanılmasını içerir.
Fiziksel İzolasyon ve Ağ Segmentasyonu
Fiziksel izolasyon, sistemlerin risk oluşturabilecek herhangi bir ağ ile bağlantısının tamamen kesilmesi anlamına gelir. Bu, sistemlerin korumalı odalara yerleştirilmesini veya kablosuz ya da Ethernet arayüzlerinin tamamen kaldırılmasını içerebilir.
Ağ segmentasyonu, hassasiyet ve işlev temelinde sistemler arasında katı iç sınırlar oluşturarak fiziksel izolasyonu tamamlayabilir.
Tek Yönlü Veri Akışı ve Veri Diyotları
Genellikle veri diyotları tarafından zorlanan tek yönlü veri akışı, geri dönüş yolu olmadan daha yüksek hassasiyetli bir ortamdan daha düşük güvenlikli bir bölgeye tek yönlü bilgi aktarımına izin verir. Özellikle veri diyotları, geri dönüş trafiğini önlemek için donanım düzeyinde zorlama kullanarak arka kanal iletişimi riskini ortadan kaldırır.
Bu cihazlar, operatörlerin dış tehditlere maruz kalmadan gerçek zamanlı telemetriye erişmesi gereken elektrik şebekeleri gibi ortamlarda çok önemlidir.
Veri diyotlarının diğer güvenlik araçlarıyla karşılaştırılması hakkında daha fazla bilgi için Veri Diyotları ve Güvenlik Duvarları bölümüne bakınız.
Hava Boşluklu Ağların Güvenlik Avantajları
Hava boşluklu ağlar tek başlarına mükemmel değildir, ancak genellikle harici siber tehditlere karşı koruma sağlarlar. Harici sistemlerle bağlantıları kesildiği için, birçok kötü amaçlı yazılım türü, fidye yazılımı ve uzaktan istismar araçları da dahil olmak üzere internet erişimine bağlı tehditlerden kaynaklanan riskleri azaltırlar.
Hava kapanlı sistemler genellikle askeri komuta merkezlerinden nükleer tesis kontrollerine kadar en kritik operasyonlar için son savunma hattıdır.
Kritik Altyapı ve OT Security
Hava boşluklu ağlar, enerji santralleri, su arıtma tesisleri ve ulaşım sistemleri gibi OT ortamlarının güvenliğinde hayati bir rol oynamaktadır. Aslında, en çok güvendiğimiz kritik altyapı sistemlerinin çoğu internetin ortaya çıkmasından önce inşa edilmiştir.
Bir zamanlar veri toplamak için trafo merkezinden trafo merkezine giden kamyonlara dayanan sistemler, internetin gelişmeye ve iş akışlarını dijitalleştirmeye devam etmesine rağmen bugün hala bize hizmet ediyor.
Bu endüstriler öngörülebilir, kesintisiz performansa bağlıdır. Operatörler, kilit sistemleri izole ederek, tehditler BT bağlantılı bileşenleri aktif olarak hedef aldığında bile güvenlik ve güvenilirlik sağlar.
Bu konuyu daha detaylı incelemek için Hava Boşluğu Olan Ortamların Hedefli Saldırılardan Korunması başlıklı makaleyi okuyabilirsiniz.
Hava Boşluklu Ağların Oluşturulması ve Bakımı
Hava boşluklu bir ağın kurulması ve yönetilmesi dikkatli bir planlama ve sıkı bir operasyonel disiplin gerektirir. Kuruluşlar fiziksel veya mantıksal hava boşlukları kullanıp kullanmayacaklarına ve veri alma/verme işlemlerini güvenli bir şekilde nasıl yapacaklarına karar vermelidir.
Hava boşluğu yedeklemeleri olarak bilinen yedekleme stratejileri de kritik öneme sahiptir. Bu yedekler, fidye yazılım larının bunları şifrelemesini veya silmesini önlemek için çevrimdışı olarak veya yalıtılmış ortamlarda saklanır.
Fiziksel ve Mantıksal Hava Boşlukları
Fiziksel hava boşluğu, güvenli sistem ile dış ağlar arasında ağ kabloları, Wi-Fi bağlantıları veya diğer dijital köprülerin bulunmadığı anlamına gelir. Mantıksal bir hava boşluğu, güvenlik duvarı kuralları veya yönlendirme kısıtlamaları gibi yazılım kontrolleri kullanır; bunlar kolaylık sağlayabilir ancak daha az güvenlidir ve yanlış yapılandırmaya veya istismara açıktır.
Çıkarılabilir Media ve Secure Veri Aktarımı
Hava boşluklu ağlarda verilerin içeri ve dışarı taşınması için genellikle USB sürücüler, CD'ler veya diğer çıkarılabilir ortamlar kullanılır. Bu süreç risk yaratır. Bunu güvenli bir şekilde yönetmek için kuruluşlar şunları yapmalıdır:
- Kullanmadan önce tüm medya ve geçici cihazları kötü amaçlı yazılımlara karşı tarayın
- Aşağıdaki gibi güvenilir donanımlar kullanın MetaDefender Kiosk ve MetaDefender Drive
- Transferleri izlemek için erişim kontrolleri ve denetim izleri uygulayın
Çevresel ve çıkarılabilir medya, hava boşluklu bir sistemden veri güncellemenin veya almanın birkaç pratik yolundan biri olmaya devam etmektedir, ancak riski azaltmak için sıkı bir şekilde yönetilmelidir.
Hava Boşluğu Saldırıları ve Sınırlamalar
Güçlü olmalarına rağmen, hava boşluklu ağlar tek başına pratik değildir. Gerçek zamanlı verilere erişmenin bir yolu olması gerekir; bu da yüksek güvenlikli ve düşük güvenlikli ağlar arasındaki iletişimin - ideal olaraktek yönlü, donanımla güçlendirilmiş veri diyotları şeklinde- uygulanması gerektiği anlamına gelir.
Ayrıca, hava boşluklu ağlar yenilmez değildir. Özel saldırılar, güvenliği ihlal edilmiş USB cihazları, elektromanyetik sinyaller veya içeriden gelen tehditler gibi alışılmadık vektörler kullanarak hava boşluklu sistemleri başarıyla ihlal etmiştir.
Bu sistemlerin bakımı da kaynak yoğun ve operasyonel açıdan karmaşık olabilir.
Önemli Hava Boşluğu Saldırısı Örnekleri
En ünlü hava boşluğu saldırısı, İran'daki uranyum zenginleştirme tesislerini hedef almak üzere tasarlanmış sofistike bir solucan olan Stuxnet'tir. Virüs bulaşmış USB cihazları aracılığıyla yayılmış ve ağ erişimi olmadan PLC (programlanabilir mantık denetleyicisi) işlemlerini değiştirmek için özel olarak tasarlanmıştır.
Diğer araştırmalar, yanıp sönen LED'ler, ultrasonik sinyaller veya güç dalgalanmaları kullanarak veri sızdırmanın yollarını göstermiştir; bu da izole sistemlerin bile doğru koşullar altında incelenebileceğini vurgulamaktadır.
Sınırlamalar ve Bakım Zorlukları
Hava boşluklu ağlar karmaşıklığa yol açar. Güncellemeler, yamalar ve sistem izleme manuel süreçler gerektirir. İnsan hatası, kötü medya hijyeni veya net güvenlik protokollerinin olmaması beklenmedik güvenlik açıkları yaratabilir.
Kuruluşlar, izolasyonun faydalarını bakım ve kullanıcı deneyiminin operasyonel talepleriyle dengelemelidir.
Hava Boşluklu Ağlar ve Diğer Güvenlik Yaklaşımları
Hava boşluklu ağlar genellikle güvenlik duvarlı ortamlar, ağ segmentasyon stratejileri ve veri diyotu dağıtımları ile karşılaştırılır. Her birinin sağlam bir güvenlik duruşunda yeri vardır, ancak maliyet, karmaşıklık ve etkinlik açısından önemli farklılıklar gösterirler.
Hava Boşluğu vs Ağ Segmentasyonu vs Veri Diyotu
Özellik | Hava Boşluklu Ağ | Ağ Segmentasyonu | Veri Diyotu Tabanlı Güvenlik |
|---|---|---|---|
Bağlanabilirlik | Bağlantı yok | Kontrollü dahili erişim | Tek yönlü harici akış |
İzolasyon Seviyesi | Yüksek (fiziksel/mantıksal) | Orta (yalnızca mantıksal) | Yüksek (donanım zorlamalı) |
Kullanım Örneği | Sınıflandırılmış, fazla mesai, kritik | Kurumsal BT, departman bazında | OT izleme, adli tıp |
Maliyet | Yüksek | Orta | Orta ila Yüksek |
Bakım Karmaşıklığı | Yüksek | Düşük ila Orta | Orta |
Siber Saldırılara Karşı Dayanıklılık | Çok Yüksek | Orta | Yüksek |
Daha derin içgörüler için Bridging the Gap ve Firewalls Are Not Enough bölümlerini inceleyin.
Bir Sonraki Adımı Atmak
İster bir nükleer kontrol sistemini koruyor olun, ister izole bir laboratuvar ortamına güvenli dosya aktarımını sağlamanız gerekiyor olsun, OPSWAT hava boşluklu ortamlar için kanıtlanmış teknolojiler sunar. Bizim MetaDefender Optical Diode ve MetaDefender Kiosk ile birlikte çalışın MetaDefender Drive ve kritik ağlarda tek yönlü veri akışını ve güvenli medya içe/dışa aktarımını zorunlu kılmak için MetaDefender Platformunun daha da fazla katmanı.
OPSWAT , kritik olanı korumak için küresel olarak güvenilirdir; hava boşluğunuzu güvende tutmanıza nasıl yardımcı olabileceğimizi keşfedin.
Sıkça Sorulan Sorular (SSS)
S: Hava boşluğu nedir?
Hava boşluğu, yetkisiz erişimi veya veri sızıntılarını önlemek için sistemlerin güvenilmeyen ağlardan izole edildiği bir güvenlik konseptidir.
S: Hava boşlukları nasıl çalışır?
Hava boşlukları, genellikle veri diyotları gibi donanım kontrolleri kullanarak sistemlerin harici ağlarla bağlantısını fiziksel veya mantıksal olarak keserek çalışır.
S: Hava boşluklu ağların güvenlik avantajları nelerdir?
Hava boşluklu ağlar, harici siber tehditlere karşı üstün koruma sağlar, kötü amaçlı yazılım sızma riskini azaltır ve kritik altyapı için idealdir.
S: Hava boşluklu ağlar diğer güvenlik yaklaşımlarından daha mı iyi?
Yüksek riskli ortamlarda daha güvenlidirler ancak segmentasyon veya güvenlik duvarlarına kıyasla daha yüksek bakım maliyetleri ve sınırlı esneklikle birlikte gelirler.
S: Hava boşluğu bağlantısı nedir?
Hava boşluklu sistemler tasarım gereği bağlantısız olduğundan teknik olarak "hava boşluklu bağlantı" yoktur. Ancak, kontrollü transferlerde çıkarılabilir medya veya tek yönlü ağ geçitleri kullanılabilir.
S: Hava boşluğu açma tekniği nedir?
Hava boşluğu, güvenlik açısından hassas ortamlarda kullanılan, tüm ağ bağlantılarını kaldırarak bir sistemi izole etme yöntemidir.
S: Hava gapping neden önemlidir?
Savunma, enerji ve üretim gibi veri bütünlüğü ve gizliliğinin çok önemli olduğu sistemler için hava gapping çok önemlidir.
S: Hava boşluklu ağ nedir?
Hava boşluklu bir ağ, yetkisiz veri alışverişini önlemek için güvenilmeyen sistemlerden fiziksel veya mantıksal olarak izole edilmiş güvenli bir ağdır.
