Air-Gapped meghatározása
Az air-gapped olyan biztonsági architektúra, amelyben a számítógépeket vagy hálózatokat fizikailag vagy logikailag elszigetelik a nem biztonságos rendszerektől, beleértve a nyilvános internetet is. Ez az elválasztás – amelyet általában „air gap”-nek neveznek – megakadályozza a jogosulatlan hozzáférést, így biztosítva, hogy az érzékeny adatok és rendszerek védve maradjanak a külső kiberfenyegetésektől.
air-gapped gyakran olyan környezetekben alkalmazzák, ahol maximális védelemre van szükség – például titkosított hálózatokban vagy a kritikus infrastruktúrában működő OT (operatív technológia) rendszerekben –, és ezek air-gapped az egyik legbiztonságosabb hálózati kialakítást jelentik.
Légrés vs. hálózati szigetelés: Főbb különbségek
Míg a hálózati elszigetelés magában foglalhatja a hálózatok szoftver által meghatározott határok – például VLAN-ok vagy tűzfalak – segítségével történő szegmentálását, addig air-gapped teljesen kiküszöbölik a kapcsolódási lehetőségeket. Ez a fizikai leválasztás megszünteti a bejövő és kimenő forgalmi útvonalakat, így air-gapped ellenállóbbak a külső támadásokkal szemben.
Az iparági terminológia magyarázata
Air-gapped gyakoriak a magas biztonsági követelményeket támasztó környezetekben, például a titkosított kormányzati rendszerekben, az OT-környezetekben és az ICS-ekben (ipari vezérlőrendszerek). Ezek a hálózatok gyakran olyan infrastruktúrát támogatnak, ahol az üzemkimaradások vagy az adatbiztonsági incidensek katasztrofális következményekkel járhatnak.
Az olyan kifejezések, mint a "high side/low side" a megbízható és a nem megbízható környezetek közötti elválasztásra utalnak, a légrésszel biztosítva, hogy a kettő között ne legyen közvetlen híd.
Hogyan működnek Air-Gapped ?
Air-gapped úgy működnek, hogy fizikai vagy logikai elszigeteltséget biztosítanak a nem biztonságos rendszerektől. Ezek az intézkedések garantálják, hogy az elszigetelt rendszer és a külső hálózatok között ne legyen közvetlen kommunikáció – sem vezetékes, sem vezeték nélküli formában.
Az egyik gyakori architektúra olyan, hardveresen érvényesített egyirányú átjárók – például adatdiódák – használatán alapul, amelyek lehetővé teszik az információ kiáramlását az air-gapped , anélkül, hogy bármilyen bejövő adatáramlást engedélyeznének.

Fizikai elszigetelés és hálózati szegmentáció
A fizikai elszigetelés a rendszerek teljes leválasztását jelenti minden olyan hálózatról, amely kockázatot jelenthet. Ez magában foglalhatja a rendszerek árnyékolt helyiségekben történő elhelyezését, vagy a vezeték nélküli vagy Ethernet-csatlakozók teljes eltávolítását.
A hálózati szegmentálás kiegészítheti a fizikai elszigetelést azáltal, hogy érzékenység és funkció alapján szigorú belső határokat hoz létre a rendszerek között.
Egyirányú adatáramlás és adatdiódák
Az egyirányú adatáramlás, amelyet gyakran adatdiódák kényszerítenek ki, lehetővé teszi az információk egyirányú átvitelét egy magasabb érzékenységű környezetből egy alacsonyabb biztonsági zónába, visszaút nélkül. Az adatdiódák különösen hardver-szintű kényszerítést alkalmaznak a visszatérő forgalom megakadályozására, kiküszöbölve a visszacsatornás kommunikáció kockázatát.
Ezek az eszközök nélkülözhetetlenek az olyan környezetekben, mint az elektromos hálózatok, ahol az üzemeltetőknek külső fenyegetések nélkül kell hozzáférniük a valós idejű telemetriához.
Az adatdiódák és más biztonsági eszközök összehasonlításáról bővebben lásd: Adatdiódák vs. tűzfalak.
Air-Gapped biztonsági előnyei
Air-gapped önmagukban ugyan nem tökéletesek, de általában védelmet nyújtanak a külső kiberfenyegetések ellen. Mivel nincsenek összeköttetésben külső rendszerekkel, csökkentik az internet-hozzáférésen alapuló fenyegetésekből származó kockázatokat, ideértve a rosszindulatú programok, a zsarolóprogramok és a távoli kihasználási eszközök számos típusát.
Air-gapped gyakran jelentik a legkritikusabb műveletek utolsó védelmi vonalát, a katonai parancsnokságoktól kezdve a nukleáris létesítmények vezérlőrendszereinekig.
Kritikus infrastruktúra és OT Security
Air-gapped kulcsfontosságú szerepet játszanak az operatív technológiai (OT) környezetek – például az erőművek, a víztisztító telepek és a közlekedési rendszerek – biztonságának biztosításában. Valójában azoknak a kritikus infrastruktúra-rendszereknek a nagy része, amelyekre leginkább támaszkodunk, még az internet megjelenése előtt épült ki.
Az egykor teherautókra támaszkodó rendszerek, amelyek alállomásról alállomásra hajtottak az adatok gyűjtéséhez, még ma is szolgálnak minket, még akkor is, ha az internet tovább fejlődött és digitalizálta a munkafolyamatokat.
Ezek az iparágak a kiszámítható, megszakítás nélküli teljesítménytől függenek. A kulcsfontosságú rendszerek elszigetelésével az üzemeltetők még akkor is biztosítják a biztonságot és a megbízhatóságot, ha a fenyegetések aktívan támadják az IT-hez kapcsolódó komponenseket.
Ha többet szeretne megtudni erről, olvassa el a Air-Gapped védelme a célzott támadások ellen” című cikket.
Air-Gapped kiépítése és karbantartása
Egy air-gapped kiépítése és kezelése gondos tervezést és szigorú üzemeltetési fegyelmet igényel. A szervezeteknek el kell dönteniük, hogy fizikai vagy logikai légrést alkalmaznak-e, és hogyan kezelik biztonságosan az adatok behozatalát és kivitelét.
A biztonsági mentési stratégiák, az úgynevezett légréses biztonsági mentések szintén kritikus fontosságúak. Ezeket a biztonsági másolatokat offline vagy elszigetelt környezetben tárolják, hogy megakadályozzák, hogy a zsarolóprogramok titkosíthassák vagy törölhessék azokat.
Fizikai vs. logikai légrések
A fizikai légrés azt jelenti, hogy a védett rendszer és a külső hálózatok között nincsenek hálózati kábelek, Wi-Fi-kapcsolatok vagy egyéb digitális hidak. A logikai légrés olyan szoftveres vezérléseket használ, mint a tűzfalszabályok vagy útválasztási korlátozások, amelyek kényelmesebbek lehetnek, de kevésbé biztonságosak és sérülékenyek a félrekonfigurálásra vagy kihasználásra.
Eltávolítható Media és Secure adatátvitel
Air-gapped az adatok be- és kimeneteléhez gyakran USB , CD-ket vagy más cserélhető adathordozókat használnak. Ez a folyamat kockázattal jár. A biztonságos kezelés érdekében a szervezeteknek a következőket kell tenniük:
- Használat előtt vizsgáljon át minden adathordozót és átmeneti eszközt rosszindulatú szoftverek szempontjából.
- Használjon megbízható hardvert, például MetaDefender Kiosk és a MetaDefender Drive
- Hozzáférés-ellenőrzés és ellenőrzési nyomvonalak alkalmazása az átutalások nyomon követésére
A perifériák és a cserélhető adathordozók továbbra is az egyik kevés gyakorlati módszer az adatok frissítésére vagy lekérésére egy air-gapped , de a kockázat csökkentése érdekében ezeket szigorúan kell kezelni.
Légréstámadások és korlátozások
Erősségeik ellenére air-gapped önmagukban egyszerűen nem kivitelezhetők. Szükség van valamilyen módszerre a valós idejű adatok eléréséhez; ez azt jelenti, hogy meg kell valósítani a magas és alacsony biztonsági szintű hálózatok közötti kommunikációt –ideális esetben egyirányú, hardveresen érvényesített adatdiódák formájában.
Ezen felül air-gapped sem legyőzhetetlenek. Speciális támadások során már sikerült áttörni air-gapped nem hagyományos támadási vektorok – például megfertőzött USB , elektromágneses jelek vagy belső fenyegetések – segítségével.
E rendszerek fenntartása is erőforrás-igényes és üzemeltetési szempontból összetett lehet.
Figyelemre méltó légihézag-támadási példák
A leghíresebb légréstámadás a Stuxnet, egy kifinomult féreg, amelyet az iráni urándúsító létesítmények ellen terveztek. Fertőzött USB keresztül terjedt, és kifejezetten arra tervezték, hogy hálózati hozzáférés nélkül megváltoztassa a PLC (programozható logikai vezérlő) működését.
Más kutatások kimutatták, hogyan lehet adatokat kiszivárogtatni villogó LED-ek, ultrahangjelek vagy áramingadozások segítségével, ami rávilágít arra, hogy megfelelő körülmények között még az elszigetelt rendszerek is szondázhatók.
Korlátozások és karbantartási kihívások
Air-gapped bonyolultabbá teszik a rendszert. A frissítések, a javítások és a rendszerfelügyelet manuális folyamatokat igényelnek. Az emberi hibák, a nem megfelelő adathordozó-kezelés vagy a világos biztonsági protokollok hiánya váratlan sebezhetőségeket eredményezhet.
A szervezeteknek egyensúlyt kell teremteniük az elszigeteltség előnyei, valamint a karbantartás és a felhasználói élmény működési követelményei között.
Air-Gapped és egyéb biztonsági megközelítések összehasonlítása
Air-gapped gyakran hasonlítják össze a tűzfalakkal védett környezetekkel, a hálózati szegmentációs stratégiákkal és az adatdiódák bevezetésével. Mindegyiknek megvan a maga helye egy szilárd biztonsági rendszerben, de költség, összetettség és hatékonyság tekintetében jelentősen eltérnek egymástól.
Légrés vs. hálózati szegmentáció vs. adatdióda
Jellemző | air-gapped hálózat | Hálózati szegmentálás | Adatdióda-alapú biztonság |
|---|---|---|---|
Csatlakoztathatóság | Nincs kapcsolat | Ellenőrzött belső hozzáférés | Egyirányú külső áramlás |
Izolációs szint | Magas (fizikai/logikai) | Közepes (csak logikai) | Magas (hardveresen kényszerített) |
Felhasználási eset | Osztályozott, OT, kritikus | Vállalati informatika, osztályos | OT monitorozás, törvényszéki vizsgálat |
Költségek | Magas | Közepes | Közepes és magas |
Karbantartás összetettsége | Magas | Alacsony és közepes között | Közepes |
Ellenálló képesség a kibertámadásokkal szemben | Nagyon magas | Közepes | Magas |
Mélyebb betekintést nyerhet a Bridging the Gap és a Firewalls Are Not Enough (A tűzfalak nem elegendőek) témakörökben.
A következő lépés megtétele

Akár egy nukleáris vezérlőrendszert kell védenie, akár egyszerűen csak biztonságos fájlátvitelt kell biztosítania egy elszigetelt laboratóriumi környezetbe, OPSWAT bevált technológiákat OPSWAT air-gapped . A mi MetaDefender Optical Diode és MetaDefender Kiosk együttműködnek a MetaDefender Drive és a MetaDefender további rétegeivel együttműködve biztosítják az egyirányú adatáramlást és a biztonságos adathordozók importját/exportját a kritikus hálózatokon.
Az OPSWAT világszerte megbíznak a kritikus fontosságú dolgok védelmében - fedezze fel, hogyan segíthetünk légréseinek biztonságban tartásában.
Gyakran ismételt kérdések (GYIK)
K: Mi az a légrés?
A légrés egy olyan biztonsági koncepció, ahol a rendszereket elszigetelik a nem megbízható hálózatoktól a jogosulatlan hozzáférés vagy adatszivárgás megakadályozása érdekében.
K: Hogyan működnek a légrések?
A légrések úgy működnek, hogy fizikailag vagy logikailag elválasztják a rendszereket a külső hálózatoktól, gyakran hardveres vezérlők, például adatdiódák segítségével.
K: Milyen biztonsági előnyei vannak air-gapped ?
Air-gapped kiváló védelmet nyújtanak a külső kiberfenyegetések ellen, csökkentik a rosszindulatú szoftverek behatolásának kockázatát, és ideálisak a kritikus infrastruktúrák számára.
K: air-gapped jobbak-e, mint más biztonsági megoldások?
Nagy kockázatú környezetekben biztonságosabbak, de magasabb karbantartási költségekkel és korlátozott rugalmassággal járnak a szegmentáláshoz vagy a tűzfalakhoz képest.
K: Mi az a légréscsatlakozás?
Technikai szempontból nem létezik „air gap-kapcsolat”, mivel air-gapped tervezésüknél fogva leválasztottak. Az ellenőrzött adatátvitel során azonban cserélhető adathordozók vagy egyirányú átjárók használhatók.
K: Mi az a légtérzárási technika?
A légtérzárás a rendszer elszigetelésének módszere az összes hálózati kapcsolat eltávolításával, amelyet biztonsági szempontból érzékeny környezetekben alkalmaznak.
K: Miért fontos a légtömörítés?
A légzárás elengedhetetlen az olyan rendszerek esetében, ahol az adatok sértetlensége és titkossága elsődleges fontosságú, mint például a védelmi, az energetikai és a gyártási rendszerek.
K: Mi az a air-gapped ?
Az air-gapped egy olyan biztonságos hálózat, amelyet fizikailag vagy logikailag elszigeteltek a megbízhatatlan rendszerektől, hogy megakadályozzák a jogosulatlan adatcserét.
