こんにちは。NOZOMI&WATERFALL製品を担当している木村と申します。今回は、NOZOMI製品のCMCとGuardianの間に、データダイオードであるWATERFALL製品を挟み、安全を確保する構成についてご紹介差し上げます。
以下は構成図です。データダイオードは物理的に一方向にしかデータを転送できませんので、物理層レベルでネットワークの分離が可能です。NOZOMI製品には、データダイオード越しに下流のCMCやGuardianから上流のCMCへログやアラートデータを送信する機能が実装されています。
一方、CMCとGuardianを直接接続したときのように、上流のCMCから下流のCMCやGuardianにポリシーやデータを配布したり、リモートアクセスしたりすることはできませんので注意が必要です。
下流のGuardianはログやアラートデータをファイルとして、一旦、データダイオード側に送る構成となります。このときに選択できるプロトコルは、FTP、SSH/SCP、SMBの中から選択できます。以下の例は、Guardianから、SMBを使用してデータダイオードの参照する共有フォルダー(フォルダー名:share)にデータを送信する設定です。
トークンは、上流のCMCの画面からコピーして設定します。上流のCMCの以下の画面でコンシューマーにチェックを入れて保存し、トークンを入手しましょう。
下流のGuardianやCMCからデータを受け取ったデータダイオードは、ファイルを一方向通信に変換して上流側へ送信します。以下の例は、下流側のデータダイオード(WATERFALL TXHOST)が共有フォルダーからSMBでファイルを取得して、上流側に転送する設定です。
上流側ではCMCへSFTPでデータを送信しなければなりません。残念ながら、SMBやFTPは利用できません。以下の例は上流側のデータダイオード(WATERFALL RXHOST)がCMCへSFTPでデータを転送する設定です。
このときのSFTP接続のユーザー名は「n2os-datadiode」、接続先のディレクトリには「/spool」を設定します。認証方式にはSSH鍵の認証を選択します。パスワード認証は使用できません。
SSH鍵はデータダイオード側で作成するようにNOZOMI社のマニュアルでは案内されています。
以下は鍵を作成するコマンド例です。
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa
作成した公開鍵(上記の例では、id_rsa.pub)を上流のCMCにコピーします。上流のCMCの/data/ssh_n2os-datadiode/ssh_authorized_keysファイルに公開鍵の文字列をコピーして保存してください。
秘密鍵(上記の例では、id_rsa)は先の画面のようにデータダイオードWATERFALLに設定します。ファイル名はid_rsaだとはじかれてしまったため、id_rsa.keyにリネームしています。
以下はデータダイオードでデータを受信しているCMCのセンサー画面です。センサーのIPアドレスが127.0.0.1になっているのが特徴的でしょうか。
アラートなどのデータが同期されていることの確認ができました。
補足となりますが、GuardianとCMCははじめに従来のHTTPSを使用した接続設定が必要なようです。1回設定ができたあとは、HTTPSの接続は必要ありません。以下はGuardian側のCMCへ接続画面の例です。
CMC側ではGuardianの接続を許可するようにしておきましょう。
まとめ
従来のHTTPSではなく、ファイルを介して下流から上流にデータの送信をおこなう構成をとることで、データダイオードの一方向通信へ適用したことがご理解いただけたかと思います。
データダイオードを使用した構成は、強力なネットワークの分離をわかりやすく可能とします。重要なOTネットワーク内部を上流のネットワークやインターネットに絶対にさらしたくないといった際にはぜひこちらの構成のご検討をいただければ幸いです。
