דלג לתוכן
אתר זה עושה שימוש בקובצי Cookie חיוניים לתפעולו התקין, וכן בקובצי Cookie נוספים לצורכי ניתוח ושיווק (למשל Google Analytics). באפשרותכם לבחור את העדפותיכם.

Data Diode - לא חומת אש, ולא מה שרוב המפתחים מצפים לו

מנהלי מחשוב במפעלים מכירים את המונח. מה שפחות מוסבר הוא מה Data Diode בעצם דורש לבנות - משני צידי הרשת המבודדת.

אלכס אולנובסקי אלכס אולנובסקי CEO & CTO
4 דק'
Data Diode - לא חומת אש, ולא מה שרוב המפתחים מצפים לו

כשמנהל מחשוב במפעל שומע לראשונה על Data Diode, הדימוי הראשון שעולה הוא לרוב של Firewall - רכיב שיושב על הרשת, מסנן, ומחליט מה עובר. למעשה, זה ממש לא מה שזה.

ההבדל הזה, בין Firewall לבין Data Diode, הוא גם ההסבר למה פרויקטים כאלה דורשים מפתח שמכיר את התחום, לא סתם מישהו שיודע לכתוב אפליקציה.

רשת Air-Gap - למה היא קיימת

רשת Air-Gap היא רשת שמנותקת פיזית מכל רשת חיצונית, כולל האינטרנט וכולל הרשת הארגונית הרגילה. זו לא חומת אש, לא VPN, לא VLAN. ניתוק פיזי.
המתקנים שבהם זה נדרש, הם אלו שבהם פריצה לרשת הפנימית עלולה לגרום נזק פיזי: קווי ייצור, מערכות בקרה תעשייתיות, ציוד SCADA ו-PLC, מתקנים כימיים, תשתיות קריטיות ומפעלים בתחום הביטחוני.

בסביבות האלה, רמת האבטחה לא נקבעת לפי מדיניות - היא נקבעת לפי דרישות רגולטוריות, לפעמים לפי דרישות לקוח, ולפעמים לפי לקח שנלמד ממקרה אמיתי.

Air-Gap פותר בעיה אחת לחלוטין: אין כניסה. אבל הוא יוצר בעיה שניה: אין יציאה! ולפעמים הצורך בנתונים או בהתראות הנובעות מהם, חיוניים מאוד לאנשים שנמצאים מחוצה לה.

מה Data Diode עושה ומה הוא לא עושה

ה-Data Diode הוא רכיב שמאפשר העברת נתונים בכיוון אחד בלבד: מהרשת הסגורה החוצה, ללא אפשרות פיזית לזרימה הפוכה. לא תוכנתית - פיזית!
זה ההבדל המהותי מ-Firewall. חומת אש היא תוכנה עם כללים. אם הכללים שגויים, אם יש פגיעות, אם מישהו שינה הגדרה - יש פתח. Data Diode לא יכול לשלוח נתונים חזרה כי הוא לא בנוי לזה ברמת החומרה.

אבל כאן מגיע הדבר שהרבה מנהלים מגלים רק כשמתחילים לעבוד:
Data Diode לא מעביר "תעבורה". הוא מעביר struct.
הרכיב לא פועל כצינור כללי שמעביר כל packet שנכנס אליו. הוא עובד עם מבנה נתונים מוגדר מראש - פורמט קבוע, שדות ידועים, גודל מוסכם. מה שלא תואם את המבנה - לא עובר.

וזה שינוי מהותי בדרישות הפיתוח!

למה זו לא עבודה של מפתח אפליקציות רגיל

מי שמגיע לפרויקט כזה ומצפה לכתוב API שמחזיר JSON ומחבר לאפליקציה - נתקל בקיר!

הפיתוח נדרש משני הצדדים:

בתוך הרשת הסגורה, צריך לבנות שירות שיודע לאסוף נתונים ממקורות שונים: PLCs, SCADA, בסיסי נתונים תפעוליים ויישומי OnPrem נוספים. בשלב הבא צריך לנרמל אותם, לארוז אותם בפורמט שה-Diode מצפה לו, ולדחוף אותם בקצב מבוקר. הפיתוח הזה חי בסביבה מוגבלת: אין גישת אינטרנט לספריות, אין debug מרחוק, ולעיתים יש אילוצי OS ישנים.

בצד החיצוני, צריך לבנות שירות שמקבל את ה-stream, מפרק את ה-struct, מוודא תקינות, ומתרגם אותו לאירועים ולרשומות שהשאר המערכות יכולות לצרוך. אין ACK. אין אפשרות לבקש שליחה מחדש - הנתון עבר או לא עבר, ואין תקשורת חזרה כדי לברר.

רק אחרי שני השלבים האלה יש API. רק אחרי ה-API יש אפליקציה.

הנגשה סלקטיבית - לא הכל לכולם

הנתונים שיוצאים מהמפעל לא שייכים לכולם באותה מידה.

לקוח שרכש ציוד צריך לראות סטטוס ותקינות - לא נתוני ייצור פנימיים. מנהל קו צריך KPI של המשמרת - לא לוגי תקינות של פרוטוקולים. איש שירות שטח שמוקפץ לאירועי תחזוקה, צריך לראות היסטוריית תקלות של המכשיר הספציפי - לא יותר!

ההנגשה הסלקטיבית הזאת לא קורית לבד. היא דורשת שכבת הרשאות, לוגיקה עסקית, ולפעמים ממשקים שונים לחלוטין לקהלים שונים. על פי הצורך, אלו יכולים להיות: אפליקציה מובייל לשטח, פורטל ווב ללקוחות, דשבורד לניהול.

כל זה חי מחוץ לרשת הסגורה, אבל ניזון מהנתונים שיצאו ממנה.

הניסיון שלנו

בביט-ג'אם אנחנו עובדים עם לקוחות שיש להם דרישות אבטחה לא שגרתיות. רשתות מבודדות, ציוד תעשייתי שלא תוכנן לחיבור רשת, מערכות שבהן שגיאה תפעולית היא לא באג - היא אירוע.

הניסיון שלנו בתחום כולל את שני הצדדים: פיתוח בסביבת ה-OT הסגורה, ובניית שכבות הקבלה, העיבוד וההנגשה בצד ה-IT. אנחנו לא מייצרים Data Diodes ולא מוכרים חומרה - יש חברות שמתמחות בזה. אנחנו בונים את התוכנה שצריכה לעבוד משני הצדדים שלו.

זה בדיוק אחד ההבדלים שמפרידים בין מפתח שיודע לכתוב אפליקציה לבין מי שמבין מה הפרויקט הזה באמת דורש.

אם אתם מנהלי מחשוב במפעל עם רשת מבודדת, או שוקלים להקים כזאת ויש לכם נתונים שאנשים מחוץ לגדר צריכים לגשת אליהם - נשמח לדבר. צרו איתנו קשר.

תגיות: Web SBC Middleware Fintech Custom אפליקציות IoT Edge AI

על המחבר

אלכס אולנובסקי

אלכס אולנובסקי

CEO & CTO

אלכס מוביל את Bit-Gem מאז הקמתה, עם למעלה מ-20 שנות ניסיון בתעשיית ההייטק הישראלית, בתפקידי פיתוח וניהול בחלק מחברות הטק והאינטגרציה הגדולות בישראל, לצד ייעוץ מקצועי לחברות מובילות שנמשך עד היום. מתמחה בפיתוח Mobile, מערכות GIS, ארכיטקטורת מוצר ומערכות, IoT ו-Embedded, שילוב בינה מלאכותית בפתרונות תעשייתיים, ואינטגרציות עם מערכות ERP כמו Priority ו-SAP.

LinkedIn פרופיל מלא

יצירת קשר

השדות המסומנים בכוכבית (*) הם שדות חובה.
בעצם שליחת הטופס הנך מסכים/ה כי המידע שמסרת יישמר וישמש את חברת ביט ג'אם אך ורק לצורך טיפול בפנייתך ומתן מענה. החברה אינה עושה שימוש שיווקי בפרטים ואינה מעבירה אותם לגורמים חיצוניים. למידע נוסף על אופן עיבוד המידע וזכויותיך – ראו את מדיניות הפרטיות.



שאלות ותשובות

מה ההבדל בין Data Diode לחומת אש?

חומת אש היא תוכנה שמסננת תעבורה לפי כללים - בשני הכיוונים. Data Diode הוא רכיב שמעביר נתונים בכיוון אחד בלבד ברמה פיזית. לא ניתן להגדיר אותו "לא נכון" בצורה שתפתח ערוץ חזרה.

מה זה רשת Air-Gap?

רשת שמנותקת פיזית מכל רשת חיצונית, ללא חיבור אינטרנט, ללא חיבור לרשת הארגונית, ללא Wireless. מה שנמצא בתוכה מוגן על ידי ניתוק פיזי, לא על ידי הצפנה או מדיניות.

למה Data Diode דורש פיתוח ייעודי?

הרכיב לא מעביר תעבורה חופשית - הוא עובד עם מבנה נתונים מוגדר מראש. נדרש פיתוח בצד הסגור כדי לייצר את ה-struct הנכון, ופיתוח בצד החיצוני כדי לקבל, לפרק ולעבד אותו - ללא אפשרות לתקשורת חזרה לאישורים.

מי צריך נתונים שיוצאים ממפעל עם Air-Gap?

מנהלים שרוצים דשבורד ניהולי, לקוחות שרכשו ציוד ורוצים לראות סטטוס, אנשי שירות שטח שזקוקים להיסטוריית מכשיר לפני תחזוקה, ומערכות BI ארגוניות שצריכות להזין.

האם ניתן לשלוח פקודות לתוך הרשת דרך Data Diode?

לא! זוהי מגבלה עקרונית. אם הסביבה דורשת שליחת פקודות לציוד, נדרשת ארכיטקטורה שונה עם רמת אבטחה גבוהה.

מה Bit-Gem בונה בפועל בפרויקטים כאלה?

שירות הוצאת נתונים מהרשת הסגורה בפורמט התואם ל-Diode, שירות קבלה ועיבוד בצד החיצוני, שכבת API עם הרשאות והנגשה סלקטיבית, ואפליקציות קצה: מובייל, פורטל ווב, או דשבורד, לפי הקהל שצריך לגשת לנתונים.