Data Diode
ทำไมถึงสามารถป้องกันการโจมตีได้ 100%
เพิ่มความปลอดภัยให้กับเครือข่ายอุตสาหกรรมช่วยให้มั่นใจได้ถึงความปลอดภัยสูงสุดในการส่งข้อมูล ซึ่งมีความแตกต่างจาก Firewall ตรงที่ Firewall อนุญาตให้ข้อมูลผ่านได้ทั้งสองทิศทางตามกฎที่ตั้งไว้ ในขณะที่ Data Diode บังคับให้เป็นทางเดียวเสมอ
Data Diode คืออะไร
เพิ่มความปลอดภัยให้กับเครือข่ายอุตสาหกรรมช่วยให้มั่นใจได้ถึงความปลอดภัยสูงสุดในการส่งข้อมูล ซึ่งมีความแตกต่างจาก Firewall ตรงที่ Firewall อนุญาตให้ข้อมูลผ่านได้ทั้งสองทิศทางตามกฎที่ตั้งไว้ ในขณะที่ Data Diode บังคับให้เป็นทางเดียวเสมอ
หลักของ Data Diode คือการทำให้เส้นทางย้อนกลับ เป็นไปไม่ได้ในทางกายภาพ เช่น
ใช้การส่งข้อมูลแบบทางเดียวผ่านสื่อ/วงจรที่ออกแบบให้ “รับอย่างเดียว” หรือ “ส่งอย่างเดียว”
ตัด TX/RX หรือกำหนดทิศทางการสื่อสารแบบฮาร์ดแวร์
ซึ่งแล้วแต่สถาปัตยกรรมของผู้ผลิต แต่หลักก็คือไม่มีทางที่ฝั่งรับจะส่งข้อมูลย้อนกลับไปยังฝั่งส่งได้ เพราะไม่มีตัวส่งทางกายภาพ
ประเด็นสำคัญที่ต้องเข้าใจ
Data Diode ไม่ใช่อุปกรณ์สำหรับ “ป้องกันการโจมตีระดับ IT” และไม่สามารถทดแทนแนวทาง IT Security ได้ เพราะโลก IT ต้องพึ่งพาการสื่อสารสองทางจำนวนมาก เช่น authentication, APIs, user access, remote administration, email/web access รวมถึง workflow ที่ต้อง “โต้ตอบ” ตลอดเวลา
ในทางกลับกัน OT (Operational Technology) โดยเฉพาะโซนที่สำคัญ (Critical control zone) มักต้องการ ส่งข้อมูลออกไปเพื่อมอนิเตอร์ มากกว่า เปิดรับคำสั่งจากภายนอก นี่จึงเป็นเหตุผลว่าทำไม Data Diode ถึงถูกออกแบบมาเพื่อปกป้อง OT เป็นหลัก ไม่ใช่เพื่อเป็นเกราะให้ระบบ IT
เข้าใจ IT vs OT
ให้ชัด ก่อนเลือกวิธีป้องกัน
การจะเข้าใจได้ว่า Data Diode ตอบโจทย์การป้องกันในระบบ OT ผู้อ่านต้องแยกโลก IT กับ OT ออกจากกันให้ชัดก่อน เพราะ “ธรรมชาติระบบ” ต่างกันมาก และ “วิธีป้องกัน” ก็ต้องต่างกันตามธรรมชาติระบบด้วย
IT เน้น Confidentiality /
Integrity + Patch ได้
ฝั่ง IT (Information Technology) เน้น:
ความลับของข้อมูล (Confidentiality)
ความถูกต้องของข้อมูล (Integrity)
ความพร้อมใช้งาน (Availability) แต่โดยมากยอม downtime ได้ในระดับหนึ่ง (เช่น maintenance window)
IT มีข้อดีคือ:
อัปเดต Patch ได้บ่อย
ลง Antivirus/EDR (Endpoint Detection and Response) ได้
มีเครื่องมือ monitoring, logging, IAM (Identity and Access Management) ที่หลากหลาย
แน่นอนว่า IT ก็โดนโจมตีเยอะ แต่เครื่องมือและการอัปเดตอย่างต่อเนื่อง ทำให้สามารถบริหารความเสี่ยงได้เป็นอย่างเป็นระบบ
“ และนี่คือจุดที่ต้องทำความเข้าใจเพิ่ม : Data Diode ไม่ได้ถูกออกแบบมาเพื่อแก้โจทย์ IT เช่น phishing, credential theft, web exploit, lateral movement ใน domain, หรือการป้องกัน endpoint/user โดยตรง เพราะทั้งหมดนี้ต้องใช้กลไก IT security อื่น ๆ เช่น EDR, IAM/MFA, Zero Trust, Email security, SIEM/SOC ฯลฯ ที่เหมาะกับสภาพแวดล้อมแบบ two-way ของ IT”
OT เน้น Availability + Legacy + Protocol เฉพาะ
ฝั่ง OT (Operational Technology) คือระบบที่ “คุมกระบวนการจริง” เช่น PLC, SCADA, DCS, HMI, Historian, Safety system
OT มีลักษณะเฉพาะที่ทำให้ป้องกันการโจมตีทำได้ยากกว่า:
Availability มาก่อน : OT ไม่ยอม downtime เพราะการหยุด คือหยุดผลิต
Patch ยาก : อุปกรณ์จำนวนมากเป็น Legacy หรือ vendor-locked การอัปเดตเสี่ยงกระทบการทำงาน
ไม่สามารถติดตั้ง Anti-virus/Agent : PLC หรือ HMI บางรุ่นลง agent ไม่ได้ หรือ vendor ไม่รับรอง
ใช้ Protocol เฉพาะ : เช่น Modbus, DNP3, PROFINET, EtherNet/IP, OPC Classic ฯลฯ ซึ่งเดิมไม่ได้ออกแบบมาพร้อม security
รอบอายุยาวมาก : 10–20
เพราะ OT ไม่ได้ถูกออกแบบให้รับมือกับภัยคุกคามสมัยใหม่ และไม่สามารถแข็งแกร่งได้เท่า IT และเมื่อโรงงานต้องการ ส่งข้อมูล OT ออกไปทำ Analytics/Cloud เท่ากับเปิดทางให้ภัยคุกตาม และการโจมตีจาก IT ลามลงยัง OT ได้ และเป็นอันตรายอย่างยิ่ง Data Diode จึงเป็นคำตอบเชิงสถาปัตยกรรม (architecture-level security) ในการป้องกัน
Data Diode ต่างจาก Firewall อย่างไร
Two-way vs One-way (กายภาพ)
Firewall : อนุญาตการสื่อสาร “เข้า-ออก” ได้ (Two-way) เป็นการใช้ policy ควบคุม
Data Diode : อนุญาต “ออกอย่างเดียว” (One-way) และ บังคับด้วย Physical design (OSI Layer 1)
ความหมายของคำว่า “Physical” สำคัญมาก เพราะมันไม่ใช่แค่ configuration หรือ software feature ที่ถูก bypass ได้ด้วย bug หรือ misconfig
แนวคิดหลักของ Data Diode คือ:
ข้อมูลสามารถส่งออกจากพื้นที่ปลอดภัย ซึ่งในที่นี้คือ Secure Site หรือ OT ไปยังภายนอก (IT/Cloud) ได้แต่ ข้อมูล/คำสั่ง/มัลแวร์จากภายนอกไม่สามารถย้อนกลับเข้ามาได้ทางกายภาพ เพราะระบบถูกออกแบบให้ ไม่มีทางกลับ จริงๆ attacker ต่อให้เก่งแค่ไหนก็ไม่สามารถ “ยิงกลับเข้ามาตามลิงก์เดิม” ได้ เพราะมันไม่มีช่องทางการส่งสัญญาณกลับในทางกาพ สร้างความปลอดภัยของช่องทางสื่อสาร
และนี่เองที่ทำให้คำว่า “ป้องกันได้ 100%” ถูกพูดถึงในบริบท Data Diode — แต่ต้องเข้าใจให้ตรงว่า “100%” คือ 100% ต่อความเป็นไปได้ของการสื่อสารย้อนกลับผ่านลิงก์นั้น (Inbound prevention on that link)
Data Diode เหมาะมากเมื่อโจทย์คือ OT ต้องส่งข้อมูลออกไป IT/Cloud แต่ไม่ต้องรับอะไรกลับ
Data Diode ไม่ได้เป็นเครื่องมือสำหรับป้องกันการโจมตีระดับ IT และไม่ใช่สิ่งที่ใช้แทน Firewall/EDR/IAM ในโลก IT
สนใจต้องการ
สอบถามเพิ่มเติม
ด้วยทีมงานมากประสบการณ์พร้อมให้คำปรึกษา ไว้วางใจให้เราเป็นส่วนหนึ่งของความสำเร็จ
Related Solutions
