Cambridge Cyber InternationalCambridge CyberInternati
nal

Sprzęt

Separacja domen dla finansów

Brak ruchu bocznego. Z założenia konstrukcyjnego.

Poproś o demonstrację

Problem

Naruszenia poruszają się na boki

Każde poważne naruszenie w sektorze finansowym ostatniej dekady obejmowało ruch boczny. Jedynym niezawodnym sposobem zatrzymania go między dwiema domenami jest uczynienie ich fizycznie niezdolnymi do współdzielenia pamięci, pamięci masowej lub stanu wykonania.

Ruch boczny między domenami

Co robi

Dwie domeny, fizycznie rozdzielone

Pojedyncza obudowa mieści dwie fizycznie izolowane domeny, regulowaną i ogólnego przeznaczenia, które nie współdzielą żadnej magistrali pamięci, pamięci masowej ani ścieżki sieciowej. Przełączanie jest czynnością sprzętową, a nie programowym przełączeniem kontekstu, więc kompromitacja strony ogólnego przeznaczenia nie może dotrzeć do strony regulowanej z założenia konstrukcyjnego.

Domeny rozdzielone sprzętowo

Przypadki użycia w sektorze finansowym

Podstawowym przypadkiem użycia jest stacja robocza operatora SWIFT: stacja używana do autoryzacji instrukcji płatniczych SWIFT musi być odizolowana od endpointu ogólnego przeznaczenia używanego do poczty e-mail i przeglądania sieci. Obowiązkowa kontrola 1.1 SWIFT CSP wymaga tej separacji; większość wdrożeń osiąga ją poprzez wirtualizację programową, co spełnia literę, ale nie ducha kontroli. Separacja sprzętowa spełnia oba.

Drugorzędne przypadki użycia obejmują izolację terminala transakcyjnego (oddzielenie systemu zarządzania zleceniami od obliczeń ogólnego przeznaczenia) oraz uprzywilejowane stacje robocze dostępu do administrowania siecią i systemami w środowiskach regulowanych.

Certyfikacja i zgodność

Architektura separacji sprzętowej jest udokumentowana tak, aby spełniać obowiązkową kontrolę 1.1 SWIFT CSP (separacja krytycznego środowiska operatora), wymagania bezpieczeństwa ICT z Artykułu 9 DORA dla systemów o dużym wpływie oraz techniczne środki z Artykułu 21 NIS 2 dla podmiotów kluczowych. Dokumentacja dla Załącznika A.8.22 ISO 27001 (segregacja sieci) jest dostępna na żądanie.

Frameworks addressed

DORA SWIFT CSP ISO 27001 NIS 2

Related products

Widoczność

NetDiagramer

Modeluje architekturę powstałą w wyniku separacji domen; warstwy biznesowa i technologiczna bez linii zależności międzydomenowych tam, gdzie separacja jest utrzymana.

Odporność finansowa

DORA-MAST

DORA-MAST modeluje wpływ separacji domen na odporność; kwantyfikuje, jak przerwa powietrzna zmienia Twoją krzywą przekroczenia strat.

Every product is field-tested

← All products