Een air gap is een fysieke isolatie van een computersysteem of netwerk van onbeveiligde netwerken, inclusief het publieke internet. Air-gapped systemen hebben geen bedrade of draadloze verbindingen met externe netwerken; gegevensoverdracht vereist fysieke verplaatsing van goedgekeurde opslagmedia of eenrichtingsgegevensoverdrachtsapparaten. Air gaps zijn de meest fundamentele beveiligingsmaatregel voor de meest gevoelige geclassificeerde informatiesystemen: geen enkele hoeveelheid softwarebeveiliging kan een fysieke netwerkverbinding compenseren wanneer het dreigingsmodel natiestaat-tegenstanders omvat met geavanceerde offensieve cybercapaciteiten.
Het implementeren en onderhouden van moderne software op air-gapped systemen vereist een fundamenteel andere technische aanpak dan internetverbonden implementaties. De gemaksfuncties waarop ontwikkelteams vertrouwen — geautomatiseerde pakketbeheerders die afhankelijkheden ophalen uit publieke repositories, containerimages opgehaald van Docker Hub of publieke registers, CI/CD-pijplijnen die externe SaaS-diensten bereiken, configuratiebeheertools die communiceren met cloudbesturingsvlakken — falen allemaal in air-gapped omgevingen.
Wat Air Gap Betekent en Waar Het Vereist Is
Air gaps zijn vereist waar de classificatie of gevoeligheid van de verwerkte gegevens of de gecontroleerde systemen fysieke netwerkisolatie rechtvaardigt. In militaire contexten:
Sensitive Compartmented Information Facilities (SCIFs) zijn fysiek beveiligde kamers of gebouwen waar geclassificeerde informatie boven SECRET — met name SCI (Sensitive Compartmented Information) — kan worden verwerkt en besproken. Computersystemen in een SCIF die SCI-niveau gegevens verwerken, moeten air-gapped zijn van netwerken die niet zijn geaccrediteerd op hetzelfde classificatieniveau.
Geclassificeerde operationele netwerken — SECRET of hoger — zijn air-gapped van niet-geclassificeerde netwerken. Gegevensoverdracht tussen classificatieniveaus vereist een Cross-Domain Solution (CDS): een hardware-softwaresysteem dat regels voor informatieoverdracht handhaaft tussen de twee netwerkniveaus.
Wapensysteemcontrollers en ingebedde systemen — vuurcontrolescomputers, navigatiesystemen, radar- en sensorcontrollers — zijn air-gapped van operationele netwerken als onderdeel van hun beveiligingsarchitectuur. Software-updates voor deze systemen worden geleverd via de onderhoudsinterface van het platform, met behulp van goedgekeurde media, volgens een gedocumenteerde en geteste procedure.
Software-implementatie Zonder Internet: Artefactregisters en Pakketspiegels
In een air-gapped omgeving moet elke softwareafhankelijkheid die een applicatie nodig heeft aanwezig zijn in de omgeving vГіГіr implementatie. Niets kan tijdens de implementatie worden opgehaald van het internet. Dit vereist het opbouwen van een intern artefactecosysteem dat de externe bronnen spiegelt waarop de applicatie anders zou vertrouwen.
Harbor is het CNCF-afgestudeerde open-source containerregister en is de standaardkeuze voor interne containerimageregisters in air-gapped defensieomgevingen. Harbor biedt: imageopslag en replicatie, kwetsbaarheidsscanning van images (via Trivy), content trust (digitale handtekeningverificatie voor images) en op rollen gebaseerde toegangscontroles. Het vullen van het Harbor-register vereist een proces om vooraf goedgekeurde, vooraf gescande containerimages van buiten de air gap te importeren via goedgekeurde media.
Offline pakketspiegels repliceren publieke pakketrepositories voor gebruik binnen de air gap. Voor Python dient een intern PyPI-spiegel pip-verzoeken. Voor npm dient een Nexus- of Artifactory-instantie npm-verzoeken. Het afhankelijkheidsbeheerproces moet expliciet zijn: voordat begonnen wordt met een feature die wordt geГЇmplementeerd in een air-gapped omgeving, moet de ontwikkelaar expliciet alle afhankelijkheden identificeren en verifiГ«ren dat ze aanwezig zijn in de interne spiegel.
Patchbeheer: Geteste Bundels en Wijzigingsbeheer
Patchbeheer in air-gapped omgevingen kan geen gebruik maken van geautomatiseerde patchbeheersystemen die updates ophalen van leveranciersclouddiensten. In plaats daarvan vereist patchbeheer een gedefinieerd, gedocumenteerd proces voor het brengen van patches van buiten de air gap naar binnen, ze testen in een representatieve omgeving en ze op gecontroleerde wijze toepassen.
Voorbereiding van patchbundels begint buiten de air gap: het patchbeheerteam identificeert vereiste patches, downloadt ze van leveranciersbronnen, verifieert hun authenticiteit (checksum en digitale handtekeningverificatie) en verpakt ze voor overdracht.
Overdracht via goedgekeurde verwijderbare media is het standaardmechanisme voor het verplaatsen van patches over de air gap. Goedgekeurde mediaprocedures omvatten doorgaans: gebruik van alleen door organisatie beheerde media, virusscannen van media aan beide zijden van de air gap, gebruik van eenmalig-schrijfbare media voor onomkeerbare auditsporen, en documentatie van elke overdracht.
Gefaseerd testen is niet-onderhandelbaar voor air-gapped operationele systemen: patches moeten worden getest in een testomgeving die overeenkomt met de productieconfiguratie voordat ze worden toegepast op productie. Een patch die een air-gapped productiesysteem destabiliseert kan niet worden teruggedraaid door simpelweg de vorige versie van een internetbron te halen.
Geheim Roteren in Air-Gapped Omgevingen
Geheimen — TLS-certificaten, databasereferenties, API-sleutels — verlopen en moeten worden geroteerd. In internetverbonden omgevingen is geheimrotatie steeds meer geautomatiseerd. Geen van deze geautomatiseerde mechanismen werkt in air-gapped omgevingen omdat ze vertrouwen op netwerkconnectiviteit met certificeringsinstanties en geheimbeheerapplicaties die niet toegankelijk zijn vanuit de air gap.
Hardware Security Modules (HSMs) bieden de vertrouwenswortel voor cryptografische bewerkingen in air-gapped geclassificeerde omgevingen. Een HSM (zoals een Thales Luna of nCipher nShield apparaat) slaat privГ©sleutels op in manipulatiebestendige hardware, voert cryptografische bewerkingen uit zonder sleutelmateriaal bloot te stellen en biedt FIPS 140-2 Level 3 of Level 4 gevalideerde beveiliging.
Offline vault en sleutelceremonie-procedures definiëren hoe geheimen worden geroteerd zonder geautomatiseerd gereedschap. Een sleutelceremonie is een formele, gedocumenteerde procedure — met meerdere gemachtigde personeelsleden aanwezig — voor het genereren, laden of roteren van cryptografische sleutels.
CI/CD voor Air-Gapped Omgevingen
Continue integratie en implementatiepijplijnen kunnen werken in air-gapped omgevingen met de juiste toolingkeuzes. De pijplijninfrastructuur moet volledig zelfvoorzienend zijn binnen de air gap, zonder clouddienstafhankelijkheden.
GitLab Community Edition on-premises geГЇmplementeerd is het standaard zelfgehoste git- en CI/CD-platform voor air-gapped omgevingen. GitLab CE biedt: git-repositoryhosting, merge-request-workflows, CI/CD-pijplijnuitvoering, pakketregister en containerregister. Er is geen cloudconnectiviteit vereist.
GitLab Runners moeten worden geconfigureerd met toegang tot de interne pakketspiegels in plaats van externe pakketrepositories. Pijplijnstadia die normaal externe diensten zouden aanroepen moeten worden omgeconfigureerd om interne equivalenten te gebruiken of worden uitgeschakeld.
Kernbevinding: De duurste fout in air-gapped defensiesoftwareprogramma's is het ontwerpen van de software voor internetverbonden implementatie en het achteraf aanpassen voor air-gapped werking laat in de ontwikkelingscyclus. Air-gap-compatibiliteit moet een ontwerpvereiste zijn vanaf dag één: geen clouddienstafhankelijkheden in de kerntoepassing, alle afhankelijkheden expliciet gecatalogiseerd en beschikbaar in interne spiegels.