Soluții cross-domain pentru apărare: transferul securizat al datelor între niveluri de clasificare

De Echipa de inginerie Corvus Intelligence · Despre echipă →

4 iunie 2026 9 min de lectură

O Soluție Cross-Domain (CDS) este un sistem hardware și software care permite transferul controlat al datelor între rețele care funcționează la niveluri de clasificare de securitate diferite — de exemplu, dintr-o rețea operațională SECRET spre un portal de coaliție NECLASIFICAT sau dintr-un flux de senzori NECLASIFICAT spre un sistem de comandă și control SECRET. Fără un CDS, aceste două rețele trebuie să rămână complet izolate: niciun flux de date nu poate circula între ele. Cu un CDS, transferuri definite cu precizie pot avea loc sub o aplicare strictă a politicii, permițând informațiilor clasificate să informeze deciziile tactice neclasificate și datelor neclasificate să alimenteze analizele clasificate fără a expune rețeaua cu clasificare mai înaltă la compromis.

Tehnologia CDS se află la intersecția politicii, ingineriei și legislației privind securitatea națională. Selectarea, implementarea și integrarea corectă a unui CDS reprezintă una dintre deciziile arhitecturale cu cel mai mare impact dintr-un program software de apărare clasificat. Un CDS specificat greșit sau integrat necorespunzător este fie prea restrictiv — blocând fluxuri de date necesare operațional și degradând eficacitatea misiunii — fie prea permisiv, creând o cale controlată prin care informații sensibile pot scurge spre rețelele cu clasificare mai scăzută. Acest articol acoperă tiparele de arhitectură, acreditare și integrare de care arhitecții de securitate și CIO-urile din domeniul apărării au nevoie pentru a naviga această decizie.

De ce transferurile cross-domain sunt necesare din punct de vedere operațional

Imperativul operațional pentru transferul de date cross-domain decurge din tensiunea fundamentală a managementului informațiilor în domeniul apărării: cele mai valoroase informații sunt adesea înalt clasificate, dar personalul și sistemele care trebuie să acționeze pe baza lor operează frecvent la niveluri de clasificare mai scăzute sau în medii de coaliție unde partajarea datelor peste granițele de clasificare naționale este necesară.

Declasificarea de la informații la operațiuni este cazul clasic de utilizare CDS. Un produs de informații SECRET — o evaluare a amenințărilor, un pachet de targetare, un raport de dispunere a forțelor — trebuie să fie sanitat și eliberat pe o rețea NECLASIFICATĂ sau de coaliție, astfel încât comandanții tactici și forțele națiunilor partenere să poată acționa pe baza lui. Fără un CDS, acest proces necesită revizuire umană manuală și reintroducere manuală a informațiilor declasificate, ceea ce este lent, predispus la erori și nu se poate scala la volumul operațiunilor informaționale moderne.

Agregarea datelor de la senzori pe niveluri de clasificare conduce fluxul invers. Informații din surse deschise (OSINT) neclasificate, imagini satelitare disponibile comercial și fluxuri de senzori ai națiunilor partenere trebuie ingerate în medii de analiză clasificate SECRET sau mai sus pentru fuzionare cu date clasificate. Un CDS furnizează calea de ingestie controlată: datele neclasificate intră în mediul cu clasificare mai înaltă prin guard, unde pot fi combinate cu date clasificate care nu părăsesc niciodată rețeaua de nivel înalt.

Operațiunile de coaliție creează cerințe cross-domain peste granițele de clasificare naționale. Marcajele REL (Releasable) ale NATO și nivelul de clasificare Mission Secret definesc ce informații pot fi partajate cu națiunile partenere specifice, dar mecanismul tehnic pentru impunerea acelor reguli de partajare la nivelul rețelei necesită un CDS care înțelege și aplică politicile de partajare a datelor ale coaliției.

Idee cheie: Cererea de soluții cross-domain nu este determinată în primul rând de dorința de a conecta rețele — este determinată de costul operațional al menținerii lor complet separate. Fiecare proces manual de declasificare, fiecare produs de informații întârziat, fiecare analist care nu poate accesa imaginea completă din cauza lipsei autorizației de securitate corecte reprezintă o pierdere de eficacitate a misiunii pe care tehnologia CDS este concepută să o reducă.

Tipare de arhitectură CDS

Produsele CDS implementează unul dintre mai multe tipare arhitecturale, fiecare adecvat pentru cerințe diferite de flux de date și niveluri de asigurare.

Diodele de date reprezintă arhitectura CDS cea mai simplă și cu cea mai înaltă asigurare. O diodă de date este un dispozitiv hardware care impune fizic fluxul de date într-un singur sens utilizând izolarea optică: un emițător de pe nivelul înalt trimite date prin fibră optică la un receptor de pe nivelul scăzut, fără nicio cale de retur posibilă fizic. Deoarece nu există un canal de retur, rețeaua de nivel înalt nu poate primi nicio informație de la rețeaua de nivel scăzut — nici măcar pachete de confirmare TCP. Diodele de date sunt utilizate acolo unde asigurarea unui flux absolut unidirecțional este mai importantă decât eficiența protocolului. Ele necesită adaptare de protocol (de obicei pompe de date bazate pe UDP) pentru a ocoli lipsa confirmărilor TCP și nu efectuează inspecția conținutului — transmit toate datele în direcția specificată. Cazurile de utilizare comune includ exportul unidirecțional de jurnale din sisteme clasificate pe platforme SIEM, fluxuri unidirecționale de date de la senzori în rețele clasificate și eliberarea unidirecțională de date bulk pre-aprobate.

Guard-urile high-to-low sunt dispozitive bidirecționale care aplică politici de securitate bazate pe conținut pentru datele care curg dintr-o rețea cu clasificare mai înaltă spre una cu clasificare mai scăzută. Guard-ul primește o cerere de transfer de pe nivelul înalt, inspectează conținutul în raport cu politica de securitate definită și — dacă conținutul trece toate verificările de inspecție — transmite conținutul aprobat la nivelul scăzut. Guard-ul înregistrează atât transferurile aprobate, cât și cele blocate pentru audit. Guard-urile high-to-low sunt utilizate pentru declasificarea controlată: eliberarea produselor de informații, rapoartelor sau înregistrărilor de baze de date dintr-o rețea clasificată pe o rețea neclasificată sau de coaliție. Motorul de inspecție examinează conținutul pentru marcaje de clasificare, cuvinte cheie sensibile, metadate integrate și conținut malițios înainte de aprobarea transferului.

Guard-urile bilaterale acceptă schimbul controlat de date în ambele direcții peste o graniță de clasificare. Datele care curg de la nivel înalt la nivel scăzut sunt inspectate pentru conformitatea cu politica de clasificare și conținut malițios. Datele care curg de la nivel scăzut la nivel înalt sunt inspectate pentru malware, conformitatea formatului și tipuri de conținut neautorizate. Guard-urile bilaterale sunt utilizate acolo unde fluxurile de lucru operaționale necesită ambele direcții: mesaje de comandă care curg din sisteme de comandă și control neclasificate în rețele clasificate de senzori sau arme, cu rapoarte de stare care curg înapoi. Guard-urile bilaterale au o suprafață de atac mai mare decât diodele de date și necesită o acreditare mai riguroasă, dar acceptă gama completă de fluxuri de lucru operaționale.

Guard-urile bazate pe filtre cu inspecția conținutului implementează analiza structurată a fiecărei cereri de transfer în raport cu o politică formală de securitate. Fluxul de inspecție a conținutului include de obicei: validarea tipului de fișier (lista albă a formatelor aprobate), validarea schemei pentru datele structurate (XML, JSON verificate în raport cu schemele aprobate), scanarea malware (AV și sandbox pentru fișiere), eliminarea metadatelor (eliminarea metadatelor fișierelor care pot conține marcaje de clasificare sau informații despre autor) și — pentru transferurile high-to-low cu asigurare înaltă — inspecția semantică a conținutului care analizează textul pentru marcaje de clasificare și cuvinte cheie sensibile.

Idee cheie: Inspecția conținutului într-un CDS nu este o simplă scanare malware — este un flux de aplicare a politicii în mai multe straturi. Pentru transferurile high-to-low la nivel SECRET și mai sus, inspecția trebuie să fie capabilă să detecteze marcaje de clasificare încorporate în textul documentului, metadate și chiar conținut de imagine. Specificarea corectă a politicii necesită o colaborare strânsă între arhitectul de securitate, proprietarul informațiilor și autoritatea de acreditare cu mult înainte de implementarea CDS-ului.

Cadre de acreditare: UCDMO, NSA și NATO

Produsele CDS utilizate pe sistemele de securitate națională ale SUA trebuie să apară pe Lista de referință a Unified Cross Domain Management Office (UCDMO) — lista autoritativă a produselor CDS evaluate și aprobate de NSA. Lista de referință UCDMO este menținută de National Cross Domain Strategy and Management Office (NCDSMO) al NSA și este disponibilă pentru birourile de programe autorizate prin canale clasificate. Un produs ajunge pe lista de referință prin procesul de evaluare al NSA, care evaluează arhitectura de securitate, implementarea și procedurile operaționale în raport cu cerințele Profilului de Protecție aplicabil.

Procesul de evaluare pentru un nou produs CDS durează de obicei 18–36 de luni. Pentru birourile de programe, implicația practică este clară: proiectați arhitectura cross-domain pe baza produselor care se află deja pe Lista de referință UCDMO. Încercarea de a introduce un produs nou, neevaluat în programul dvs. va întârzia termenul de acreditare cu ani.

Chiar și atunci când se utilizează un produs inclus în lista de referință, implementarea sa într-un mediu specific necesită o acreditare a locației. Pachetul de acreditare a locației documentează configurația specifică a CDS-ului, politica de inspecție a conținutului în vigoare pentru fiecare flux de date aprobat, integrarea cu sistemul înconjurător și procedurile operaționale pentru gestionarea și monitorizarea CDS-ului. Autoritatea de acreditare revizuiește acest pachet și acordă o Autorizație de Operare (ATO) pentru acea implementare specifică. Acreditările de locație durează de obicei 3–9 luni în funcție de complexitatea integrării și de volumul de lucru al autorității de acreditare.

Acreditarea NATO este gestionată prin Agenția NATO pentru Comunicații și Informații (NCI Agency) și Autoritățile Naționale de Securitate a Comunicațiilor. Produsele CDS NATO sunt evaluate în raport cu Profilurile de Protecție specifice NATO și listate în echivalentul NATO al Listei de referință UCDMO. Produsele aprobate pentru sistemele de securitate națională ale SUA nu sunt aprobate automat pentru utilizare NATO — este necesară o evaluare și listare separată, deși furnizorii urmăresc de obicei ambele în paralel.

Sistemele de informații clasificate ale UE sunt guvernate de regulile de securitate ale Informațiilor Clasificate UE (EUCI), cu acreditarea gestionată de Comitetul de Securitate al Consiliului și Autoritățile Naționale de Acreditare a Securității. Produsele CDS utilizate în mediile clasificate ale UE trebuie aprobate în cadrul UE, din nou printr-un proces de evaluare separat.

Categorii de produse CDS și peisajul furnizorilor

Piața comercială CDS este deservită de un număr mic de furnizori care au investit în procesul de evaluare NSA, care durează ani. În loc să recomande produse specifice, este mai util pentru arhitecți să înțeleagă categoriile de produse și capacitățile de evaluat.

Guard-urile la nivel de rețea operează la stratul IP/TCP și sunt integrate în infrastructura de rețea între cele două rețele cu niveluri de clasificare diferite. Ele furnizează filtrare de protocoale, filtrare IP și inspecție de bază a conținutului. Sunt adecvate pentru transferuri de date bulk unde cerințele de inspecție a conținutului sunt relativ simple (tipul fișierului și scanarea malware) și latența este mai puțin critică.

Guard-urile la nivel de aplicație operează la stratul de protocol al aplicației — e-mail, transfer de fișiere, servicii web — și se integrează cu protocoale de aplicație specifice. Guard-urile de e-mail inspectează mesajele și atașamentele de e-mail conform politicii de securitate; guard-urile de transfer de fișiere inspectează fișierele individuale în raport cu schemele aprobate și regulile de tip de fișier; guard-urile de servicii web acționează ca proxy-uri API care inspectează payloadurile cererilor și răspunsurilor. Guard-urile la nivel de aplicație furnizează capabilități de inspecție a conținutului mai bogate decât guard-urile la nivel de rețea, dar necesită integrare cu aplicațiile specifice de pe fiecare parte a graniței.

Guard-urile de streaming gestionează fluxuri de date în timp real — video, telemetrie, date de la senzori — și sunt optimizate pentru transferul cu latență scăzută și debit ridicat, cu validarea formatului și filtrarea conținutului corespunzătoare tipului de flux. Guard-urile video, de exemplu, pot elimina metadatele încorporate din fluxurile video, impune restricții de codec și scana pentru conținut steganografic.

Furnizorii activi pe piața CDS acreditat includ companii axate pe hardware pentru diode de date (de obicei pentru cerințele unidirecționale cu cea mai înaltă asigurare) și companii care oferă familii mai largi de produse guard acoperind transferuri de e-mail, fișiere și servicii web. Orice furnizor care revendică capabilitate CDS pentru utilizare pe sisteme de securitate națională ar trebui să poată indica listarea sa pe Lista de referință UCDMO sau statutul de evaluare activ — dacă nu poate, produsul nu este potrivit pentru implementări clasificate, indiferent de capacitățile sale tehnice.

Tipare de integrare pentru software-ul de apărare

Arhitecții de software de apărare trebuie să-și proiecteze aplicațiile pentru a interopera cu un CDS existent sau planificat. CDS-ul este de obicei achiziționat și gestionat separat de software-ul aplicației — aplicația dvs. nu controlează CDS-ul; îi trimite date și primește de la el date aprobate. Tiparul de integrare trebuie ales pentru a se potrivi interfețelor acceptate ale produsului CDS și cerințelor de flux de date.

Tiparul proxy API: Aplicația de pe nivelul înalt trimite date către un endpoint API gestionat de CDS (de obicei REST sau SOAP). CDS-ul inspectează payload-ul și, dacă este aprobat, îl transmite la endpoint-ul corespunzător de pe nivelul scăzut. Aplicația primește un răspuns sincron indicând aprobarea sau respingerea. Acest tipar este adecvat pentru transferuri cu volum scăzut și toleranță la latență, unde aplicația are nevoie de feedback imediat cu privire la aprobarea unui transfer.

Tiparul cozii de mesaje: Aplicația de pe nivelul înalt publică mesaje într-o coadă de mesaje (JMS, AMQP sau o coadă CDS proprietară). CDS-ul consumă mesaje din coadă, inspectează fiecare și republică mesajele aprobate într-o coadă de pe nivelul scăzut unde aplicația receptoare le consumă. Mesajele respinse sunt înregistrate și se generează o alertă. Acest tipar este adecvat pentru transferuri asincrone cu volum mai ridicat, unde decuplarea aplicațiilor producătoare și consumatoare este dezirabilă. Aplicația trebuie să gestioneze cazul în care un mesaj este respins și nu este livrat pe cealaltă parte.

Tiparul gateway e-mail: Aplicația de pe nivelul înalt generează mesaje e-mail cu atașamente structurate (rapoarte PDF, fișiere de date XML) și le trimite prin relayul de e-mail CDS. CDS-ul acționează ca un MTA care inspectează mesajul și atașamentele înainte de a le transmite la serverul de mail de pe nivelul scăzut. Acesta este cel mai comun tipar pentru lansările de date inițiate de om — un analist compune un raport, atașează un PDF și îl trimite la o listă de distribuție pe rețeaua de nivel scăzut. CDS-ul elimină metadatele din PDF, scanează pentru marcaje de clasificare și livrează mesajul sanitat dacă trece inspecția.

Indiferent de tiparul de integrare, codul aplicației trebuie să gestioneze respingerea CDS în mod elegant. Transferurile pot fi respinse din motive de politică (conținutul conține un marcaj de clasificare care nu ar trebui eliberat), motive tehnice (XML malformat, tip de fișier neașteptat) sau motive tranzitorii (CDS temporar indisponibil). Aplicația trebuie să definească comportamentul explicit pentru fiecare caz: notificarea operatorului, coada de carantinare, logica de reîncercare și înregistrarea în jurnal a fiecărei tentative de transfer și a rezultatelor.

Idee cheie: Proiectați aplicația pentru a trata CDS-ul ca un intermediar nesigur, care aplică politici — nu ca o conexiune de rețea transparentă. Fiecare tentativă de transfer trebuie înregistrată, fiecare respingere trebuie să genereze o notificare pentru operator și aplicația nu trebuie să elimine niciodată în tăcere date pe care CDS-ul le-a blocat. Traseul de audit al interacțiunilor CDS este în sine un artefact relevant pentru securitate pe care autoritățile de acreditare îl vor revizui.

Cum să definiți cerința CDS pentru un nou sistem de apărare

Definirea timpurie a cerinței CDS într-un program evită refacerea costisitoare a arhitecturii în faze târzii, care rezultă din tratarea transferului cross-domain ca o idee ulterioară. Procesul de definire trebuie să producă un document formal de Cerințe de Transfer Cross-Domain care devine parte din baza de cerințe de securitate a sistemului.

Pasul 1 — Identificați toate fluxurile de date cross-domain. Cartografiați fiecare flux de date din sistem care traversează o graniță de clasificare. Pentru fiecare flux, documentați: nivelurile de clasificare sursă și destinație, tipul și formatul datelor, direcția transferului, cerințele de volum și latență și necesitatea operațională pe care o susține fluxul. Acest inventar este fundamentul tuturor deciziilor ulterioare.

Pasul 2 — Determinați cadrul de acreditare aplicabil. Identificați dacă programul va utiliza UCDMO din SUA, NATO, EU-ACC sau un cadru național. Aceasta determină care liste de produse sunt autoritare și care autoritate de acreditare trebuie să aprobe pachetul de acreditare a locației. Implicați autoritatea de acreditare devreme — contribuția sa privind arhitecturile acceptabile poate economisi luni de refacere.

Pasul 3 — Selectați arhitectura CDS. Potriviți arhitectura (diodă de date, guard high-to-low, guard bilateral) cu caracteristicile fluxului de date. Preferați arhitecturi mai simple acolo unde este fezabil operațional — o diodă de date care îndeplinește cerința este preferabilă unui guard bilateral care introduce complexitate inutilă și suprafață de atac.

Pasul 4 — Definiți politica de inspecție a conținutului. Pentru fiecare flux de date aprobat, specificați regulile exacte de inspecție: tipurile de fișiere permise, dimensiunea maximă a fișierului, definițiile schemei pentru datele structurate, cerințele de scanare malware și regulile de tratare pentru inspecțiile eșuate. Documentul de politică este un livrabil formal care trebuie aprobat ca parte a pachetului de acreditare.

Pasul 5 — Proiectați interfața de integrare. Alegeți tiparul de integrare și proiectați interfețele aplicației cu CDS-ul. Asigurați-vă că aplicația gestionează respingerea în mod elegant și înregistrează toate tentativele de transfer.

Pasul 6 — Construiți și testați pe o instanță CDS reprezentativă. Obțineți o unitate de test de la furnizor și construiți teste de integrare automate care acoperă: date aprobate care trec, date respinse care sunt blocate, gestionarea datelor malformate și modurile de defectare ale CDS-ului.

Pasul 7 — Pregătiți pachetul de acreditare a locației. Compilați documentația de acreditare și depuneți-o la autoritatea de acreditare cu mult înainte de data operațională planificată. Planificați pentru 3–9 luni de timp de revizuire.

Pentru programele în care o cerință CDS este identificată târziu — după ce arhitectura aplicației este deja definită — munca de integrare este mai complexă, dar aceleași principii se aplică. Implicați echipa de integrare a furnizorului CDS devreme: aceștia au experiență în adaptarea produsului lor la diferite arhitecturi de aplicații și pot identifica calea de integrare cu cea mai mică frecare pentru situația dvs. specifică. Pentru îndrumări privind modul în care integrarea CDS se încadrează într-o arhitectură cloud securizată mai largă, consultați articolul nostru despre arhitectura zero-trust pentru rețelele militare și despre modul în care tiparele de implementare air-gapped completează căile de transfer controlate de CDS. Pentru gestionarea secretelor și a cheilor care trebuie să însoțească orice implementare CDS, consultați gestionarea secretelor în pipeline-urile CI/CD pentru apărare.

Discutați Proiectul Dvs.

Proiectăm și integrăm arhitecturi de soluții cross-domain pentru programele software de apărare — de la definirea cerințelor și selectarea CDS până la suportul de acreditare și integrarea aplicațiilor.

Rezervați o demonstrație → Servicii Cloud Securizat

Această analiză a fost pregătită de inginerii Corvus Intelligence care construiesc software esențial pentru misiuni pentru organizații de apărare și guvernamentale. Aflați despre echipa noastră →

Întrebări Frecvente

Cât durează acreditarea CDS?

Acreditarea UCDMO din SUA pentru un produs CDS nou durează de obicei 18–36 de luni de la depunerea inițială până la includerea în lista de referință, în funcție de complexitatea soluției și de volumul constatărilor ridicate în timpul evaluării NSA. Implementarea unui produs deja inclus în lista de referință într-un mediu specific necesită în continuare un pachet de acreditare specific locației, care durează de obicei 3–9 luni, în funcție de autoritatea de acreditare și de complexitatea integrării. Termenele de acreditare echivalente NATO sunt în general similare.

Poate un CDS fi implementat doar în software?

Pentru majoritatea scenariilor cu asigurare ridicată — transferuri SECRET la NECLASIFICAT și orice flux de date de la nivel înalt la nivel scăzut — răspunsul este nu. Politica SUA și NATO impune separarea impusă hardware pentru transferurile cross-domain la nivel SECRET și mai sus. Ruptura impusă hardware (diodă de date pentru sens unic sau un motor de inspecție separat fizic) este cea care permite soluției să atingă nivelul de asigurare necesar pentru acreditare. Soluțiile exclusiv software pot fi acceptabile pentru transferuri cu sensibilitate mai scăzută în cadrul aceluiași nivel de clasificare sau pentru aplicații din sectorul comercial, dar nu sunt în mod obișnuit acceptabile pentru transferurile cross-domain ale sistemelor de securitate națională.

Ce tipuri de date poate gestiona un CDS?

Produsele CDS moderne acceptă o gamă largă de tipuri de date, inclusiv date structurate (XML, JSON, CSV — validate în raport cu schemele aprobate), fișiere (PDF, Word, imagini — cu validare de format și scanare malware), e-mail (cu inspecția atașamentelor), fluxuri video (cu filtrare de conținut), trafic web (printr-un proxy forward cu inspecție profundă a pachetelor) și fluxuri de replicare a bazelor de date. Tipurile de date acceptate și regulile de inspecție aplicate fiecăruia sunt definite în politica de securitate CDS, care trebuie aprobată ca parte a acreditării. Adăugarea unui nou tip de date necesită o modificare a politicii și re-acreditarea căii de transfer relevante.

Care este diferența dintre o diodă de date și un guard?

O diodă de date este un dispozitiv hardware care impune fizic fluxul de date într-un singur sens — datele se pot mișca doar într-o direcție (de obicei de la clasificare înaltă la joasă, pentru versiuni declasificate, sau de la joasă la înaltă, pentru ingestia datelor). Un guard este un dispozitiv bidirecțional care impune o politică de securitate bazată pe conținut: inspectează datele în ambele direcții și permite sau blochează transferurile pe baza regulilor de politică. Guard-urile sunt mai complexe, au o suprafață de atac mai mare și necesită o acreditare mai riguroasă decât diodele, dar acceptă fluxuri de lucru bidirecționale pe care o diodă nu le poate gestiona.

Cum se integrează un CDS cu software-ul existent de apărare?

Cele mai comune trei tipare de integrare sunt: (1) proxy API — aplicația de pe nivelul înalt trimite date către un endpoint API gestionat de CDS, CDS-ul le inspectează și transmite conținutul aprobat la endpoint-ul de pe nivelul scăzut; (2) coadă de mesaje — aplicația de pe nivelul înalt publică mesaje într-o coadă, CDS-ul consumă din coadă, inspectează și republică în o coadă de pe nivelul scăzut; (3) gateway e-mail — e-mailul de pe nivelul înalt cu atașamente este relayat printr-un filtru de e-mail CDS care inspectează atașamentele înainte de a le transmite la serverul de mail de pe nivelul scăzut. Alegerea tiparului de integrare afectează latența, debitul și complexitatea interfeței dintre aplicația dvs. și CDS.