問題
侵害は横方向に移動する
過去10年間の主要な金融セクターの侵害はすべて横方向の移動を伴っていました。二つのドメイン間でそれを阻止する唯一の信頼できる方法は、それらが物理的にメモリ、ストレージ、実行状態を共有できないようにすることです。
機能
物理的に分離された二つのドメイン
単一のシャーシには物理的に隔離された二つのドメイン、規制対応のものと汎用のものが収容されており、メモリバス、ストレージ、ネットワークパスを共有しません。切り替えはソフトウェアのコンテキストスイッチではなくハードウェアアクションであるため、汎用側の侵害は構造的に規制対応側に到達できません。
金融セクターのユースケース
主要なユースケースはSWIFT オペレーターワークステーションです。SWIFT支払い指示を承認するために使用されるステーションは、電子メールとウェブブラウジングに使用される汎用エンドポイントから隔離されなければなりません。SWIFT CSP必須コントロール1.1はこの分離を要求しています。ほとんどの実装はソフトウェア仮想化によって達成されており、コントロールの文字は満たしますが精神は満たしません。ハードウェア分離は両方を満たします。
二次的なユースケースには、取引端末の隔離(オーダーマネジメントシステムを汎用コンピューティングから分離)と、規制環境でのネットワークおよびシステム管理のための特権アクセスワークステーションが含まれます。
認証とコンプライアンス
ハードウェア分離アーキテクチャは、SWIFT CSP必須コントロール1.1(重要なオペレーター環境の分離)、高影響システム向けのDORA第9条ICTセキュリティ要件、重要なエンティティ向けのNIS 2第21条技術措置を満たすように文書化されています。ISO 27001 Annex A.8.22(ネットワークの分離)のドキュメントはリクエストに応じて利用可能です。
Frameworks addressed
Related products
Every product is field-tested