Daten-Dioden / Firewalls

Sichere Zonen schaffen

6. September 2018, 0:00 Uhr | Siegfried Müller

Fortsetzung des Artikels von Teil 2

Security-by-Design

Um das System der Daten-Diode noch weiter zu schärfen, wurde auch die komplette Hardware-Architektur der Cloud-Prozessor-Umgebung angepasst, denn Security-by-Design fängt schon bei der Hardware an.

Anbieter zum Thema

zu Matchmaker+
Hardware-Architektur der Cloud-Prozessor-Umgebung
Hardware-Architektur der Cloud-Prozessor-Umgebung: Neben den klassischen Elementen (RAM-Baustein, ­Prozessor und Flash-Speicher) sind hier noch das ­Boot-ROM sowie ein Secure-Element hinzugefügt.
© MB Connect Line

Die klassische Architektur in Embedded-Systemen besitzt in der Regel einen RAM-Baustein, Prozessor und Flash-Speicher. Auf dem Flash sind die Firmware und Benutzerdaten gespeichert. In dem hier vorgestellten Konzept wurden zusätzlich zwei Hardware-Elemente hinzufügt. Das Boot-ROM mit dem fest eingebrannten Bootloader und den Hersteller-Zertifikaten stellt sicher, dass das System mit einem unveränderlichen Vertrauensanker gebootet wird (Chain of Trust). Die Firmware auf dem Flash ist mit dem Herstellerzertifikat signiert und wird vom Bootlader nur nach Übereinstimmung akzeptiert. Als zweites Element wurde ein Secure-Element hinzugefügt. Das ist ein eigener Hardwarebaustein (IC), welcher die digitalen Schlüssel und Zertifikate separat vom Flash speichert. Der verschlüsselte Benutzerspeicher auf dem Flash wird in diesem Fall mit einem Schlüssel aus dem Secure-Element freigegeben.

Software-Architektur der Daten-Diode
Die Software-Architektur der Daten-Diode basiert auf sogenannten Docker-Containern. Diese Architektur ermöglicht die Isolierung vom Betriebssystem.
© MB Connect Line

Die dazugehörige Software-Architektur des Systems basiert auf sogenannten Docker-Containern. Dieses Prinzip ist vergleichbar mit einer Virtualisierung, hat aber den Vorteil, dass es weniger System-Ressourcen wie Speicher und CPU-Leistung benötigt. Durch die Aufteilung der Applikationen in Containern erreicht man eine Isolierung vom Betriebssystem und eine eventuelle Verwundbarkeit verbleibt im Container und breitet sich nicht auf die gesamte Applikation aus. 

Ein Beispiel ist der IIOT-Baukasten Node-RED, der ebenfalls in einem Docker-Container läuft, und somit eine intelligente Lösung zur Vorverarbeitung der erfassten Daten darstellt. Der Anwender kann mit eigenen Docker-Applikationen individuelles und sicheres Edge-Computing realisieren.


  1. Sichere Zonen schaffen
  2. Sicher und Smart in die Cloud dank ­Daten-Diode
  3. Security-by-Design
  4. Sicherheitsrisiko Webserver
  5. Industrielle Netzwerke segmentieren
  6. Firewall als Geräteschutz

Verwandte Artikel

MB Connect Line GmbH

Safety & Security