Technologie DDS® není bezpečná? Naopak❗
V distribuovaných systémech, jako jsou třeba IoT systémy, je potřeba data přenášet mezi jednotlivými částmi systému. Mluvíme tak o datech v pohybu (Data in Motion).
Jak tato data zabezpečit a jak to řeší technologie DDS® se podíváme v tomto videu.
Nejpoužívanějším způsobem pro zabezpečení dat při přenosu přes síť je použití šifrování pomocí:
TLS – Transport Level Security pro TCP (dříve SSL – Secure Sockets Layer)
DTLS – Datagram Transport Level Security pro UDP.
Jedná se o handshake mezi clientem a serverem, kdy si vymění certifikáty a další věci pro možnost zabezpečeně komunikovat.
TLS a DTLS tak řeší autentizaci, výměnu klíčů a šifrování, ale…
je zabezpečena vždy veškerá komunikace
je použit vždy jen unicast.
Nicméně technologie DDS jde v bezpečnosti dál.
DDS umožňuje využít TLS a DTLS, ale protože DDS je decentralizovaná a obsahuje QoS parametry, tak aby bylo možné využít plně tuto technologii v zabezpečeném prostředí, tak byla vytvořena v roce 2016 specifikace DDS Security™ v 1.0 a v roce 2018 v 1.1.
DDS Security specifikuje jak řešit u DDS i při použití multicastu:
autentizaci,
šifrování,
řízení přístupu (autorizaci),
logování bezpečnostních událostí,
značkování dat.
Co je totiž u publish-subscribe modelu komunikace nutné řešit:
Neoprávněné čtení daného topiku
Neoprávněné publikování do daného topiku
Řešíme tedy ověření toho, že tento participant se mnou může komunikovat? – autentizace.
A zdali má tento participant oprávnění číst anebo zapisovat data – autorizace.
DDS také na rozdíl od TLS/DTLS umožňuje nastavit bezpečnost pro každou doménu a každý topic a můžeme tak určit, zdali:
Autentizovat participanty
Jaké datové streamy šifrovat – např. i ty pro vyhledávání.
Umožnit číst a zapisovat do daných topiků.
Důležité také je, že byl zvolen pluginový přístup, tzn. je možné využít různé technologie k autentizaci k řízení přístupu i šifrování. Konfigurace probíhá pomocí XML souborů.
Toto byl tedy rychlý přehled o tom, jak řeší technologie DDS bezpečnost.
Jak zabezpečujete přenos dat u vašeho systému?
Zajímá-li vás technologie DDS, tak se se mnou neváhejte spojit přes LinkedIn.
DDS®, Data-Distribution Service™ and DDS Security™ are either registered trademarks or trademarks of Object Management Group, Inc. in the United States and/or other countries.