Всегда думал, что индустриальные и офисные сегменты должны быть физически разнесены между собой и по офисной сети ну никак не стоит передавать трафик индустриальных приложений по протоколам OPC, Modbus, DNP3 и т.п. Но тут, готовясь к тренингу по безопасности АСУ ТП, наткнулся на интересный кейс от Боинга, в котором как раз ставилась задача по интеграции двух ранее физически разнесенных сегментов.
Раньше индустриальные сегменты выделялись особо с точки зрения дизайна, требований по сходимости, надежности, отказоустойчивости и т.п. У Cisco даже есть отдельное руководство , разработанное совместно с Rockwell Automation по данной теме - свыше 600 страниц подробных инструкций и рекомендаций.
Общая суть таких дизайнов - сегментация и разделение индустриальной и офисной сети.
Но очевидно, что такое разделение несет с собой и ряд сложностей. Вот только ряд из них:
Вполне закономерно возникает желание передавать индустриальный трафик поверх офисной сети. Но это тоже не панацея, т.к. обычная офисная сеть предлагает меньшую, чем требуется, защищенность. Ну а про несовместимость индустриальных и офисных протоколов и говорить не приходится. Вот на таком фоне Боинг в проекте по созданию 777-го и решил все-таки снизить свои издержки и объединить две сети.
За основу была взята идея оверлейных сетей, которую сейчас активно продвигают в связи с виртуализацией сетевых функций, программируемых (SDN) сетей и т.п. Но для ее реализации мало было просто навесить метки на разные типы трафика - вопрос с совместимостью и защищенностью все равно оставался.
Тогда Боинг, пригласивший известного игрока рынка индустриальной ИБ, компанию Tofino , заказал разработку специального загружаемого модуля безопасности ( LMS ) для своего межсетевого экрана ( Tofino Security Appliance ). Продукт был разработан - получился по сути некий защитный АСУ ТП ретранслятор, в задачи которого входили:
Решение (LSM) было реализовано в виде открытой архитектуры на базе open source решений. Среди планов Tofino - встроить LSM либо на уровень оконечных устройств (HMI, БД, OPC-сервера и т.п.), либо сразу на уровне контроллеров.
Вот такое интересное решение. Надо заметить, что согласно недавно зарегистрированному приказу ФСТЭК №31 такой подход возможен и у нас. Только вот решений, реализующих эту схему, у нас почти что и нет. Хотя я сторонник все-таки традиционного подхода с физическим, а не логическим разделением индустриальных и офисных сетей.
ЗЫ. Кстати, по поводу 31-го приказа мы (Cisco) проводим онлайн-семинар 24-го июля в 11 утра по московскому времени. Кому интересно, приходите .
Раньше индустриальные сегменты выделялись особо с точки зрения дизайна, требований по сходимости, надежности, отказоустойчивости и т.п. У Cisco даже есть отдельное руководство , разработанное совместно с Rockwell Automation по данной теме - свыше 600 страниц подробных инструкций и рекомендаций.
Общая суть таких дизайнов - сегментация и разделение индустриальной и офисной сети.
Но очевидно, что такое разделение несет с собой и ряд сложностей. Вот только ряд из них:
- Управление VLAN
- Управление конфигурацией
- Дублирование СКС
- Увеличение стоимости
- Рост числа ошибок.
Вполне закономерно возникает желание передавать индустриальный трафик поверх офисной сети. Но это тоже не панацея, т.к. обычная офисная сеть предлагает меньшую, чем требуется, защищенность. Ну а про несовместимость индустриальных и офисных протоколов и говорить не приходится. Вот на таком фоне Боинг в проекте по созданию 777-го и решил все-таки снизить свои издержки и объединить две сети.
За основу была взята идея оверлейных сетей, которую сейчас активно продвигают в связи с виртуализацией сетевых функций, программируемых (SDN) сетей и т.п. Но для ее реализации мало было просто навесить метки на разные типы трафика - вопрос с совместимостью и защищенностью все равно оставался.
Тогда Боинг, пригласивший известного игрока рынка индустриальной ИБ, компанию Tofino , заказал разработку специального загружаемого модуля безопасности ( LMS ) для своего межсетевого экрана ( Tofino Security Appliance ). Продукт был разработан - получился по сути некий защитный АСУ ТП ретранслятор, в задачи которого входили:
- передача индустриальных протоколов поверх офисной сети за счет инкапсуляции
- изоляция АСУ ТП от офисной сети с помощью простого индустриального МСЭ
- защита коммуникаций между ретрансляторами с помощью протокола Host Identity Protocol (HIP).
Решение (LSM) было реализовано в виде открытой архитектуры на базе open source решений. Среди планов Tofino - встроить LSM либо на уровень оконечных устройств (HMI, БД, OPC-сервера и т.п.), либо сразу на уровне контроллеров.
Вот такое интересное решение. Надо заметить, что согласно недавно зарегистрированному приказу ФСТЭК №31 такой подход возможен и у нас. Только вот решений, реализующих эту схему, у нас почти что и нет. Хотя я сторонник все-таки традиционного подхода с физическим, а не логическим разделением индустриальных и офисных сетей.
ЗЫ. Кстати, по поводу 31-го приказа мы (Cisco) проводим онлайн-семинар 24-го июля в 11 утра по московскому времени. Кому интересно, приходите .