Автор | Сообщение |
---|---|
#170 / 14.11.2018 08:59
admin
|
|
Есть компания, которая строит месторождение или нефтебуровую платформу. У них есть отдельная локальная сеть под видеонаблюдение, отдельно под АСУ ТП, отдельно для доступа в Интернет, отдельно локальная сеть (по сути) для телефонии. Это как если бы мы в такой корпоративной (производственной) сети вместо файрволлов использовали физическое разграничение сетей. В результате на многих предприятиях по десятку однородных решений. Владельцы переплачивают деньги за дублирующийся функционал. Вот так выглядит «единая» локальная сеть. Гораздо эффективнее сделать одну сеть, где всё это объединяется. И вторую, чтобы был резерв. Мы сделали, и сейчас расскажу, что это дало. Как сделать лучше Ни у кого нет стабильного решения по фен-шую: страшный зоопарк из легаси даёт о себе знать. Ещё в этой сфере часто случаются слияния-поглощения и получается, что два разных зоопарка объединяются. Получается зоопарк в квадрате. Наша задача — убедить заказчика, что объединение сетей безопасно. Это главный стопор прогресса, например, в нефтяной сфере: здесь, как нигде, используется принцип «работает — не трогай». Во-первых, АСУ ТП-часть всегда использует другие коммутаторы, нежели остальные части сети. Это серьёзное удорожание, но это исторически правильно. Предполагается, что АСУ ТП будет работать в любых условиях, поскольку как минимум формально она отвязана от Интернета. При этом физическая изоляция сетей не гарантирует изоляцию от зловредов: инженеры регулярно подключаются к оборудованию внутреннего сегмента заражёнными компьютерами из внешнего. Защита сетей АСУ ТП — это критично, и к ней всё равно надо принимать такие же меры, как если бы она просто торчала наружу. Видеонаблюдение: считается, что нет необходимости защищать его так, как АСУ-сегмент. Да, либо сеть строится отдельно и на аналоге (очень дорого), либо считается, что она условно защищена. В моей практике можно отвернуть камеру и получить доступ к сети. Либо подменить картинку, и никто в ближайшие полгода до конца зимы не узнает. Проверяется доступность камер и наличие картинки. Многие чувствуют себя так в безопасности: картинка может не меняться 100 лет. Тундра и тундра. Надо объезжать и смотреть, что и где. В итоге мы ответили на все вопросы безопасников. Давайте перейдём к деталям.
Пример
С нашей точки зрения, оптимальный вариант — это оптика + радиорелейка. Но оптика тоже может порваться, её рвут чаще, чем может показаться. Вне зависимости от того, закапывают её или вешают на опоры. И во время одного ремонта трубы могут порвать в десятках мест. Результат Мы объединили сети в единый комплекс, как на схеме выше. Отказоустойчивость достигается через радиорелейные мосты, есть резервирование телефонии через транкинговую сеть (интегрируется через рации для вызова абонентов телефонной сети). Результат такой: В два раза снизили кабельную ёмкость волокна; Как разграничивается трафик? Сейчас я нарезал VLAN'ы. Условно АСУ ТП имеет высочайший приоритет, затем видео и телефония, остальной трафик — дальше. Почему набор VLAN безопасен в сравнении со старым добрым физическим разграничением? Когда ты делишь физически, у тебя под каждую задачу своя железка. Это абсолютно безопасно. Если злоумышленники попали на одну железку, они не попадут на соседнюю. Нужно добраться до сегмента управления. Есть общая точка взлома — это менеджмент-сеть. Соответственно, если есть единая точка отказа, то какая разница, на одной железке виланы нарезаны или всё крутится на разных. Пользователи изолированы, они не видят юзеров из соседних виланов. Вероятностная характеристика каких-то проблем в виртуальных сетях ненамного выше такой же оценки в физических разделённых сетях. Коммутаторы можно сделать изолированными, кластеры коммутаторов, оптические линки будут дублированы. Таким образом, вероятность отказа минимизируется. До последнего времени безопасность настаивала на том, чтобы сети видеонаблюдения, АСУ ТП и пр. были на физически выделенных сетях, это определённая точка зрения. И здравый смысл в этом определённо есть. Но это дорого. Можно сильно снизить цену за счёт очень малого снижения отказоустойчивости. Вторая причина в том, что, если есть три разные сети, их крайне редко дублируют все три. Мы предложили вариант совместить отказоустойчивые коммутаторы, отказоустойчивые ЛВС — ключевые роли тут задублированы, но, соответственно, все сети мы поделили виртуально. Сделали расчёт и показали, что на самом деле такое решение где-то на треть дешевле. Можно минимизировать количество прокладываемой оптики, минимизировать время восстановления. Потому что, если у тебя порвали оптическое волокно, например 8-волоконное, у тебя время восстановления условно полчаса, если это 32-волоконное — сильно больше. Тоже сокращает издержки на обслуживание. Каналы Оптика в любом случае лежит на месторождении — например, в той же системе обнаружения протечек используют волоконно-оптический кабель. Когда меняется температура почвы с лежащим там волокном, становится понятно, что нефть вытекла. Поэтому проблем с коммутацией и узким каналом внутри локальной сети просто нет. Да, на меди или старых технологиях можно это построить, но это нерационально. Поэтому волокно — это данность. Спутниковые каналы у них скорее дублирующие, для критичной телеметрии и того же АСУ ТП. Датчик сработал — сразу реакция, даже если вокруг война. Вот фейловер: Оборудование
Итог Используются дорогие коммутаторы для АСУ ТП, через них трафик АСУ ТП идёт с высочайшим приоритетом. Потом отправляется остальное. За объективно небольшой компромисс в безопасности можно получить существенное упрощение поддержки, унификацию решения и экономию по питанию и капитальным затратам. Источник: https://habr.com/company/croc/blog/424435/ Отредактировано: admin (15.11.2018 09:27, 5 лет назад) |
|
Сообщения: 463 |