ИНДУСТРИАЛЬНЫЙ СЕГМЕНТ АСУ ТП ПОВЕРХ ОФИСНОЙ СЕТИ: ВОЗМОЖНО ЛИ?

Всегда думал, что индустриальные и офисные сегменты должны быть физически разнесены между собой и по офисной сети ну никак не стоит передавать трафик индустриальных приложений по протоколам OPC, Modbus, DNP3 и т.п. Но тут, готовясь к тренингу по безопасности АСУ ТП, наткнулся на интересный кейс от Боинга, в котором как раз ставилась задача по интеграции двух ранее физически разнесенных сегментов.

Раньше индустриальные сегменты выделялись особо с точки зрения дизайна, требований по сходимости, надежности, отказоустойчивости и т.п. У Cisco даже есть отдельное руководство, разработанное совместно с Rockwell Automation по данной теме - свыше 600 страниц подробных инструкций и рекомендаций.

Общая суть таких дизайнов - сегментация и разделение индустриальной и офисной сети.

Но очевидно, что такое разделение несет с собой и ряд сложностей. Вот только ряд из них:

• Управление VLAN
• Управление конфигурацией
• Дублирование СКС
• Увеличение стоимости
• Рост числа ошибок.

Вполне закономерно возникает желание передавать индустриальный трафик поверх офисной сети. Но это тоже не панацея, т.к. обычная офисная сеть предлагает меньшую, чем требуется, защищенность. Ну а про несовместимость индустриальных и офисных протоколов и говорить не приходится. Вот на таком фоне Боинг в проекте по созданию 777-го и решил все-таки снизить свои издержки и объединить две сети.

За основу была взята идея оверлейных сетей, которую сейчас активно продвигают в связи с виртуализацией сетевых функций, программируемых (SDN) сетей и т.п. Но для ее реализации мало было просто навесить метки на разные типы трафика - вопрос с совместимостью и защищенностью все равно оставался.

Тогда Боинг, пригласивший известного игрока рынка индустриальной ИБ, компанию Tofino, заказал разработку специального загружаемого модуля безопасности (LMS) для своего межсетевого экрана (Tofino Security Appliance). Продукт был разработан - получился по сути некий защитный АСУ ТП ретранслятор, в задачи которого входили:

• передача индустриальных протоколов поверх офисной сети за счет инкапсуляции
• изоляция АСУ ТП от офисной сети с помощью простого индустриального МСЭ
• защита коммуникаций между ретрансляторами с помощью протокола Host Identity Protocol (HIP).

Решение (LSM) было реализовано в виде открытой архитектуры на базе open source решений. Среди планов Tofino - встроить LSM либо на уровень оконечных устройств (HMI, БД, OPC-сервера и т.п.), либо сразу на уровне контроллеров.

Вот такое интересное решение. Надо заметить, что согласно недавно зарегистрированному приказу ФСТЭК №31 такой подход возможен и у нас. Только вот решений, реализующих эту схему, у нас почти что и нет. Хотя я сторонник все-таки традиционного подхода с физическим, а не логическим разделением индустриальных и офисных сетей.

Источник: https://bis-expert.ru/blog/660/44596