גישות באבטחת מידע לרשתות בקרה תעשייתיות

לא קיימים מוצר, טכנולוגיה או מתודולוגיה שמסוגלים לתת לבדם מענה מלא לצורכי האבטחה של מערכות אוטומציה ובקרה תעשייתיות . הגנה על נכסי הבקרה מצריכה גישה המבוססת על הגנת עומק, המתייחסת לאיומי אבטחה פנימיים וחיצוניים כאחד. גישה זו עושה שימוש בהגנה מרובת רבדים (פיזי, נוהלי ואלקטרוני) ברמות שונות של מערכת הבקרה תוך התייחסות לסוגים שונים של איומים.

מסגרת אבטחת הרשת התעשייתית CPwE (איור 1), המשתמשת בגישה של הגנת עומק, עולה בקנה אחד עם תקני אבטחה תעשייתיים כגון ISA/IEC-62443 (לשעבר ISA-99) Industrial Automation and Control Systems (IACS) Security וכן NIST 800-82 Industrial Control System (ICS) Security.

תכנון והטמעה של מסגרת אבטחה מקיפה לרשת מבוססת IACS אמורים לשמש כהרחבה טבעית של מערכת הבקרה. ההמלצה הינה שלא ליישם אבטחת רשתות רק במחשבה שנייה;

מסגרת אבטחת הרשת התעשייתית צריכה להיות כוללנית ולהוות מרכיב מרכזי של מערכת האוטומציה והבקרה התעשיתית. עם זאת, ניתן להחיל את אותם רובדי הגנת עומק באופן מדורג בפריסות המערכות הקיימות, כדי לסייע בשיפור מערך האבטחה של מערכת האוטומציה והבקרה.

רובדי הגנת עומק של CPwE (איור 1) כוללים:

  • מהנדסי מערכת בקרה (הדגשה בגוונים כהים) – הקשחת התקני בקרה (לדוגמה, באמצעים פיזיים ואלקטרוניים), הקשחת התקני תשתית (לדוגמה, אבטחת יציאות תקשורת), סגמנטציית רשת, אימות יישומים באמצעות בכלי של מערכות הבקרה, הרשאה ושירותי ניהול חשבונות (AAA)
  • מהנדסי מערכות בקרה בשיתוף מהנדסי IT בתחום הרשתות (הדגשה בכחול) – חומת אש המושתתת על מדיניות מבוססת אזורים להגנה על יישום הבקרה, הקשחת מערכות הפעלה, הקשחת התקני רשת (לדוגמה, בקרת גישה, גמישות), מערכי מדיניות גישה לרשתות LAN אלחוטיות
  • ארכיטקטים של אבטחת IT בשיתוף מהנדסי מערכות בקרה (הדגשה בסגול) – שירותי ניהול זהויות (קוויים או אלחוטיים), Active Directory (AD), שרתי בקרה מרחוק, חומות אש מפעליות, שיטות מיטביות לתכנון אזורים תעשייתיים מפורזים (IDMZ)

 הערה
דרישות האבטחה של האזור התעשייתי המפורז (IDMZ) חייבות להכיר בצרכים של יישום הבקרה, מאחר שקיים הכרח במעבר בטוח של נתונים מהאזור התעשייתי (IZ) לאזור הארגוני (EZ). בנפרד, שחזור כתובת רשת (NAT;Network Address Translation) ושירותי ניהול זהויות (Identity Services) הם חלק מארכיטקטורת האבטחה הכוללת של CPwE. כל אחד מהם זמין בנפרד ויחד הם משלימים זה את זה ויוצרים את גישת האבטחה התעשייתית הכוללנית של CPwE.

איור 1    מסגרת אבטחת רשת תעשייתית CpwE

1

אזור תעשייתי מפורז (IDMZ)

אזור תעשייתי מפורז (IDMZ), המכונה לעתים ‘רשת היקפית’ (איור 2), הנו מאגר האוכף מדיניות אבטחת נתונים בין רשת אמינה (אזור תעשייתי, IZ) לבין רשת לא אמינה (אזור ארגוני, EZ). האזור התעשייתי המפורז (IDMZ) מהווה רובד נוסף של הגנת עומק המסייע לשתף בצורה בטוחה נתונים ושירותי רשת של מערכות בקרה בין האזורים התעשייתיים (IZ) והארגוניים (EZ). תפיסת האזור המפורז מהווה מרכיב שגרתי ברשתות IT מקובלות, אך שילובו ביישומי IACS עדיין אינו נפוץ.

לצורך שיתוף בטוח של נתוני הבקרה, האזור התעשייתי המפורז (IDMZ) כולל נכסים הפועלים כגורמי תיווך בין האזורים השונים.

קיימות שיטות רבות כדי לתווך נתוני בקרה העוברים באזור תעשייתי מפורז (IDMZ):

  • שימוש במראת יישומים, כגון ממשק PI-to-PI עבור ארכיב נתוני יצור היסטורי (Historian) מסדרת FactoryTalk®
  • שימוש בשירותי Microsoft® Remote Desktop Gateway
  • שימוש בשרת Reverse Proxy
  • שיטות תיווך אלה, המסייעות להסתיר את קיומם ומאפייניהם של שרתי האזור התעשייתי (IZ) ולהגן עליהם מפני לקוחות ושרתים באזור הארגוני (EZ), מודגשות בתוך איור 2 וכלולות ב-CPwE IDMZ.

איור 2    המודל הלוגי של CPwE

2

עקרונות התכנון הכלליים של IDMZ (איור 3) כוללים:

  • כל תעבורת הרשת של מערכת הבקרה מכל צד של ה-IDMZ מסתיימת ב-IDMZ עצמו, ושום חלק מתעבורת רשת הבקרה אינו חוצה ישירות את ה-IDMZ:
    • לא קיים נתיב ישיר בין האזור התעשייתי (IZ) לבין האזור הארגוני (EZ)
    • לא קיימים פרוטוקולים משותפים בכל אחת מחומות האש הלוגיות
  • תעבורת EtherNet/IP™ של רשתות הבקרה אינה נכנסת ל-IDMZ, אלא נשארת באזור התעשייתי (IZ)
  • שירותים מרכזיים אינם מאוחסנים ב-IDMZ באופן קבוע
  • כל הנתונים הנם ארעיים, וה-IDMZ אינו מאחסן נתונים באופן קבוע
  • הגדרת אזורי משנה פונקציונליים במסגרת האזור התעשייתי המפורז (IDMZ) באופן קבוע במטרה לפצל את הגישה לנתוני בקרה ולשירותי הרשת (לדוגמה, אזור IT, אזור תפעולי ואזור שותפים אמינים)
  • אזור תעשייתי מפורז (IDMZ) שתוכנן כיאות יתמוך ביכולת לנתק חלקים שמערך האבטחה שלהם נפגע, תוך שמירה על תפקוד חלק של האזור התעשייתי (IZ)

איור 3    עקרונות כלליים של אזור תעשייתי מפורז (IDMZ)

3

אזור תעשייתי מפורז (IDMZ) של רשת אתרנט כלל-מפעלית משולבת

התכנון המאומת של Cisco, שעליו מושתת ה-CPwE IDMZ, מתווה דרישות ושיקולי תכנון מרכזיים המסייעים בתכנון ובפריסה של אזור תעשייתי מפורז (IDMZ). שירותי הנתונים והרשת של איזור הבקרה בין האזור התעשייתי (IZ) לבין האזור הארגוני (EZ) כוללים:

  • סקירה כללית ושיקולי תכנון מרכזיים של IDMZ
  • מסגרת ארכיטקטונית גמישה של CPwE:
    • חומות אש יתירות של IDMZ
    • מתגי Ethernet יתירים לצורך הפצה/צבירה
  • שיטות להעברה בטוחה של נתוני בקרה לרוחב האזור התעשייתי המפורז (IDMZ):
    • מראת יישומים
    • Reverse proxy
    • שירותי מחולל ממשקים מרוחקים
  • שיטות להעברה בטוחה של שירותי רשת לרוחב האזור התעשייתי המפורז (IDMZ):
  • תרחישי שימוש ב-CPwE IDMZ:
    • יישומי IACS (בקרה) – לדוגמה: העברה בטוחה של קבצים, יישומי FactoryTalk (FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition (SE), FactoryTalk ViewPoint, FactoryTalk AssetCentre, Studio 5000®)
    • שירותי רשת – לדוגמה: Active Directory (AD), Identity Services Engine (ISE), wireless LAN controller (WLC) control and provisioning of wireless access points (CAPWAP), Network Time Protocol
    • גישה מאובטחת מרחוק
  • פעולות חשובות ושיקולי תכנון לצורך הטמעה והגדרה של IDMZ

הערה
המהדורה הנוכחית של ארכיטקטורת CPwE מתמקדת ב-EtherNet/IP, המבוסס על הפרוטוקול ODVA Common Industrial Protocol (CIP). עיין בסעיף IACS Communication Protocols section במסמך CPwE Design and Implementation Guide.

חברת קונטאל אוטומציה ובקרה מספקת ללקוחותיה בתעשייה פתרונות וייעוץ בנושא תשתיות תקשורת ואבטחת מידע. לחברת צוות ייעודי מנוסה שישמח לעמוד לרשות לקוחות החברה במתן פתרונות של חברת סיסקו. לפרטים נוספים ניתן לפנות אל: יובל טולדנו, 054-9260309

כללי