Завжди думав, що індустріальні та офісні сегменти повинні бути фізично рознесені між собою і по офісній мережі ну ніяк не варто передавати трафік індустріальних додатків по протоколам OPC, Modbus, DNP3 і т.п. Але тут, готуючись до тренінгу з безпеки АСУ ТП, натрапив на цікавий кейс від Боїнга, в якому якраз ставилося завдання по інтеграції двох раніше фізично рознесених сегментів.
Раніше індустріальні сегменти виділялися особливо з точки зору дизайну, вимог по збіжності, надійності, відмовостійкості і т.п. У Cisco навіть є окреме керівництво. розроблене спільно з Rockwell Automation по даній темі - понад 600 сторінок детальних інструкцій і рекомендацій.
Загальна суть таких дизайнів - сегментація і поділ індустріальної і офісної мережі.
Але очевидно, що такий поділ несе з собою і ряд складнощів. Ось тільки ряд з них:
- управління VLAN
- управління конфігурацією
- дублювання СКС
- збільшення вартості
- Зростання числа помилок.
Цілком закономірно виникає бажання передавати індустріальний трафік поверх офісної мережі. Але це теж не панацея, тому що звичайна офісна мережа пропонує меншу, ніж потрібно, захищеність. Ну а про несумісність індустріальних і офісних протоколів і говорити не доводиться. Ось на такому тлі Боїнг в проекті по створенню 777-го і вирішив все-таки знизити свої витрати і об'єднати дві мережі.
За основу була взята ідея оверлейних мереж, яку зараз активно просувають в зв'язку з виртуализацией втратити зв'язок із мережею, програмованих (SDN) мереж і т.п. Але для її реалізації мало було просто навісити мітки на різні типи трафіку - питання з сумісністю і захищеністю все одно залишався.
Тоді Боїнг, який запросив відомого гравця ринку індустріальної ІБ, компанію Tofino. замовив розробку спеціального завантаження модуля безпеки (LMS) для свого брандмауера (Tofino Security Appliance). Продукт був розроблений - вийшов по суті якийсь захисний АСУ ТП ретранслятор, в завдання якого входили:
- передача індустріальних протоколів поверх офісної мережі за рахунок інкапсуляції
- ізоляція АСУ ТП від офісної мережі за допомогою простого індустріального МСЕ
- захист комунікацій між ретрансляторами за допомогою протоколу Host Identity Protocol (HIP).
Рішення (LSM) було реалізовано у вигляді відкритої архітектури на базі open source рішень. Серед планів Tofino - вбудувати LSM або на рівень кінцевих пристроїв (HMI, БД, OPC-сервера і т.п.), або відразу на рівні контролерів.
Ось таке цікаве рішення. Треба зауважити, що згідно з нещодавно зареєстрованому наказом ФСТЕК №31 такий підхід можливий і у нас. Тільки ось рішень, що реалізують цю схему, у нас майже що і немає. Хоча я прихильник все-таки традиційного підходу з фізичним, а не логічним поділом індустріальних і офісних мереж.