Защита промышленного Интернета вещей:руководство по выбору архитектуры

По мере того как организации все чаще подключают промышленные сети управления к ИТ-среде, облачным приложениям и удаленным сотрудникам, воздушный зазор, создаваемый демилитаризованной зоной (DMZ), размывается, и необходимо использовать новые способы защиты сетей операционных технологий (OT).

Решение безопасности должно учитывать потребности как ИТ, так и ОТ, обеспечивая надежную безопасность без увеличения операционных издержек или сложности сети. Чтобы выбрать лучшее решение для вашей организации, вам необходимо понимать значение различных доступных вам архитектур безопасности. В этом посте мы кратко изложим руководство по выбору правильной архитектуры для защиты промышленного Интернета вещей.

Начало работы

Первым шагом к защите промышленной сети IoT является обеспечение прозрачности. Вам необходимо понимать, какие устройства находятся в сети, с чем они связываются и куда направляются эти коммуникации. Однако традиционные промышленные сети управления не были созданы для получения такой информации.

К счастью, технология для обеспечения прозрачности сети доступна уже сегодня. Глубокая проверка пакетов (DPI) декодирует все коммуникационные потоки и извлекает содержимое сообщений и заголовки пакетов, обеспечивая видимость, чтобы понять, какие устройства вам нужно защитить и с чем они обмениваются данными. Это не только позволяет создавать правильные политики безопасности, но и дает возможность обнаруживать ненормальное поведение, такое как незаконные команды для машин, которые могут иметь катастрофические последствия.

Выбор архитектуры

При сборе сетевых пакетов для выполнения DPI поставщики решений безопасности обычно используют одну из двух архитектур:

1. Настройте сетевые коммутаторы для отправки трафика на центральный сервер, который выполняет DPI.
2. Разверните выделенные устройства безопасности на каждом сетевом коммутаторе.

Хотя оба подхода могут обеспечить прозрачность сети, они также создают новые проблемы. Настройка сетевых коммутаторов для отправки трафика на центральный сервер требует дублирования сетевых потоков, что может быть сложным и дорогостоящим. Дополнительная перегрузка сети также может создавать задержки в сети, что часто является неприемлемым компромиссом.

Развертывание устройства безопасности решает проблемы, связанные с дублированием сетевого трафика. Устройство собирает и анализирует сетевой трафик на коммутаторе и отправляет на сервер только метаданные для дополнительного анализа. Однако полная видимость требует установки, управления и обслуживания специального оборудования для каждого коммутатора в сети. Это может быстро привести к проблемам с затратами и масштабируемостью. А чтобы быть эффективной, безопасность требует полной видимости. Даже если оставить один выключатель «в темноте», это сопряжено с риском.

Альтернативный подход

Есть лучший способ добиться полной видимости сети и третий архитектурный подход:развернуть коммутаторы промышленного уровня с встроенными возможностями DPI. Это избавляет от необходимости дублировать сетевые потоки и развертывать дополнительные устройства. Для получения функций видимости и безопасности достаточно просто активировать функцию в коммутаторе. Стоимость, трафик и операционные накладные расходы сведены к минимуму.

Встраивание DPI в сетевой коммутатор дает уникальные преимущества как ИТ, так и ОТ. ИТ-специалисты могут использовать свой существующий набор навыков для защиты сети ОТ без необходимости управлять дополнительным оборудованием или сетевым трафиком. OT может получить прозрачность операций, которой раньше не было, поскольку теперь можно анализировать весь трафик промышленной сети, что дает ценную аналитическую информацию о системах управления.

Оценивая решения безопасности OT, помните об их архитектурном значении. Чтобы упростить развертывание и сделать его масштабируемым, лучше всего встроить в коммутатор функции безопасности. Для этого требуется сетевое оборудование с возможностями промышленных вычислений - ищите переключатели с поддержкой DPI, разработанные для промышленного Интернета вещей.

Это подход, который мы использовали в Cisco Cyber ​​Vision. Он использует уникальную архитектуру периферийных вычислений, которая позволяет компонентам мониторинга безопасности работать в нашем промышленном сетевом оборудовании, обеспечивая, таким образом, видимость, операционную аналитическую информацию и комплексное обнаружение угроз для среды OT.

Преимущества Cisco Cyber ​​Vision не ограничиваются организациями с сетями Cisco - датчик также доступен в составе устройства Cisco IC3000, которое анализирует трафик на периферии путем подключения к устаревшим сетевым устройствам. Это обеспечивает максимальную гибкость развертывания для удовлетворения ваших потребностей в существующей сети, а также дает вам время для замены старых коммутаторов на сетевое оборудование с поддержкой DPI, способное видеть все, что к нему подключено.

Если вы хотите узнать больше, ознакомьтесь с официальным документом «Подход с пограничной архитектурой к защите промышленных сетей IoT», в котором мы дополнительно исследуем три представленные здесь архитектуры безопасности и то, как встраивание DPI в сетевой коммутатор отвечает потребностям И ИТ, и ОТ.