CZ
SK
HU
SI
HR
RS
BA
ME
MK
EN
Tvrtka
Proizvodi
Usluge
Tehnička podrška
Partneri
Medijski centar
Events RA
Kontakti
E-shop
Tvrtka
RA Authorised Distributor Certificate
Opći uvjeti poslovanja
Belden certifikat
Politika privatnosti
Usluge popravaka u industriji
Industrijska obuka
Inženjering
TechConnect podrška
Skladišna logistika
IT rješenja
Sastavljanje
Kibernetička sigurnost
Robotika
Mjerenje vibracija i dijagnostika
Autonomna vozila (AGV i AMR)
Novosti
Cjenik
ControlTech dokumentacija
Rockwell Automation Documentation
E-learning
news-header

Prikupljanje industrijskih podataka iz perspektive kibernetičke sigurnosti - Od flat mreže do segmentirane arhitekture

Definicija problema

Razmotrimo tipičnu industrijsku aplikaciju: proizvodnu liniju kojom upravljaju dva ControlLogix upravljačka sustava tvrtke Rockwell Automation. Operateri trebaju u stvarnom vremenu nadzirati i upravljati stanjem proizvodnje putem tri HMI panela (npr. Optix grafičkih panela), uz istovremeno periodičko zapisivanje odabranih PLC tagova u SQL bazu podataka koja mora biti dostupna IT aplikacijama za izvještavanje i analizu podataka.

Kao rješenje za vizualizaciju može se koristiti jedan Optix Edge uređaj koji je host za FactoryTalk Optix aplikaciju, distribuiranu prema HMI panelima kao web klijentima putem WebPresentationEngine objekta.

Početna hardverska konfiguracija je sljedeća:

  • dva ControlLogix PLC-a kao izvori podataka
  • jedan Optix Edge uređaj kao runtime za FT Optix aplikaciju
  • tri Optix panela kao HMI terminali / web klijenti
  • SQL server kao ciljno spremište za povijesne podatke

Zahtjevi se na prvi pogled čine jednostavnima — distribuirati vizualizaciju prema panelima i redovito slati podatke u bazu. Međutim, način na koji se te funkcionalnosti tehnički implementiraju ima ključan utjecaj na sigurnost cijelog OT okruženja.

Pogrešno rješenje: flat mreža

Najjednostavnije — i nažalost još uvijek relativno često — rješenje jest povezati sve uređaje u jednu zajedničku mrežu bez ikakve segmentacije. Oba upravljačka sustava povezana su putem switcha u isti mrežni segment koji također uključuje Optix Edge uređaj, sva tri HMI panela, SQL server. Jedna FT Optix aplikacija izvršava se na Optix Edge uređaju i istovremeno obavlja vizualizaciju za HMI panele putem WebPresentationEngine-a i data logging u SQL bazu podataka.

SQL server nije izoliran — njemu pristupaju i korisnici iz korporativne IT mreže, primjerice radi generiranja izvještaja ili izvoza podataka u poslovne informacijske sustave. Time se stvara izravna veza između OT mreže i IT svijeta, a vrlo vjerojatno i javnog interneta, bez ikakvog zaštitnog sloja između.
Ovakva arhitektura naziva se „flat network“ i nosi niz ozbiljnih sigurnosnih rizika.

Izostanak mrežne segmentacije
U flat mreži svaki uređaj ima izravan pristup svim ostalim uređajima. Kompromitacija bilo kojeg čvora — bilo da se radi o HMI panelu, SQL serveru ili IT računalu s pristupom bazi — otvara napadaču izravan put prema upravljačkim sustavima. U industrijskom okruženju to znači mogućnost utjecaja na upravljanje procesom, prekida ili uništenja proizvodnje, zlouporabe osjetljivih podataka.

Monolitna aplikacija
Jedna FT Optix aplikacija istovremeno obavlja funkcije vizualizacije i data logging-a, što znači da ima pristup i PLC komunikaciji i SQL serveru. Svaka ranjivost u logici aplikacije ili konfiguraciji konekcija može se iskoristiti za kompromitaciju oba sustava odjednom.

Izloženost SQL servera
Server koji izravno prima podatke iz OT mreže istovremeno je dostupan iz IT okruženja bez zaštite firewall-a. Napadač koji ostvari pristup SQL serveru s IT strane zapravo se nalazi u istom mrežnom segmentu kao i PLC uređaji.

Ispravno rješenje: segmentirana arhitektura s IDMZ-om

Sigurna arhitektura temelji se na Purdue modelu i principu Defense-in-depth (višeslojne zaštite). Purdue model (često nazivan Purdue Enterprise Reference Architecture – PERA) referentna je arhitektura koja se koristi u industrijskoj automatizaciji i kibernetičkoj sigurnosti za strukturiranje proizvodnih sustava i njihovo razdvajanje od IT mreža. Posebno je važan u kontekstu OT-a (Operational Technology) i standarda poput ISA-95 ili IEC 62443.

U ispravno osiguranom rješenju za naš slučaj, mreža je podijeljena u tri zone, odvojene firewallima:

  • OT mreža (Purdue L1–L2)
  • Industrial DMZ, or IDMZ (Purdue L3.5)
  • IT network (Purdue L4)

Dvije odvojene Optix aplikacije

Dodatno, uvodi se još jedna važna promjena u odnosu na pogrešno rješenje: funkcionalnost se dijeli na dvije odvojene FT Optix aplikacije. Za njihovo izvođenje mogu se koristiti dva Optix Edge uređaja ili jedan uređaj uz korištenje Docker kontejnera. Korištenjem kontejnerizacije smanjuju se hardverski zahtjevi i omogućuje rad na jednom uređaju. Radi jednostavnosti, u nastavku teksta pretpostavlja se korištenje dva Optix Edge uređaja.

Prvi Optix Edge uređaj izvršava aplikaciju namijenjenu isključivo vizualizaciji — distribuira HMI ekrane prema panelima putem WebPresentationEngine-a i nema izravan pristup SQL serveru.

Drugi Optix Edge uređaj izvršava aplikaciju namijenjenu isključivo data logging-u — čita odabrane tagove s oba PLC-a i šalje ih kroz firewall prema staging SQL serveru u IDMZ-u (vidi dolje). Svaka aplikacija ima precizno definiran i ograničen skup komunikacijskih ovlasti; nijedna nema potrebu za istovremenim pristupom i PLC sustavima i bazi podataka.

OT mreža i VLAN segmentacija
OT mreža dodatno je interno segmentirana korištenjem VLAN-ova. Prvi VLAN uključuje oba ControlLogix upravljačka sustava i dva Optix Edge uređaja — ovaj VLAN sadrži isključivo uređaje koji izravno komuniciraju s proizvodnim procesom. Drugi VLAN namijenjen je trima HMI panelima.

IDMZ
IDMZ (Industrial Demilitarized Zone) je namjenska zona koja služi kao sigurnosni sloj između OT i IT okruženja Staging SQL server u IDMZ-u prima podatke iz OT mreže kroz prvi firewall, ali nije dostupan IT okruženju za operacije pisanja. IT sustavi aktivno dohvaćaju (pull) podatke sa staging servera kroz drugi firewall — komunikaciju uvijek inicira IT strana, nikada IDMZ Korištenje IDMZ-a osigurava da incident u IT okruženju ne može izravno ugroziti dostupnost ili integritet OT sustava.

IP adresna shema

Zone Subnet Devices and Addresses
VLAN 1 (PLC + Edge) 10.0.1.0/24 ControlLogix 1: 10.0.1.10, ControlLogix 2: 10.0.1.11, Optix Edge 1: 10.0.1.20, Optix Edge 2: 10.0.1.21
VLAN 2 (HMI panels) 10.0.2.0/24 Panel 1: 10.0.2.10, Panel 2: 10.0.2.11, Panel 3: 10.0.2.12
IDMZ 10.0.3.0/24 SQL staging: 10.0.3.10
IT network 10.0.4.0/24 SQL final: 10.0.4.10

Pravila za Firewall 1 (OT → IDMZ)

Firewall 1 odvaja OT mrežu od IDMZ-a. Jedini dopušteni tok podataka je slanje logiranih tagova s Optix Edge 2 uređaja prema staging SQL serveru. Komunikacija iz IDMZ-a prema OT mreži je blokirana. Optix Edge 1 nema definirano pravilo za prolaz kroz FW1, jer uopće ne komunicira s IDMZ-om niti s IT mrežom.

Rule Source Destination Port Action
1 10.0.1.21 10.0.3.10 TCP 1433 PERMIT
2 any any any DENY

Pravila za Firewall 2 (IDMZ → IT)

Firewall 2 odvaja IDMZ od IT mreže. Jedini dopušteni tok podataka iniciran je s IT strane — konačni SQL server aktivno povlači podatke (pull) sa staging servera. Ključno načelo je da komunikaciju uvijek inicira IT strana (pull), nikada IDMZ prema IT-u. Time se osigurava da, čak i ako je IT mreža kompromitirana, napadač ne može aktivno gurati podatke ili naredbe prema IDMZ-u, a time ni dalje prema OT okruženju.

Rule Source Destination Port Action
1 10.0.4.10 10.0.3.10 TCP 1433 PERMIT
2 any any any DENY

Zaključak

Dizajn mrežne arhitekture za industrijski data logging odluka je koja ima izravan utjecaj na sigurnost cijelog proizvodnog okruženja. Kao što usporedba dvaju rješenja pokazuje, funkcionalno jednaki sustavi mogu imati izrazito različite razine otpornosti na kibernetičke prijetnje.

Flat mreža bez segmentacije privlačna je zbog svoje jednostavnosti i niskih početnih troškova. Povezivanje svih uređaja u jedan segment te korištenje monolitne aplikacije za vizualizaciju i data logging doista funkcionira — sve dok nešto ne pođe po zlu. SQL server izložen IT okruženju bez ikakvog zaštitnog sloja predstavlja izravni most između korporativne mreže i industrijskih upravljačkih sustava. U vremenu kada su OT mreže sve češće meta kibernetičkih napada, takva arhitektura predstavlja neprihvatljiv rizik.

Segmentirano rješenje s IDMZ-om pruža više međusobno nadopunjujućih sigurnosnih slojeva. Podjela OT mreže na dva VLAN-a odvaja HMI panele od upravljačkih sustava. Dva odvojena Optix Edge uređaja s namjenskim aplikacijama implementiraju princip najmanjih privilegija na razini aplikacije. IDMZ sa svojim staging SQL serverom fizički prekida izravnu vezu između IT i OT svijeta. Dva industrijska firewalla s eksplicitno definiranim pravilima osiguravaju da je sav promet između zona unaprijed odobren i auditan. Pull princip na granici IDMZ–IT osigurava da svaki tok podataka uvijek inicira IT strana — napadač iz IT okruženja time nema mogućnost aktivnog slanja podataka ili naredbi prema nižim slojevima arhitekture.

Treba naglasiti da dodatni hardverski troškovi — industrijski firewalli, staging server i eventualno drugi Optix Edge uređaj — u ovom kontekstu su zanemarivi u usporedbi s potencijalnim posljedicama sigurnosnog incidenta u OT okruženju.

Napomena: Ovaj članak obrađuje isključivo dizajn aplikacije i mrežne infrastrukture. Sveobuhvatno kibernetičko sigurnosno rješenje za ovakav tip projekta zahtijeva i razmatranje drugih sigurnosnih aspekata (analiza rizika, sigurnost na razini aplikacija i uređaja, kontrola pristupa, nadzor itd.), kao i osiguranje samog završnog SQL servera (autentifikacija, enkripcija, hardening itd.).