Безопасные сети от Boeing
Технология Boeing позволяет безопасно и эффективно связывать между собой промышленные сети
Компания Boeing первой предложила способ безопасного объединениия между собой сетей для промышленных систем управления (Industrial-Control System, ICS), что позволит повысить эффективность работы и получить дополнительные преимущества за счет совместного использования информации при производстве. Ранее эти сети существовали только в виде разрозненных сетей отдельных предприятий.
Подход, внедренный на некоторых авиационных заводах концерна, вылился в разработку нового стандарта Trusted Computing Group (TCG). Этот стандарт претендует на то, чтобы стать революционным способом построения виртуальных частных сетей, который можно применять не только для сетей ICS, но и для так называемого Интернета вещей. Но это значит также, что все, от электрооборудования или систем регулирования дорожного движения до медицинских приборов в больницах, станет объектом доступа через Интернет, а следовательно, объектом хакерских атак.
«Специалисты Boeing добились выдающихся результатов в области безопасности ICS», — заявил Стефен Ханна, заслуженный инженер компании Juniper Networks и председатель рабочей группы TCG Trusted Network Connect. Новый стандарт, в значительной степени основанный на работах Boeing, будет завершен осенью.
Предлагаемый стандарт будет называться IF-MAP Metadata for ICS Security. Он описывает применение другого, уже существующего стандарта TCG, известного как Interface for Metadata Access Points (IF-MAP) и касающегося промышленных сетей.
Протокол IF-MAP используется сейчас для развертывания базы данных, содержащей информацию о безопасности, управлении устройствами и об уязвимостях. Эта информация собирается с любых систем обеспечения безопасности и затем агрегируется. В качестве таких систем могут выступать, например, системы обнаружения проникновения и противопожарные системы, поддерживающие IF-MAP. Ханна отметил, что IF-MAP поддерживают сейчас несколько десятков производителей, в том числе Lumeta, предлагающая инструментарий обнаружения сетей IPSonar, а также компания Juniper.
Работа, проделанная специалистами Boeing над протоколом IF-MAP, дала решение некоторых вопросов. Сети ICS традиционно поддерживаются как полностью автономные системы, они часто работают не на базе TCP/IP или соединяются по выделенным линиям. Как в этом случае интегрировать устройства ICS в высокоскоростные сети информационных систем для бизнеса, которые обычно соединяются по Интернету?
При этом их объединение часто бывает весьма необходимым, поскольку может дать огромную экономию или способ объединять устройства ICS в границах, обеспечиваемых Интернетом. Речь может идти и просто об обмене информацией. «Но при этом возникает много вопросов к безопасности», — подчеркнул Ханна.
Как отметил Крейг Даплер, технический партнер отдела исследований и технологий Boeing, в компании понимали природу рисков. Но было также ясно, что преимущества от использования традиционных сетей для связи фрагментов сетей ICS будут очень велики. Поэтому несколько лет назад разработчики концерна, имеющие опыт в сфере сетевой безопасности, предложили решение, представляющее собой своего рода «черные ящики» (Control Systems Security Solution, CS3), которые в числе других стандартов поддерживают протокол IF-MAP. Фактически они играют роль прокси для защиты оборудования ICS путем своеобразной оркестровки систем, с которыми ICS могут соединяться, будь то другая сеть или какое-либо устройство. Они предоставляют средства для поддержки шифрования на базе политик или идентификационной информации. Такая структура позволяет ИТ-отделам управлять устройствами, не относящимися к ИТ, по бизнес-сети, при этом функции управления получает группа ICS.
Как подчеркнул Даплер, это не традиционная виртуальная локальная сеть. Это способ оркестровки того, что может видеть в сети группа, занимающаяся системами управления, или же группа ИТ, и при этом обеспечивается разделение сфер управления для этих групп с возможностью очень тонкой настройки. «Например, специалисты, управляющие роботизированными системами предприятия, могут не хотеть, чтобы их действия были видны группе, обеспечивающей отопление и вентиляцию», — пояснил Даплер.
Не все технические специалисты Boeing разделяют убежденность разработчиков в том, что это наилучший способ управления устройствами, не охваченными ИТ-системами. Даплер признает это, и работа все еще остается предметом обсуждения. Но в Boeing уже ждут, когда созданные ими «черные ящики» CS3 станут коммерческим продуктом, который будет широко использоваться еще долгое время.
К развитию этой концепции прикладывали усилия не только Infoblox и Juniper, но также бывший аналитик Boeing Дэвид Маттс, ушедший из концерна год назад, чтобы основать компанию Asguard Networks, которая работает над тем, чтобы поставить идею «черных ящиков» на коммерческие рельсы. Продукт, который предлагает фирма Маттса, называется SimpleConnect, он поддерживает IF-MAP для ICS. Устройство SimpleConnect испытывалось в Boeing. У Asguard есть уже первые клиенты, в том числе компания из Флориды, занимающаяся водоснабжением.
SimpleConnect устанавливается между устройствами, которые нужно защитить, и сетевыми ресурсами разделяемого доступа, такими как бизнес-сети, беспроводные сети, Интернет или внутренние сети заводов, требующие особой изоляции.
SimpleConnect предоставляет возможность настройки в автоматическом режиме для обеспечения кибербезопасности промышленных систем управления. Это достигается за счет размещения частной сети поверх сети с разделяемыми ресурсами. В конечном итоге устройство SimpleConnect может получить дополнительную функциональность, направленную на обеспечение безопасности, например функции обнаружения проникновения или возгорания.
Какой бы полезной ни была идея, с которой выступили в Boeing, Даплер предупреждает об одной проблеме: не случится ли так, что число «черных ящиков» будет слишком велико. Впрочем, если подход компании к защите промышленных систем управления завоюет популярность и получит широкое распространение, то, как надеется Даплер, когда-нибудь устройства даже с дополнительной функциональностью примут удобные размеры и, возможно, будут помещаться в плату сетевого интерфейса.