运营技术(OT)与信息技术(IT)的融合,给工业领域带来了许多挑战,包括网络攻击和网络盲点的脆弱性增加。不幸的是,当许多公司发现他们对OT系统没有适当的可见性时,他们就站在了错误的一边,就像他们喜欢他们的IT基础设施一样。
也是如在IT环境中,大多数工业安全和网络监控工具是基于包的。工程师往往会遇到一些固有的挑战在这个基础设施如何访问这些数据包——跨越在OT交换机端口可用但容易下降包,复制,也许已经在使用,甚至一些旧的开关可能没有跨越端口选项。他们还可能质疑如何将tap合并到基础设施中。
一旦确定了安全策略以及您的环境需要什么样的网络监控和安全工具,建立可见性体系结构就需要确定所需的正确布线、连接器、安装和包捕获设备。在这里,我们将回顾工业环境中最常见的7个可见性挑战,以及如何克服它们。
1)这不是你传统的社交网络
从完全不同的系统和法规到拓扑结构和DIN Rail安装,很明显这个环境是非常不同的。平衡多个系统和设备,从监控和数据采集(SCADA)、分布式控制系统(DCS)到工业自动化和控制系统(IACS),然后添加许多不同的拓扑概念,如点对点、总线、星型、环型、网格、树型、混合和菊花链,您可以看到为什么架构一个可见层可能会变得棘手或被忽视。
在网络框架内,我们理解您不运行19英寸的机架,您无法运行交流电源。该环境中的目标是具有尽可能少的移动部件,以最大限度地降低拔除或中断网络的电缆的风险。许多工业控制面板的工业网络使用喧嚣Rails坐骑,这是一种用于保护或安装电气设备到网络的安装系统并运行DC电源。
2)遵循标准和法规
标准、认证和法规确保了工业过程的标准化和无缝化,导致了熟练和安全的环境。工业领域有很多,包括标准开发组织(SDO),如IEEE,它为实现跨几个频段的无线局域网制定了规范,IEC(国际电工委员会),它使变电站自动化系统中的智能电子设备能够通信,PROFIBUS用户组织(PNO)负责监督PROFINET、PROFIBUS和现场设备集成(FDI)相关的认证和标准。
归根结底,在可伸缩性、收敛性、安全性、性能、灵活的拓扑和低延迟方面存在许多网络需求,这些需求仍然是工业应用程序中的关键挑战。一些欧盟和美国的安全合规要求现在甚至标准化了使用哪些安全工具或监控工具。当然,这些工具是基于包的。
3)克服距离
您的网络是否覆盖了制造工厂,炼油厂,公用事业系统或多个地点?我们知道这些不是传统的商业地点,每个地板都有其布线衣橱,你有漂亮的数据中心。这些设施可能是巨大的。这就是距离考虑在思考您的可见性架构时发挥的地方。
我们发现,公司必须处理的最大争议之一是对电缆长度的限制。虽然都支持铜和光纤,但铜设备到设备的连接不能超过100米。尽管铜以太网已迅速成为标准并得到广泛应用,但距离限制在庞大的网络中很容易成为一个问题。光纤连接更适合更远的距离,有2000米的限制,但光纤并不总是一个取决于环境的选择。
工业网络中的全双工捕获[白皮书]
4)接受身体挑战
身体上的挑战不仅仅是距离。许多工程师遇到环境问题,不得不考虑各种电缆问题。你运行的环境是极冷或极热,有紫外线暴露,或可能粉碎?您的电缆是否会接触到油、水、中度振动或工厂地板上的化学品?你的电缆会在一个特定的控制室里得到保护吗?在布局可见性体系结构和决定如何访问数据时,这些因素是重要的考虑因素。
5)如何获取数据?
选择是网络TAP还是SPAN端口。您是要镜像来自交换机的端口,还是要部署专门为流量访问设计的设备?如果SPAN端口在OT交换机上可用,它们很容易丢弃数据包、复制,而且很可能已经在使用了。甚至一些较老的遗留交换机可能甚至没有SPAN端口选项。除了SPAN港口提出的众所周知的问题之外,还有一些针对工业环境的考虑。
首先,许多工业路由器和交换机都是非托管的,您是否需要与您的网络和安全工具的链接是非托管?管理跨境港口并经常需要重新配置,另一方面,大多数网络水龙头是“设置它并忘记它”。
其次,您是否使用单向网关?我们看到人们尝试在这些情况下使用跨度端口,并不意识到跨度端口是双向的,这创造了一个意外的黑客机会。在这种情况下,专门设计数据二极管水龙头提供单向连接,提供所需的额外安全性。
“SPAN会增加网络设备的开销,如果设备太忙,SPAN端口通常会丢弃镜像数据包。因此,tap是一个更好的选择。——ema[企业管理协会]
6)电源损耗期间的网络恢复时间
基于您必须遵循的系统、基础设施、标准和法规的可见性策略,这将影响到您需要如何被动地或使用基于中继的设备收集数据包。
两个主要问题成为,您的环境中需要的故障安全技术的水平是多少,您使用铜千兆字节?如果您在关键任务环境中遇到功率损耗条件,则网络恢复时间至关重要。该方案的最佳选择是使用被动光纤或10 / 100m铜抽头。这些是完全被动的设备,意味着它们可能会失去功率,链接将保持稳定。如果您使用的是铜以太网,则在环境中使用Active Tap解决方案,100 / 1000M可用于如果存在电源损耗,则链路将掉落,然后重新建立30-300毫秒。
7)心心相印
有了如此多的连接选项、操作系统,以及用许多工程师遇到的安全和性能监控工具桥接遗留设备,如何连接各种连接器或媒体类型?如果您的网络分析器运行的是铜制千兆比特,并且您需要连接一个100Base-FX链接,您该怎么办?没有100Base-FX网卡用于安全或性能监控设备。
在构建您的可见性结构时,像Garland Technology提供的那些专门的网络tap提供媒体转换,从而轻松地解决这些问题,同时提供通过的流量的全双工副本乐动体育菠菜100BASE-FX/LX, LC, ST光纤连接。
解决能见度挑战
我们了解到,您正在反对可能因传统网络而异的环境中的许多挑战,例如必须考虑标准和规定,并涵盖具有许多身体挑战的大型广泛网络。但是对网络可见性的需求是真实的。当涉及关键基础设施时,公司无法承担盲点,丢弃的数据包,流量瓶颈或遭受网络停机时间。
根据SANS 2019OT/ICS网络安全调查现状“可见性对于管理OT / ICS系统至关重要。根据调查受访者,对控制系统网络资产和配置的可见性增加是最高举例的组织在未来18个月内为预算中的预算。“
在整个工业以太网框架中部署网络龙头可以确保正常运行时间,并消除SPAN/Mirror端口不可避免地引入的数据包传递问题。乐动体育菠菜加兰科技也有各种工业基条龙头和配件,包括DIN导轨网络龙头,DC-DC电源转换器,螺丝电源锁连接器,媒体转换龙头和数据二极管抽头 - 所有这些都提供额外的保证,以克服您可能面临的连接和环境挑战。
希望为您的工业部署添加可见性解决方案,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务,这是我们喜欢做的。
