Skip to main content

以聚合式 IT/OT 安全閘道保護工業物聯網基礎架構

工業和其他關鍵任務設施與程序的連線及數位化程度日漸提高,以提供更深入的程序分析,並且提昇效率及安全性。 但是傳統的操作技術 (OT) 基礎架構,例如可程式化邏輯控制器 (PLC)、遠端終端單元 (RTU)、監督控制與資料擷取 (SCADA) 系統等,其設計並無法防護以連線至網際網路的裝置為目標的複雜駭客及惡意軟體攻擊。

Lanner Electronics Inc 公司技術總監 Max Lee 說明的 IT 難題進一步點出 OT 環境中的安全弱點:「傳統 IT 的安全功能主要以企業網路需求為核心而建立,設計於伺服器機房內減輕來自於網際網路的網路安全威脅。 它的開發目標並非保護工業控制系統 (ICS) 和 SCADA 網路。」這是因為 OT 裝置在隔離的環境中運作,以控制及監視關鍵基礎架構。

Lee 表示,為提升安全性:「我們必須在 PLC、RTU 和其他裝置所在的嚴苛工業環境中,部署工業等級的防火牆。」此外,突波防護、LAN/COM 隔離,與寬鬆的操作溫度範圍等功能,也有助於確保防火牆在嚴酷的工業條件下全天候高效率運作。

因此,在實作安全可靠的工業物聯網 (Industrial Internet of Things,IIoT) 網路架構時,必須兼顧 IT 與 OT 這兩方面的需求。

將安全功能標準化是好的開始

實作安全功能之前,讓系統之間能互相通訊是 IIoT 的前提。 OT 所有人、設計師與開發人員應進一步考量安全防火牆,而同樣重要的是,不能在與世隔絕的狀態下進行。 OT 系統也必須連線到 IT 基礎架構以使用資料。 例如,處於中央位置的員工必須能透過公司的企業電腦,從遠端連線到 OT 網路,以存取資料和監控狀態。

同時,在典型 IT 防火牆中無法使用的序列埠,必須連線到工業網路中的舊式裝置。 這些安全性並不可靠的眾多連線,為惡意軟體及病毒侵入 IT 辦公室與工業網路開啟了漏洞。

在能源領域中,某些挑戰已經獲得解決。 IEC-61850 規格確保自動化系統之間可互通操作的通訊功能,這也是工業防火牆必備的規格。 在類似的狀況下,關鍵基礎架構裝置遭受網路攻擊的次數與日俱增,催生工業系統的其他新式安全架構。 Lanner Electronics 等網路硬體供應商正在開發以關鍵基礎架構防護 (Critical Infrastructure Protection,CIP) 標準為基礎的安全裝置;這套標準是由北美電力可靠性公司 (North American Electric Reliability Corporation,NERC) 領軍制訂;而安全裝置的形態是作為多層網路安全平台的 IT 與 OT 閘道。

NERC CIP 標準針對聚合式 IT 與 OT 基礎架構的安全原則管理需求,以及網路控制能見度需求,順暢整合 IT 與 OT(圖 1)。 採用 CIP 標準的閘道裝置,能整合來自於這兩方面的技術,以建立對於 ICS 與 SCADA 站台中控制網路流量、白名單、封包檢查與安全原則指示的能見度。 Lanner 公司以其 LEC-6032 聚合式 IT/OT 安全閘道落實這個方案,目標是能源、石油與天然氣及製造業等工業市場。

圖 1. CIP 標準為 IT/OT 安全機制的整合式方式奠定基礎。 (資料來源:Lanner Electronics, Inc.)

IT/OT 安全閘道剖析

Lanner 公司的安全閘道是兼籌並顧的方案,透過基於 CIP 標準的現成技術建構模塊,一方面保護 OT 裝置,另一方面保護 IT 網路。 在 OT 這一方面,這些閘道部署安全裝置,以整合 SCADA、PLC 與記錄伺服器。 對於 IT 環境而言,CIP 閘道保護企業資源規劃 (ERP)、產品生命週期管理 (PLM) 與郵件伺服器。

舉例而言,Lanner 的 LEC-6032 工業等級無風扇嵌入式系統,是作為工業防火牆與整合式威脅管理 (UTM) 裝置,以監視及控制 OT 環境中的網路流量。 針對 OT 安全性的 LEC-6032 防火牆解決方案,是以時脈 1.91 GHz 的 Intel Atom® E3845 處理器來推動。 這款低耗電處理器穩定可靠,足以順暢管理網路流量。 Lanner 技術總監 Lee 說:「Atom 的低功耗實現了寬鬆的操作溫度範圍,這在 OT 網路中至關緊要。」然而系統也發揮了 Atom 處理器的安全功能。

Atom CPU 具備虛擬化功能、能增強系統安全性與網路防衛能力的停止執行位元功能,以及進階加密標準新指令 (AES-NI) 技術(圖 2)。 此外,CPU 能擴充指令與原則實作,以偵測未經授權的行為和惡意軟體。 加上它能執行確認與驗證程序,為 OT 基礎架構中的每項裝置建立身分識別。

圖 2. Intel® AES 技術有助於更快速、更嚴密的加密作業。 (資料來源:Intel Corp。)

類似的狀況是 Lanner 在其 IT 防火牆安全裝置中採用 Intel® Core™ 處理器。 Lee 在此處舉證處理器具備高輸送量處理功能,可實作各種安全指示,例如深入封包檢查 (Deep Packet Inspection,DPI),與資料平面開發套件 (Data Plane Development Kit,DPDK)。 Intel® QuickAssist 技術 (Intel® QuickAssist Technology) 也用於 Lanner 的 IT 安全裝置中,以加速加密作業。 安全閘道硬體採 x86 架構,能移轉符合架構規範的任何軟體。

多層式安全性

依據 Lanner 的研究資料,60% 以上的公用事業去年至少發生一次發生資安事件。 OT 基礎架構的本質,加上其為具有惡意意圖的駭客提供的攻擊點數量,因此需要多層網路安全平台。 當 IT 元素與 OT 元素互相交織時,這一點特別真切。

以 CIP 為基礎的安全閘道提供風險分析、網路監控與緊急應變功能,以對抗對於關鍵工業基礎架構的網路攻擊。