Как реализовать концепцию программно определяемой сети (SD-WAN) для обеспечения безопасности в средах операционных технологий (ОТ) и промышленных сетях с помощью решений Fortinet: FortiGate Rugged, FortiSwitch и FortiAP? Определимся, как оптимизировать затраты, повысить удобство обслуживания инфраструктуры и усилить контроль безопасности для защиты от специфических атак на промышленные объекты.
- Введение
- Концепция программно определяемой сети (SD-WAN)
- SD-WAN в промышленных сетях и средах ОТ
- Индустриальные решения Fortinet
- Выводы
Введение
Классический подход к построению сетевой инфраструктуры в средах операционных технологий (ОТ) постепенно утрачивает актуальность и эффективность. Это связано как с повсеместной цифровизацией и необходимостью организовать централизованное и эффективное удалённое управление промышленными системами (в том числе когда предприятие состоит из географически распределённых подразделений), так и с распространением облачных технологий и сервисов.
Концепция программно определяемых сетей (Software-Defined Networking in a Wide Area Network, SD-WAN) может стать одним из механизмов, который заменит традиционный WAN-подход в сетях промышленных предприятий и на различных объектах критической инфраструктуры. SD-WAN как технология уже зарекомендовала себя как удобная, эффективная и экономически выгодная альтернатива традиционным вариантам развёртывания и масштабирования крупных и сильно разветвлённых сетевых ИТ-инфраструктур. Действительно, программно определяемые сети предоставляют широкие возможности по подключению новых сетевых сегментов и устройств, управлению ими и трафиком в целом, создавая единое информационное пространство.
Летом состоялась онлайн-конференция в рамках проекта AM Live, на которой эксперты обсуждали концепцию программно определяемых сетей и множество связанных с этим подходом вопросов.
Адаптация технологии SD-WAN в средах ОТ ― не самая простая задача, связанная в том числе с обеспечением непрерывности работы критической инфраструктуры и её защищённости. Решение SD-WAN в промышленных сетях должно не только обеспечивать полную видимость всей подконтрольной инфраструктуры из централизованной системы управления, но и иметь в своём составе надёжную систему безопасности, разработанную именно для сред ОТ и позволяющую оперативно обнаруживать потенциальных нарушителей.
В рамках статьи мы постараемся подробнее рассказать об особенностях внедрения концепции SD-WAN в средах ОТ, требованиях к устройствам и инструментам, используемым в промышленных сетях, а также об индустриальных решениях компании Fortinet, относящихся к классу SD-WAN, а именно — межсетевых экранах нового поколения FortiGate линейки Rugged, нескольких моделях точек доступа FortiAP и коммутаторов FortiSwitch, предназначенных для использования именно на промышленных объектах.
Компания Fortinet, по данным информационного агентства Gartner за 2021 год, является одним из ведущих на мировом рынке поставщиков корпоративного оборудования для сетей SD-WAN.
Рисунок 1. «Магический квадрант» Gartner (граничная инфраструктура WAN)
Концепция программно определяемой сети (SD-WAN)
Концепция SD-WAN уже не является новым подходом и активно применяется при построении корпоративных ИТ-инфраструктур на протяжении длительного времени. По этим причинам мы не будем сильно углубляться в её преимущества или технические особенности, ведь эту информацию сейчас можно легко найти в различных материалах и статьях, которые полностью посвящены концепции программно определяемых сетей. Однако напомним читателям некоторые ключевые моменты, связанные с принципами реализации и функционирования сетей SD-WAN.
В результате повсеместного распространения облачных сервисов, необходимости быстрой и безопасной организации удалённого доступа ко внутренним ресурсам перед компаниями с большими распределёнными сетевыми инфраструктурами встал вопрос об адаптации к изменившейся реальности. Максимальное распространение архитектура SD-WAN получила именно в последние пару лет по небезызвестной причине, которая уже навсегда изменила современную реальность. В условиях традиционной WAN-инфраструктуры новые требования сильно уменьшают её производительность, увеличивают сложность эксплуатации (особенно при возникающих неполадках) и усложняют процессы по обеспечению её безопасности. Как следствие, добавляются значительные расходы на поддержку инфраструктуры предприятия.
Архитектура SD-WAN, то есть программно определяемой WAN, позволяет сильно упростить процессы связанные с управлением, мониторингом работы (включая мониторинг и анализ событий по сетевой безопасности, то есть функции NOC и SOC) и масштабированием. Это стало возможным за счёт интегрирования средств управления, контроля и сетевой безопасности во все локальные сети филиалов и подразделений организации. Таким образом происходит формирование единого центра управления всей инфраструктурой, её безопасностью.
Рисунок 2. Построение единого центра управления распределённой ИТ-инфраструктурой с помощью архитектуры SD-WAN
Для практической реализации концепции программно определяемых сетей в глобальной инфраструктуре используются несколько типовых компонентов:
- Аппаратное или программное сетевое оборудование (устройства SD-WAN), которое также может иметь встроенные функции по обеспечению безопасности, в том числе периметральной защиты. Сюда можно отнести межсетевые экраны нового поколения (NGFW), средства анализа сетевого трафика (NTA), системы обнаружения и предотвращения вторжений (IPS или IDS), прокси-серверы с реализованными функциями безопасности (SWG) и другие.
- Средства для организации централизованного управления. Они могут включать в себя системы оркестровки и интеграции, средства виртуализации, автоматизации вкупе с расширенной маршрутизацией и адресацией, благодаря которым повышаются гибкость управления сетевой инфраструктурой и скорость применения конфигураций и политик по отношению к её элементам. В целом, процессы связанные с эксплуатацией, развёртыванием и настройкой элементов инфраструктуры (добавление новых устройств, например) существенно упрощаются.
При грамотном внедрении архитектуры SD-WAN решение вопросов реализации требований по информационной безопасности и интеграции соответствующих решений и систем в инфраструктуру возможно уже на одном из самых ранних этапов ― при проектировании.
SD-WAN в промышленных сетях и средах ОТ
Понятие операционных технологий охватывает различные промышленные системы: комплексы диспетчерского управления и сбора данных SCADA, распределённые системы управления, программируемые логические контроллеры, различные устройства связи и выделенные обособленные сети, а также специализированные средства, необходимые в рамках рассматриваемой сферы (например, научное оборудование, транспортные системы и пр.). Риски, возникающие при эксплуатации промышленных сетей и управлении ими, отличаются от тех, что могут возникнуть в обычной корпоративной инфраструктуре, ведь последствия выхода из строя или невозможности получить доступ к какому-то оборудованию могут быть критически опасными в рамках не только организации, но и местности в целом, а потенциальный ущерб ― существенно выше (только представьте, что может произойти, если нарушится работа устройств управляющих процессами на атомной электростанции).
Как результат, в промышленности хоть и наблюдается тенденция к объединению или внедрению распространённых информационных технологий (тех же облачных сервисов) для реализации новых функциональных возможностей и повышения эффективности работы, но при этом острее ощущается проблема защищённости используемых систем. Раньше большое количество рисков нивелировалось полной изолированностью промышленной инфраструктуры. Сейчас же для защиты всех её компонентов необходимы полная видимость сети из единого центра управления и расширенный мониторинг событий связанных с функционированием подконтрольных объектов. Кажется, что грамотная адаптация подхода SD-WAN к условиям работы в средах ОТ может решить эти задачи с разумными и реальными затратами.
Помимо унифицированного управления, обеспечения полной видимости инфраструктуры, возможностей быстрого развёртывания устройств и систем в средах ОТ и подключения к ним (что в целом соответствует концепции программно определяемых сетей) ключевыми требованиями в промышленности являются:
- Усиленная физическая устойчивость устройств, под которой подразумевается возможность работы в жёстких (или даже экстремальных) условиях, неподходящих для стандартного ИТ-оборудования по таким параметрам, как температура, влажность, наличие вибраций, электромагнитные помехи и другие.
- Возможности доверенной и безопасной удалённой установки и настройки устройств в условиях отсутствия персонала (например, на электрических подстанциях или платформах нефтяных вышек).
- Соответствие специализированным требованиям конкретных отраслевых стандартов или нормативных актов, то есть используемые решения должны быть сертифицированы.
- Усиленная защита от атак на промышленные сети и системы, причём таким образом, чтобы процессы обеспечения информационной безопасности не нарушали работу промышленных систем управления, не снижали производительность и не влияли на продуктивность пользователей в целом. Конечно, нельзя создать полностью защищённую инфраструктуру ― это утопический сценарий, — но интеграция нативной безопасности (включая использование устройств ОТ с надёжными встроенными системами безопасности) приближает нас к этому.
Индустриальные решения Fortinet
Компания Fortinet, как было сказано ранее, занимает одно из лидирующих мест по объёму функциональных возможностей и качеству сетевого оборудования для реализации сетей SD-WAN в корпоративной инфраструктуре. Некоторое время назад было принято решение о развитии индустриальных решений класса SD-WAN, предназначенных специально для использования в средах ОТ, в частности промышленных сетях: это — целая линейка межсетевых экранов нового поколения (NGFW) Fortinet FortiGate Rugged (FGR), несколько моделей точек доступа FortiAP (234F и 432F) и коммутаторов FortiSwitch (FSR-112D-POE и FSR-124D). В зависимости от требований конкретной инфраструктуры, условий эксплуатации и нужд предприятия можно выбрать тот вариант и ту конфигурацию, которые необходимы.
Для управления всеми этими устройствами используется собственная операционная система FortiOS, которая в том числе поддерживает функциональность входящую в концепцию SD-WAN.
Межсетевые экраны нового поколения Fortinet FortiGate Rugged
Всего представлено четыре варианта межсетевых экранов линейки Rugged. При необходимости их можно дополнить радиопередатчиками, используя интерфейсы GE SFP (FR-TRAN-LX, FR-TRAN-SX или FR-TRAN-ZX). Дополнительные модули могут использоваться при температуре от −40 до +85 °C.
FortiGate Rugged 60F (спецификация этой модели приведена в самом правом столбце таблицы 1 ниже) обладает наиболее широкой функциональностью и может использоваться в качестве комплексного аппаратного модуля, реализующего в том числе функции обеспечения безопасности. Это устройство усиливает сетевое оборудование и взаимодействие по сети в целом, реализуя алгоритмы идентификации и аутентификации устройств (включая задачи по генерации и хранению криптографических ключей).
Рисунок 3. Внешний вид межсетевых экранов нового поколения Fortinet FortiGate Rugged
При работе в средах ОТ поддерживается более 50 различных индустриальных протоколов. Все модели Fortinet FortiGate Rugged имеют сертификаты IEC 61850-3 и IEEE 1613, подтверждающие возможность их использования в средах ОТ.
Далее мы предлагаем ознакомиться с некоторыми характеристиками индустриальных межсетевых экранов от Fortinet.
Таблица 1. Характеристики межсетевых экранов Fortinet FortiGate Rugged (в соответствии с требованиями по эксплуатации в средах ОТ)
Параметр |
FGR-30D |
FGR-35D |
FGR-60F |
FGR-3G4G |
Пропускная способность межсетевого экрана (IPv4) |
900 Mбит/c |
550 Mбит/c |
6 / 5,95 Гбит/c |
|
Число параллельных TCP-сессий |
750 000 |
750 000 |
600 000 |
|
Создание новых TCP-сессий в секунду |
5 000 |
5 000 |
19 000 |
|
Пропускная способность SSL VPN |
25 Mбит/c |
25 Mбит/c |
400 Mбит/c |
|
Число параллельных подключений SSL VPN (максимальное рекомендуемое) |
80 |
80 |
100 |
|
Пропускная способность IPsec VPN |
45 Mбит/c |
45 Mбит/c |
3,5 Гбит/с |
|
Пропускная способность системы предотвращения вторжений (IPS) |
180 Mбит/c |
210 Mбит/c |
950 Mбит/c |
|
Пропускная способность NGFW |
45 Mбит/c |
65 Mбит/c |
550 Mбит/c |
|
Пропускная способность Threat Protection |
16 Mбит/c |
16 Mбит/c |
500 Mбит/c |
|
Максимальное количество точек доступа FortiAP |
2 |
2 |
30 |
|
Максимальное количество коммутаторов FortiSwitch |
8 |
8 |
16 |
|
Порты и сетевые интерфейсы |
1 × USB 4 × GE RJ45 2 × GE SFP 2 × DB9 |
3 × GE RJ45 |
4 × GE RJ45 1 × WAN1+Port4 со стандартными настройками (пара для обхода GE RJ45) 2 × GE RJ45 / SFP Интегрированный модем 3G / 4G |
|
Размер (В × Ш × Г), см |
14 × 10,5 × 6 |
7,8 × 26 × 26 |
4,3 × 21,6 × 16,5 |
|
Вес |
0,67 кг |
1,81 кг |
1,75 кг |
|
Поддерживаемое напряжение электросети |
12–48 В |
12–48 В |
От ±12 В до ±125 В |
|
Потребляемая мощность (средняя / максимальная) |
15,55 / 15,92 Вт |
10,2 / 10,5 Вт |
15 / 21 Вт |
17 / 24 Вт |
Максимальная сила тока |
1,19 А |
0,83 А |
2 А |
|
Тепловые потери |
54,29 БТЕ/ч |
35,81 БТЕ/ч |
72 БТЕ/ч |
82 БТЕ/ч |
Температура эксплуатации |
−40 … +70 °C |
−40 … +60 °C |
−40 … +75 °C |
|
Температура хранения |
−50 … +85 °C |
−50 … +85 °C |
−40 … +75 °C |
|
Допустимая влажность |
5–95 % без конденсации |
|||
Высота над уровнем моря |
До 2 250 м |
Точки доступа Fortinet FortiAP
В портфеле Fortinet есть две модели точек доступа (класс Wi-Fi 6), разработанных с учётом требований промышленных сетей и особенностей эксплуатации в них. Оба типа устройств работают на частотах 2,4 и 5 ГГц и доступны в виде как внешних антенн, так и комнатных.
Рисунок 4. Внешний вид точек доступа Fortinet FortiAP, предназначенных для использования в средах ОТ
Таблица 2. Основные характеристики точек доступа Fortinet FortiAP, предназначенных для использования в средах ОТ
Параметр |
FortiAP-432F |
FortiAP-234F |
Радиоприёмники |
3 и BLE |
3 и BLE |
Антенны |
4 двухполосных (Wi-Fi) 1 двухполосная (сканирование) 1 однополосная 2,4 ГГц BLE / ZigBee |
2 двухполосных (Wi-Fi) 1 двухполосная (сканирование) 1 однополосная 2,4 ГГц BLE / ZigBee |
Диапазоны частот (ГГц) |
2,400–2,4835 5,150–5,250 5,250–5,350 5,470–5,725 5,725–5,850 |
2,400–2,4835 5,150–5,250 5,250–5,350 5,470–5,725 5,725–5,850 |
Максимальная скорость передачи данных |
Радиоприёмник 1: до 1 147 Мбит/с Радиоприёмник 2: до 2 402 Мбит/с Радиоприёмник 3: только частотное сканирование |
Радиоприёмник 1: до 574 Мбит/с Радиоприёмник 2: до 1 200 Мбит/с Радиоприёмник 3: только частотное сканирование |
Стандарты IEEE |
802.11ax |
802.11ax |
Порты |
1 × 100/1000/2500 Base-T RJ45 1 × 10/100/1000 Base-T RJ45 (802.3af PoE PSE) 1 × RS-232 RJ45 |
2 × 10/100/1000 Base-T RJ45 1 × RS-232 RJ45 |
Количество одновременных подключений |
До 512 клиентских соединений (обеспечивается радиоприёмниками 1 и 2) |
До 512 клиентских соединений (обеспечивается радиоприёмниками 1 и 2) |
Размер (В × Ш × Г), см |
20,9 × 20,9 × 6 |
31,6 × 21,8 × 4,2 |
Вес |
2,3 кг |
1,3 кг |
Потребляемая мощность (макс.) |
25 Вт без PSE и 37,9 Вт с PSE |
15,5 Вт |
Допустимая влажность |
10–90 % без конденсации |
10–90 % без конденсации |
Температура эксплуатации |
−30 … +60 °C |
−30 … +60 °C |
Температура хранения |
−40 … +80 °C |
−40 … +80 °C |
Коммутаторы Fortinet FortiSwitch Rugged
Две модели коммутаторов Fortinet FortiSwitch Rugged позволяют использовать все порты и интерфейсы без потери производительности и функций безопасности, как и у основного оборудования, упрощая тем самым процессы масштабирования Ethernet-решений.
Рисунок 5. Внешний вид коммутаторов Fortinet FortiSwitch Rugged
Таблица 3. Спецификация коммутаторов Fortinet FortiSwitch Rugged
Параметр |
FSR-112D-POE |
FSR-124D |
Порты и интерфейсы |
8 × GE RJ45 PoE+ 4 × GE SFP |
16 × GE RJ45 4 × GE SFP 8 × GE RJ45 или GE SFP (совмещённые) |
Мощность коммутации |
24 Гбит/с |
56 Гбит/с |
Диапазон входного напряжения |
От ±48 В до ±57 В для поддержки PoE От ±50 В до ±57 В для поддержки PoE+ От ±12 В до ±57 В для поддержки работы без PoE |
+48 В |
Потребляемая мощность (макс.) |
10,12 Вт (без PoE или PoE+) |
25,43 Вт |
Тепловые потери |
822 БТЕ/ч с 8 устройствами PoE+ 68,65 БТЕ/ч без PoE |
117,49 БТЕ/ч |
Температура эксплуатации |
−40 … +75 °C Холодный запуск при −40 °C |
−40 … +85 °C |
Температура хранения |
−40 … +85 °C |
−40 … +85 °C |
Допустимая влажность |
5–95 % без конденсации |
10–95 % без конденсации |
Высота над уровнем моря |
4 000 м при температуре −40 … +55 °C 2 000 м при температуре −40 … +75 °C |
До 3 000 м |
Размер (В × Ш × Г), см |
9,6 × 10,6 × 15,4 |
44,2 × 35,2 × 4,4 |
Вес |
1,23 кг |
5,8 кг |
Выводы
Архитектура SD-WAN (программно определяемых сетей), успешно заменяющая традиционный WAN-подход в корпоративных сетях, всё ещё с трудом применима к промышленным предприятиям по нескольким причинам. Во-первых, эксплуатация сетевого оборудования в промышленности или на производстве может происходить в экстремальных условиях окружающей среды (например, при неподходящей температуре, высокой влажности или постоянных электромагнитных помехах). Во-вторых, зачастую персонал (и, в частности, компетентный ИТ-специалист) может не иметь доступа к оборудованию, так что критически значимым моментом является наличие доверенного удалённого доступа для развёртывания устройств и управления ими. В-третьих, проектирование индустриальной инфраструктуры требует более тщательного и продуманного подхода к обеспечению информационной безопасности критически важных систем, поскольку риски и ущерб, связанные с атаками на них, могут быть катастрофическими не только для компании, но и для окружающей среды и страны в целом.
Грамотная адаптация подхода SD-WAN к средам ОТ может существенно повысить производительность и защищённость индустриальной инфраструктуры. Ведь концепция программно определяемых сетей основана на принципах полной видимости, централизованного управления и быстрого развёртывания не только отдельных устройств и систем, но и целых сетевых сегментов.
Компания Fortinet, занимающаяся поставками оборудования класса SD-WAN, расширила свой портфель набором индустриальных решений (Rugged), которые предлагается использовать для модернизации ОТ-инфраструктуры. Это четыре модели межсетевых экранов нового поколения (NGFW) Fortinet FortiGate Rugged, сертифицированных в соответствии с IEC 61850-3 и IEEE 1613, два варианта беспроводных точек доступа (Wi-Fi) Fortinet FortiAP и две модели коммутаторов Fortinet FortiSwitch Rugged.
Все они адаптированы для использования в неблагоприятных условиях окружающей среды и оснащены встроенными системами безопасности. Так, в межсетевые экраны включены системы обнаружения и предотвращения вторжений (IPS / IDS) и защиты от угроз с использованием информации из базы знаний Fortinet Threat Intelligence. Точки доступа реализуют функции первоначального сканирования сети, а коммутаторы работают таким образом, чтобы все функции по обеспечению безопасности, реализованные в основном оборудовании (том, к которому подключён коммутатор), выполнялись в полном объёме. За контроль, управление, мониторинг и анализ собранных данных в сети отвечает собственная операционная система FortiOS.