Ipari környezetek védelme Palo Alto Networks PA-220R céleszközzel

Miközben az ipar 4.0 már mondhatni lecsengőben, és itt állunk az ipar 5.0 küszöbén, az ipari rendszerek biztonsága még mindig sok esetben hiányos és rendszertelen. A vállalatok sokáig olyan rendszereket használtak az iparban, melyeknek nem volt kapcsolata az internettel, így nem is érezték szükségét az ilyen szegmensek hálózat biztonságának körültekintő kialakítását, a biztonságtudatosság az ilyen rendszerek esetében megragadt egy közel 20 éves állapotban. A gyártásban használt vezérlőrendszerek (SCADA/ICS – Supervisory Control and Data Acquisition/Industrial Control Systems) általában még a vállalaton belül sem kapcsolódtak más rendszerekhez, így a kibertámadás veszélye lényegében kizárható volt.

Ezzel szemben a technológiák rohamos fejlődésének és az automatizáció korának köszönhetően ezek a rendszerek sem működhetnek „lokálisan”, így a mai felfogásban ezek is részeit kell, hogy képezzék különböző privát és publikus hálózatoknak. Ezzel párhuzamosan megjelentek az ipari rendszerekre specializálódott hackerek és támadási metodikák. Ilyen támadási felület például Modbus protokoll sebezhetősége, mely lehetőséget biztosít a támadó számára SCADA rendszerek vezérlésének átvételére.

Az éremnek természetesen két oldala van, így miközben egyre több támadás érte/éri az ipari rendszereket, megjelentek ezek kivédésére és minimalizálására törekvő szakmai csoportok, melyek megfogalmazták azokat az irányelveket, melyekkel biztonságosabbá tehetjük ezeket a rendszereket. Ilyen szakmai csoport a CISA (The Cybersecurity and Infrastructure Security Agency), amely a sérülékenységek negatív hatásainak csökkentése érdekében kiadott kockázatcsökkentő intézkedések halmazából kiemelendő:

  • Az ipari/egészségügyi rendszereket/hálózatokat tűzfalakkal kell elválasztani a vállalati hálózatoktól;
  • Az ipari/egészségügyi rendszerek/hálózatok távoli eléréséhez biztonságos módszereket (pl. VPN) kell használni, de szem előtt kell tartani azt is, hogy az egyes VPN-megoldásoknak is lehetnek sérülékenységeik és ezeket is folyamatosan frissíteni kell a legújabb elérhető verzióra. Nem szabad elfelejteni továbbá azt sem, hogy a VPN csak annyira biztonságos megoldás, mint az eszköz, amit a VPN-en keresztül a védett hálózathoz csatlakoztatnak;

Ezeknek a megvalósítására kínál teljes körű megoldást a Palo Alto Networks PA-220R tűzfala, amely kimondottan ipari környezetre lett optimalizálva, mind fizikai, mind features-set tekintetében.

Főbb jellemzői:

  • Extrém hőállóság
  • Az IEC 61850-3 és az IEEE 1613 tanúsítvánnyal rendelkezik, amely magába foglalja a rezgés, a hőmérséklet és az elektromágneses zavarokkal szembeni ellenálló képességet
  • Dual DC power (12–48V)·Magas rendelkezésre állású tűzfal-konfiguráció (aktív / aktív és aktív / passzív)
  • Ventilátor nélküli kialakítás mozgó alkatrészek nélkül
  • Rugalmas I/O támogatás réz és optika SPF modulokon keresztül
  • Rugalmas szerelési lehetőségek, beleértve a DIN sínre, a rackre és a falra szerelhetőséget
  • Egyszerűsített távoli telepítés USB eszközök segítségével

A PA-220R egy strapabíró (ruggedized), új generációs tűzfal, amely biztonságot nyújt az ipar számára különböző szélsőséges környezetekben, például közüzemi alállomásokon, erőművekben, gyártóüzemekben, olaj- és gázipari létesítményekben és egészségügyi hálózatokban.

Kialakításának köszönhetően sokkal magasabb a hőtűrő képessége, nem tartalmaz mozgó alkatrészeket, teljesen porálló és az elektromágneses interferenciák sem befolyásolják a működésben.

A szokványos protokollok és alkalmazásokon felül támogatja az OSIsoft PI, a Siemens S7-et, a Modbus-t és a DNP3 technológiákat. Használható az ipari hálózatok szegmentálására, ilyen módon hozzájárulhat az izolációra épülő védelem kiépítéséhez, illetve a nagyobb fokú átláthatóság és felügyelhetőség megteremtéséhez.

Az App-ID, a Palo Alto Networks tűzfalakban elérhető szabadalmaztatott forgalomosztályozó képesség, amely azonosítja az alkalmazást, függetlenül a porttól, protokolltól, titkosítástól. Több osztályozási mechanizmust – alkalmazás-szignatúrát, alkalmazás-protokoll dekódolást és heurisztikát alkalmaz a hálózati forgalomban az alkalmazások pontos azonosítása érdekében.

Blokkol számos ismert általános és ICS-specifikus fenyegetést – ideértve az exploitokat, a rosszindulatú programokat és a kémprogramokat is – az összes port-on, függetlenül az alkalmazott technikától ezek mellett korlátozza a fájlok és az érzékeny adatok jogosulatlan továbbítását.

Lehetővé teszi az agentless integrációt a Microsoft Active Directory®, a Terminal Services, az LDAP, a Novell eDirectory ™ és a Citrix szolgáltatással. Könnyen integrálja a tűzfalakra vonatkozó szabályokat a 802.1X vezeték nélküli eszközökkel, a proxykkal, a network access control megoldásokkal.

Top