Подавляющее число современных умных устройств (в том числе и промышленные контроллеры) для связи используют Ethernet. Подключение такого рода может обеспечиваться как физическими проводными сетевыми интерфейсами, так и через беспроводные технологии, например Wi-Fi.
Для обеспечения безопасности подобной сети следует разграничивать концепции доверенной и недоверенной сети. Доверенная сеть обычно находится в частном учреждении, где известны все пользователи, имеющие доступ. Недоверенная сеть — это любая сеть, в которой невозможно идентифицировать тех, кто имеет к ней доступ, например Интернет.
Одним из важнейших элементов создания любой сетевой инфраструктуры является маршрутизатор — сетевое устройство, которое настраивается для маршрутизации трафика между любыми двумя сетями. Многие люди знакомы с маршрутизаторами для домашнего использования, поскольку эти устройства обрабатывают трафик между Интернетом и устройствами в домашней сети и перемещают данные между доверенной и недоверенной сетью.
Промышленные приложения существенно отличаются. Это связано с тем, что подобным приложениям требуются контроллеры с несколькими независимыми сетевыми интерфейсами, а потому доверенные и недоверенные сети могут быть разделены. Один сетевой интерфейс назначается как локальная доверенная сеть, а другой — как внешняя недоверенная сеть. И здесь есть нюанс: чтобы никакой внешний злоумышленник не мог подключиться к доверенной сети из недоверенной, эти интерфейсы не должны быть маршрутизируемыми.
Еще одна важная составляющая сети — это шлюз безопасности (межсетевой защитный экран, брандмауэр), который перекрывает нежелательному трафику доступ к сети, устройству или хосту. Локальные исходящие соединения, определяемые устройством, считаются заслуживающими доверия и, следовательно, разрешенными, как и соответствующие входящие ответы. Однако какие-либо попытки входящего соединения извне отклоняются, хотя брандмауэр может быть настроен и для открытия определенных назначенных портов и разрешения входящего трафика, подходящего под заранее заданные критерии.
Промышленный контроллер должен иметь собственный брандмауэр и средства для его настройки. При этом для промышленных приложений доверенному сетевому интерфейсу потребуются порты, связанные с логикой управления, соединениями с портами ввода/вывода (I/O) или другими промышленными протоколами. У недоверенного сетевого интерфейса все порты, кроме безопасного порта, как правило, должны быть заблокированы. Это делается, чтобы разрешать получение доступа к контроллеру через зашифрованное соединение только аутентифицированным пользователям. Поэтому по умолчанию рекомендуется открывать только нужные порты и блокировать все остальные, а недоверенный сетевой интерфейс заблокировать полностью.
Для создания надежной и безопасной сети крайне важно грамотно настроить сеть и тщательно подходить к выдаче прав доступа и привилегий внутри сети.
Источник: журнал Control Engineering
