سختسازی سوئیچهای SCADA: SSH، کنترل پورت و اتصال MAC در شبکههای OT (بخش دوم)
شبکههای OT صنعتی در لایه سوئیچ با استفاده از SSH، قفلکردن پورت و اتصال MAC امنیت را افزایش میدهند. این مقاله بررسی میکند که چگونه محیطهای SCADA زیرساخت سوئیچینگ اترنت را تقویت میکنند تا سطح ح...
لایه جدیدی از دفاع در شبکههای سوئیچینگ OT در حال ظهور است
شبکههای کنترل صنعتی دیگر سیستمهای ایزوله نیستند. آنها اکنون در محیطهای همگرا IT/OT عمل میکنند که دسترسی از راه دور و کنترل توزیعشده استاندارد است. پیکربندی سوئیچ به مکانیزم دفاعی خط مقدم در معماری امنیت سایبری SCADA تبدیل شده است.
مهندسان اکنون سوئیچها را نه تنها برای عملکرد بلکه برای تطابق با انتظارات IEC 62443 در زیرساختهای حیاتی سختسازی میکنند.
زیرساخت سوئیچینگ صنعتی اکنون نقش مستقیمی در حفاظت از داراییهای کارخانه و تداوم عملیاتی ایفا میکند.
بررسی فنی روشهای سختسازی سوئیچ
امنسازی دسترسی از راه دور از طریق SSH
SSH جایگزین تلنت قدیمی در محیطهای OT شده است تا جلسات مدیریت رمزگذاریشده را تضمین کند. این باعث کاهش افشای اعتبارنامهها و دادههای پیکربندی در شبکههای SCADA میشود.
در استقرارهای مدرن، مهندسان دسترسی VTY فقط از طریق SSH را اعمال میکنند تا مسیرهای ورود ناامن از راه دور را جلوگیری کنند.
مدیریت مبتنی بر SSH دسترسی کنترلشده از راه دور به سوئیچهای صنعتی در مناطق OT را تضمین میکند.
حذف رابطهای وب از سوئیچهای حیاتی
غیرفعال کردن مدیریت HTTP و HTTPS به طور قابل توجهی سطح حمله را کاهش میدهد. بسیاری از اپراتورهای SCADA پیکربندی مبتنی بر CLI را از طریق جلسات شل امن ترجیح میدهند.
این رویکرد خطاهای تصادفی پیکربندی را محدود کرده و انضباط عملیاتی در شبکههای کارخانه را تقویت میکند.
احراز هویت در لبه کنترل
احراز هویت نام کاربری محلی کنترل دسترسی را حتی بدون خدمات هویت متمرکز تضمین میکند. این برای ایستگاههای فرعی و تأسیسات راه دور با اتصال محدود به بیرون ضروری است.
اعتبارنامههای ذخیرهشده محلی، تداوم عملیاتی را زمانی که احراز هویت خارجی در دسترس نیست، حفظ میکنند.
قفل کردن پورت و انضباط ترافیک
پورتهای سوئیچ استفادهنشده یکی از رایجترین آسیبپذیریها در محیطهای OT هستند. مدیران اکنون رابطهای استفادهنشده را غیرفعال میکنند تا نقاط دسترسی غیرمجاز به دستگاهها را حذف کنند.
این روش تطابق فیزیکی با منطقی بین داراییهای مستند شده و توپولوژی فعال شبکه را تضمین میکند.
کنترل در سطح پورت تضمین میکند که فقط نقاط انتهایی تأیید شده در ارتباطات صنعتی شرکت کنند.
بستن دستگاهها از طریق کنترل در سطح MAC
بستن آدرس MAC اطمینان نقطه انتهایی را با قفل کردن دستگاههای فیزیکی به پورتهای خاص سوئیچ تقویت میکند. هر عدم تطابق باعث قطع فوری ارتباط میشود.
این تکنیک به طور گسترده در محیطهای دارای HMI سنگین و مناطق SCADA حساس به ایمنی استفاده میشود.
بستن مبتنی بر MAC هویت قطعی دستگاه را در لبه شبکه اعمال میکند.
محلهای کاربرد این روشها
این روشهای سختسازی سوئیچ به طور گسترده در پستهای برق، کارخانههای فرآیندی و خطوط تولید گسسته به کار میروند. آنها ارتباط پایدار بین PLCها، RTUها، HMIها و سیستمهای نظارتی را تضمین میکنند.
مهندسان اغلب این تکنیکها را با سختافزار زیرساخت امن مانند سیستمهای قدرت و ارتباطات شبکه صنعتی برای تثبیت معماری OT تحت محدودیتهای امنیت سایبری.
بینش صنعتی: شبکههای OT به سیستمهای تعریفشده توسط امنیت تبدیل میشوند
امنیت در سطح سوئیچ اکنون یک الزام اساسی است نه فقط یک بهترین روش. استانداردهایی مانند IEC 62443 نحوه طراحی بخشبندی شبکه و کنترل دسترسی توسط مهندسان را تغییر میدهند.
ما شاهد تغییر هستیم که پیکربندی شبکه به اندازه فایروالها یا نقاط انتهایی، وضعیت امنیتی را تعریف میکند. این موضوع نقش زیرساخت سوئیچینگ را در یکپارچگی سیستم SCADA ارتقا میدهد.
دیدگاه مهندسی درباره جهتگیری امنیت OT
سختسازی سوئیچ اغلب در بحثهای امنیت سایبری OT دستکم گرفته میشود. با این حال، این لایه مستقیمترین لایه اجرای بین دستگاههای فیزیکی و منطق کنترل است.
از نظر من، سازمانهایی که انضباط در سطح سوئیچ را نادیده بگیرند، با افزایش ریسک عملیاتی مواجه خواهند شد زیرا همگرایی IT/OT سرعت میگیرد. پیکربندی ساختاریافته، نه وصلههای امنیتی واکنشی، شبکههای صنعتی مقاوم آینده را تعریف خواهد کرد.
*دنیل مرسر، تحلیلگر صنعتی و گزارشگر سیستمها، با ۱۴ سال تجربه در پروژههای ادغام زیمنس، راکول اتوماسیون و امرسون دلتاوی در محیطهای کنترل فرآیندهای بزرگمقیاس*