【技術文章】Data Diode TAP在IT OT融合中的角色


原文網址:DATA Diode TAPs in the converged IT/OT marketplace

作者:NEIL WILKINS

譯者:翰特科技

1.png

IT vs OT, 也就是企業環境相對工業環境 (ICS)。這些技術在不同的環境中運行並具有不同的用途。

IT 是我們比較熟知的領域:電腦啊、伺服器啊、鍵盤等等。IT 使用通用環境和解決方案(雲、服務器、防火牆、防病毒軟件等)。這些組成元件通過 IP 和 HTTP 等熟悉的協議進行通信。而作為用戶和管理者,我們習慣於頻繁更新、重啟和修補我們的系統。

OT 的組成元件則是完全不同,是僅在工業環境中才會用到的。這些組成元件通常是機械和 PLC。他們通常沒有與當前 IT 系統可以相容的操作系統。

它們運行的是韌體(firmware)。它們的設計與傳統的電腦大相逕庭,通訊協定也是通過在IT環境不會看到的工業用的協定(例:Modbus 或 Profinet)。頻繁的更新、重啟和安裝修補程式,在OT環境是不會發生的。想像一下,關掉生產線或是發電廠以重新啟動系統,這是完全不可行的。

傳統上,IT主要關注機密性,OT關注安全性。顯然,這兩個系統的運作方式不同。行業專家預測,這些系統將繼續融合,隨著它們慢慢現代化,兩個系統之間的鴻溝將需要在我們的關鍵基礎設施中彌合。


OT 環境中的可視性挑戰


網路可視性是所有有效 OT 和 IT 安全的核心。您無法保護您不瞭解的資產,無論您看的是哪一領域,都是如此。

OT環境可能面臨的挑戰,是通過旨在保護網路資產的網路基礎設施來保護網路資產免受傳入威脅。這些情況需要在不同區段或設施之間進行單向數據傳輸。

單向的數據流是為了保護OT網路免受外部威脅並保持業務連續性,同時遵守:

·       NERC CIP v5 法規1

·       NRC 指南

·       EUR 2865922

Garland Technology率先生產了具有Data diode的物理硬體TAP,以應對這些挑戰。Data diode TAP僅允許原始數據沿一個方向傳遞。

2.png

隨著IT和OT的融合,對於軟體式的TAP(通常或稱為虛擬TAP)的需求也開始出現。傳統上,虛擬 TAP 是為 IT 環境設計的,它們要嘛依賴於所使用的虛擬機器管理程式,要嘛依賴於作業系統。但是,這些虛擬 TAP 存在與困擾物理 TAP 相同的問題:網路中存在雙向流量的可能性。

Garland Technology 的虛擬 TAP 的架構是符合 OT 和 IT 網路的可見性和單向流量的要求。GTvTAP 軟體在主機操作系統的內核層級工作(支援常見操作系統:Windows、Linux 和 Docker)。它不需要與虛擬機管理程式互動,因此是獨立於虛擬機管理程式之外的。

GTvTAP 軟體模擬了傳統data diode TAP 並將流量鏡像複製至其他實體或虛擬的網卡。資料透過VXLAN被複製到監控或安全工具。GTvTAP 設置VXLAN使用一個任意的靜態ARP,減輕了對終端工具雙向通信的需求。

GTvTAP在設計時同時考慮了OT和IT網路。它易於安裝和管理。在載入軟體的瞬間,數據將以安全、簡單的單向方法鏡像複製到目的地,同時滿足OT網路的監管要求/建議。

參考資料:




2022-04-29
版權所有 抄襲必究 copyright © 2022 翰特科技股份有限公司 All rights reserved.