Understanding Zones & Conduits in OT Security (IEC 62443)
Når det kommer til Operational Technology (OT) – de systemer, der styrer alt fra kraftværker og vandforsyninger til robotarme på fabriksgulve – er it-sikkerhedsmetoderne nødt til at være anderledes. Hvor klassisk IT fokuserer på “Confidentiality” (Fortrolighed), fokuserer OT skarpt på Availability (Tilgængelighed) og Safety (Sikkerhed/Menneskeliv).
En af de absolut mest centrale metoder til at sikre OT-miljøer er at anvende strukturen “Zones and Conduits” (Zoner og Kommunikationsveje), som defineret i den internationale sikkerhedsstandard IEC 62443. Lad os dykke ned i, hvad det betyder og hvordan det fungerer i praksis.
The Network Flatness Problem
I mange ældre fabriksnetværk blev alt bare forbundet til den samme store, “flade” switch. Ulempen ved et fladt netværk er åbenlys: Hvis en hacker (eller en orm/ransomware) får adgang til én enkelt arbejdsstation, spreder den sig lynhurtigt til alle PLCer, robotter og HMI-skærme på gulvet. Det koster millioner.
For at forhindre spredning skal netværket segmenteres. Typisk benytter vi Purdue Modellen som den store “skal”, men for at bygge den præcise arkitektur inde i lagene benytter vi IEC 62443’s koncept Zones and Conduits.
1. Zoner (Zones)
En Zone repræsenterer en logisk (eller fysisk) gruppering af OT-aktiver og -enheder (assets), der deler de samme sikkerhedskrav og funktionelle krav.
Hvad definerer en Zone?
- Samme risikoprofil: Enheder i zonen har ca. samme konsekvens ved et sikkerhedsbrud. Eksempelvis lægger man en kritisk sikkerheds-PLC (SIS), der forhindrer kedeleksplosioner, i én zone, mens en skærm til at aflæse lagertemperatur måske lægger i en anden zone.
- Trust: Man stoler fuldstændig på enheder internt i zonen.
- Afgrænsning: En zone har en perimeter. Den skal forsvares med en firewall, ACL (Access Control Lists) i netværksudstyr eller endda fysiske hegn.
Man kan have forskellige typer af zoner:
- Produktionszone (Manufacturing Zone): Indeholder controllers (PLC’er), sensorer og IO-enheder.
- HMI/Supervisory Zone: Computere (SCADA-systemer), der bruges til at overvåge og styre den underliggende produktion.
- Enterprise Zone: Det normale forretningsnetværk, hvor HR og økonomi sidder.
2. Kommunikationsveje (Conduits)
Hvor “zonen” er samlingerne af dine enheder, så er Conduiten røret (forbindelsen) de snakker igennem.
En conduit er en logisk gruppering af alle netværksforbindelser (fysiske kabler, switche, trådløse netværk), der tillader kommunikation mellem to forskellige zoner, eller over et usikkert netværk internt.
Reglerne for en Conduit:
- Al kommunikation ind og ud af en zone SKAL passere gennem den definerede conduit.
- Conduiten er dér, hvor sikkerhedskontroller implementeres. Dette er oftest en Industrial Firewall og et Intrusion Detection System (IDS).
- Man opererer med Deny-by-default, altså at conduiten er “lukket”, medmindre der specifikt laves en undtagelse for netop det ene port- eller protokolnummer (eks. Modbus TCP, port 502), der er påkrævet.
The “Straw” Analogy
Forestil dig zoner som to lukkede plastikglas med vand. De to glas kan ikke blande sig med hinanden frit. For at udveksle vand, stikker du et sugerør (conduit) mellem de to glas. Du kan nu bygge et lille net/filter inde i sugerøret, som bestemmer præcis hvilke partikler der må løbe igennem.
Hvorfor er dette bedre end almindelige VLANs?
I traditionelt IT vil mange bare svare: “Jamen, lav dog bare et VLAN”.
VLANs adskiller bare broadcast domæner – de tilføjer i sig selv ingen sikkerhed. IEC 62443 “Zones and Conduits” er mere end bare et netværkstopologisk design. Det er en dybde-risikoanalyse. Når du definerer en Zone, definerer du samtidig dit Security Level (SL) (fra 1 til 4, hvor 4 beskytter mod statssponsorerede hackere (APTs)). Du kræver af din conduit, at den udfører Deep Packet Inspection (DPI) af netværkstrafikken, og ikke bare kigger på simple IP-adresser.
Næste skridt
Implementeringen af zoner og conduits starter aldrig med kablerne og netværkskonsollen – det starter med inventar. Du kan ikke opdele det, du ikke ved, du ejer. Så processen forløber typisk:
- Kortlæg alle aktiver (Opret et Asset Inventory).
- Udfør en sårbarheds- & risikoanalyse (OT Risk Management).
- Grupper enheder i Zoner ud fra risikoprofilen.
- Identificér nødvendige datastrømme.
- Beskyt datastrømmene med Conduits (Firewalls/IDS).
Ved at implementere et solidt net af zoner og restriktive conduits bringer virksomheder ICS- og SCADA-miljøer tilbage i en forsvarlig operationel tilstand – tilpasset moderne trusselsbilleder.
Kilder
- ISA/IEC 62443 Series of Standards - Den officielle internationale standard for sikkerhed i industrielle automatiserings- og kontrolsystemer.
- SANS Institute: IEC 62443 - A Multi-stakeholder Standard for Industrial Control Systems - En hvidbog om anvendelsen af IEC 62443 i praksis.
- SANS: IEC 62443 Cybersecurity Fundamentals - SANS-kursus der dykker ned i IEC 62443’s zoner og conduits som kernekoncepter i OT-sikkerhed.
> Quiz: Test din viden
1. Hvad repræsenterer en Zone i OT-sikkerhed (IEC 62443)?
2. Hvad er en Conduit i OT-sikkerhed?
3. Hvad sker der i et fladt OT-netværk ved et sikkerhedsbrud?
4. Hvilken standard definerer Zones & Conduits-metoden?