Получение доступа к данным, а не к сети

Эндрю Томас, основатель компании Skkynet запускает серию статей о промышленном Интернете Вещей. Представляем вам четвертую публикацию.

Часть 4. Передача данных в рамках промышленного Интернета Вещей

До сих пор идея о системе взаимоотношений клиент-сервер, где последний является источником информации, находит свое отражение в типичных программных продуктах. От этого решения системного дизайна очень трудно отказаться. Некоторые компании стараются сохранить его, принимая меры по обеспечению безопасности, например, с помощью добавления дополнительного уровня защиты поверх самого соединения клиент-сервер. Зачастую такое решение представляет из себя виртуальную частую сеть (VPN), а изредка и туннельное соединение точка-точка с помощью технологии SSH. Поскольку чаще компании доверяются именно VPN, предлагаем его рассмотреть подробнее.

Суть технологии VPN заключается в создании виртуальной IP-подсети, к которой подключаться только те компьютеры, которые обладают соответствующими полномочиями. Даже если пользователи сети сами не задаются вопросом шифрования пакетов данных, в VPN это будет происходить автоматически. Такой подход затрудняет перехват сообщений участников сети третьими лицами.

Позади защитного периметра

Уязвимость VPN заключается в том, что все компьютеры и устройства, подключенные к ней, по сути находятся в локальной сети. Если компьютер использует VPN, то он находится внутри доверительного периметра. Таким образом, несмотря на защиту от атак извне, он остается уязвимым для внутренних. Такая ситуация напоминает о происшествии, связанном с гипермаркетом в 2013, в тот раз злоумышленники получили доступ к локальной сети, взломав стороннюю компанию, у которой был «защищенный» доступ к внутренней сети магазина. Чем больше компьютеров состоят в VPN, тем больше возможных точек для преодоления защиты есть у злоумышленников.

Разработчики решений Интернета Вещей уже отказались от использования VPN. В блоге компании Microsoft от 2013 года рассматриваются виртуальные частные сети и связанные с ними проблемы. Если вы еще его не прочитали, то рекомендуем вам это сделать.

Когда мы решаем задачи, связанные с объединением устройств, системами управления или сбора данных в рамках обширных сетей, вариант использования VPN может показаться привлекательным, однако стоит помнить и о том, что он может позволить совершить атаку либо от взломанного клиента, либо со стороны взломанного сервера, либо у них злоумышленник может попросту получить данные для входа в сеть. Пока вы не избавитесь от этих трех угроз – каждое устройство внутри VPN будет оставаться легкой добычей.

Для вышеперечисленных систем нет необходимости предоставлять внешний доступ как ко всей сети, так к любому из ее устройств. Также даже если вы разграничиваете измерительное устройство и посредника, которому передаете данные, вы должны помни и о защите всех устройств, которые имеют любую связь с данными, например, промышленную систему управления – к ней вы должны применять аналогичное решение. Есть способ, с помощью которого вы можете удаленно получать данные со своих устройств, не подвергая при этом опасности саму внутреннюю сеть.

В мире промышленного Интернета Вещей вы должны стремиться к получению доступа к данным, а не к самой сети.