netsense...making sense of IT
Netsense.. Netsense er et IT konsulentselskap som opererer innen fagområdene: IT utvikling IT forvaltning IT rådgivningstjenester Vi leverer understøttende teknologi og tjenester...så våre kunder kan ha uforstyrret fokus på deres kjernevirksomhet Runar Krokå Seniorkonsulent Tlf:90 603 603 rk@netsense.no
Ineos - Oversikt Designet for "single point of failiure" 2 nivåskille Gradert tilgang via terminalserver Fleksibilitet Skalerbarhet
Ineos - Oversikt
Ineos - Laginndeling Basert på Honeywell sin modell Lag 1: Prosess kontroll Lag 2: Operatør kontroll Lag 3: Avansert kontroll Lag 3,5: DMZ Duplisert ethernet er implementert på Lag 1 og 2 Leverandører får tildelt sitt eget lag 1 og 2, dette fungerer som "deres egen boble"
Ineos - Laginndeling
Levetidsbetrakninger.. IT Nett: Konstant oppdatering Livs syklus på ca. 10 å (mulighet for oppdatering og patcher) Nye versjoner tilgjengelig ca. hvert 2-3 år Applikasjonsoppdateringer skaper kompabilitets utfordringer/problemer Rapportering systemer i L3 og L3,5 følger denne standarden Konsoll PC (operatør stasjoner) følger denne standarden OT (Operasjonell Teknologi) Nett: Livs syklus på 15-20 år Produksjons systemer og data innsamlingssystemer følger denne standarden
Levetidsbetrakninger.. IT Nett: Konstant oppdatering Livs syklus på ca. 10 å (mulighet for oppdatering og patcher) Nye versjoner tilgjengelig ca. hvert 2-3 år Applikasjonsoppdateringer skaper kompabilitets utfordringer/problemer Rapportering systemer i L3 og L3,5 følger denne standarden Konsoll PC (operatør stasjoner) følger denne standarden OT (Operasjonell Teknologi) Nett: Livs syklus på 15-20 år Produksjons systemer og data innsamlingssystemer følger denne standarden
Hvorfor er dette en problemstilling nå og ikke for 10 år siden? Krav og behov for publisering og deling av data Behov for integrasjon på tvers av systemer
Eksempler på dataflyt mellom isolerte nettverk..
Ineos - Replikering Ressurser og innstillinger fra topp domenet er tilgjengelige i hele hierarkiet Full kontroll på trafikk på tvers av subdomener
Ineos - Replikering
Ineos Innstillinger, antivirus og sikkerhetspolicier Innstillinger, sikkerhetspolicier og programvare "dyttes" ut fra DMZ Antivirus dyttes ut fra DMZ, eventuelle avvik registreres her. Backup lastes opp til DMZ
Ineos Innstillinger, antivirus og sikkerhetspolicier
Ineos Innstillinger, antivirus og sikkerhetspolicier Innstillinger, sikkerhetspolicier og programvare "dyttes" ut fra DMZ Antivirus dyttes ut fra DMZ, eventuelle avvik registreres her. Backup lastes opp til DMZ
Ineos Innstillinger, antivirus og sikkerhetspolicier
Ineos Innstillinger, antivirus og sikkerhetspolicier Innstillinger, sikkerhetspolicier og programvare "dyttes" ut fra DMZ Antivirus dyttes ut fra DMZ, eventuelle avvik registreres her. Backup lastes opp til DMZ
Ineos Innstillinger, antivirus og sikkerhetspolicier
Ineos PHD (Process Historical Database) PHD Collector noder rapporterer til PHD Shadowserver i DMZ Tarragon server i kontornett har tilgang til data på PHD shadowserver, disse publiseres i et webgrensesnitt
Ineos PHD (Process Historical Database)
Ineos Remote Access Eksterne brukere (inkl. leverandører) kobler til Ineos med IPSec VPN Brukerne kjører terminalserver sesjoner mot DMZ På terminalserver er det satt opp gradert tilgang til data og områder etter behov
Ineos Remote Access
Vår rolle.. Koordinere ressursbehov, miljø og dataflyt på tvers av leverandører og systemeier Designe et miljø som ivaretar kunde, leverandør og sikkerhet på en fornuftig måte Hvorfor.. Fordi leverandører har god kjennskap til eget produkt og miljø, de har derimot liten eller ingen kjennskap til IT infrastruktur i en større bedrift, når det kommer til IT/OT følger de "instruksjonsboka" Fordi man ønsker å i størst mulig grad sentral administrere miljøet, samt samle data sentralt er det nødvendig med ressurser som kjenner det totale bildet, og som kan integrere leverandørenes løsninger i infrastrukturen uten og skape kompabilitets problemer med eksisterende løsninger.
Drift og vedlikehold.. Alle driftskritiske noder på Lag 1, 2 og 3 er duplisert, enten lokalt på det enkelte lag eller ved å gi tilgang på tvers av lagene, dette kan fort gi en "falsk trygghet", uten overvåkning av systemene vil man ikke merke at primære noder feiler, man kjører dermed på sekundære uten og være klar over det. Påstand: "I dag er norsk industri veldig dyktige til og følge med på sine fabrikk systemer, overvåkning av IT/OT systemer er mer tilfeldig, mange hendelser med påfølgende problemer og frustrasjon kunne vært unngått med bedre overvåkning!"
Drift og vedlikehold.. Det er viktig med patching og oppdatering av L3/L3,5 da disse sonene fungerer som en sikkerhetsbuffer for lag 1 og 2, dette gjelder OS patcher, firewaller, software, firmware og dokumentasjon, man har ikke denne muligheten på lag 1 og 2 og disse er derfor avhengig av sikkerheten fra overliggende lag samt en så høy grad av isolasjon som mulig. Når det gjelder OT drift av lag 1 og 2 er det gjerne prinsippet: "If it ain 't broken, don't fix it" som gjelder, dette gjøres mulig ved gjennomtenkt drift av overliggende lag, på denne måten kan mange av problemene rundt levetidsforskjeller løses. En høy grad av intern segmentering av noder i lag 2 og 3 reduserer nødvendigheten for monitorering av data trafikk, man kan da konsentrere seg om trafikk på tvers av lagene.
Drift og vedlikehold.. Det er viktig med patching og oppdatering av L3/L3,5 da disse sonene fungerer som en sikkerhetsbuffer for lag 1 og 2, dette gjelder OS patcher, firewaller, software, firmware og dokumentasjon, man har ikke denne muligheten på lag 1 og 2 og disse er derfor avhengig av sikkerheten fra overliggende lag samt en så høy grad av isolasjon som mulig. Når det gjelder OT drift av lag 1 og 2 er det gjerne prinsippet: "If it ain 't broken, don't fix it" som gjelder, dette gjøres mulig ved gjennomtenkt drift av overliggende lag, på denne måten kan mange av problemene rundt levetidsforskjeller løses. En høy grad av intern segmentering av noder i lag 2 og 3 reduserer nødvendigheten for monitorering av data trafikk, man kan da konsentrere seg om trafikk på tvers av lagene.
Drift og vedlikehold.. Det er viktig med patching og oppdatering av L3/L3,5 da disse sonene fungerer som en sikkerhetsbuffer for lag 1 og 2, dette gjelder OS patcher, firewaller, software, firmware og dokumentasjon, man har ikke denne muligheten på lag 1 og 2 og disse er derfor avhengig av sikkerheten fra overliggende lag samt en så høy grad av isolasjon som mulig. Når det gjelder OT drift av lag 1 og 2 er det gjerne prinsippet: "If it ain 't broken, don't fix it" som gjelder, dette gjøres mulig ved gjennomtenkt drift av overliggende lag, på denne måten kan mange av problemene rundt levetidsforskjeller løses. En høy grad av intern segmentering av noder i lag 2 og 3 reduserer nødvendigheten for monitorering av data trafikk, man kan da konsentrere seg om trafikk på tvers av lagene.
Fremtidige teknologier.. Next generation firewall, port based security VS. application detection Hvilke muligheter vi dette gi oss? UTM to the edge: Data leakage protection, hindre sensitiv informasjon i og lekke ut Legal traffic, stoppe uønsket trafikk allerede før den kommer til nettverkskortet Sikker tunnelering og bridging av interne nett og VLAN