OTnośnik: Rola rozwiązań klasy UTM w ochronie infrastruktury przemysłowej

Dlatego w tym wydaniu przyglądamy się – na przykładzie podejścia zastosowanego w rozwiązaniach Stormshield – jak funkcjonalność urządzeń UTM, czyli: głęboka analiza protokołów przemysłowych, hardware bypass oraz skalowanie wydajności licencją mogą pomóc adresować te wyzwania w sieciach OT/ICS.

Europejski vendor… z zapleczem Airbusa

Stormshield jest jednym z nielicznych europejskich dostawców rozwiązań klasy Next Generation Firewall i UTM. Jego właścicielem jest Airbus – koncern kojarzony przede wszystkim z lotnictwem, ale od lat obecny również w obszarze zaawansowanych technologii i bezpieczeństwa.

W przypadku rozwiązań stosowanych w administracji publicznej, sektorze obronnym czy infrastrukturze krytycznej kluczowe są jednak przede wszystkim spełniane wymagania bezpieczeństwa i formalne potwierdzenie ich poziomu. Tu mówimy m.in. o:

• EU Restricted – certyfikacie Rady Unii Europejskiej,
• NATO Restricted,
• EAL3+ oraz EAL4+.

Tego typu dokumenty są wskazywane przez ekspertów (m.in. z Instytutu Łukasiewicz) jako jedne z najistotniejszych przy ocenie rozwiązań klasy Next Generation Firewall.

Ekosystem wsparcia: Stormshield + Tekniska

Z perspektywy klienta kluczowe jest jednak nie tylko samo rozwiązanie, ale również partner wdrożeniowy, który zna realia OT i sieci przemysłowych. Takim partnerem jesteśmy jako Tekniska – z zespołem inżynierów posiadających certyfikację Stormshield i świadczących codzienne wsparcie swoim klientom. Model pracy jest prosty:

• Tekniska – pierwszy kontakt, projekt, wdrożenie, wsparcie w środowisku IT/OT,
• Producent – „druga linia”, czyli eskalacja skomplikowanych tematów, bugów, nietypowych przypadków.

Dzięki temu klient nie zostaje sam z problemem i nie musi szukać rozwiązań po forach – ma zarówno partnera blisko biznesu, jak i zaplecze producenta.

Co znajdę w portfolio produktów Stormshield?

W 2024 roku zostało ono mocno odświeżone i lepiej dopasowane do wymagań wynikających m.in. z NIS2. Idea jest taka, że rozwiązanie ma skalować się wraz z rozwojem sieci, a nie wymuszać każdorazowo wymianę sprzętu.

Hybrydowe modele SN10 / SN170

To najnowsze urządzenia w ofercie, zaprojektowane z myślą o trudnych warunkach środowiskowych:

• pasywne chłodzenie,
• interfejsy miedziane 2,5 G,
• możliwość zasilania przemysłowego + opcja podłączenia 230 V,
• odporność na drgania i duże wahania temperatur (sprawdzone m.in. w kontenerach przy farmach fotowoltaicznych, gdzie temperatura sięga 60°C).

Jest to opcja hybrydowa – w zależności od wgranej licencji może pełnić funkcję:

• klasycznego firewall/UTM dla małego biura,
• urządzenia przemysłowego z ochroną protokołów przemysłowych, gotowego do pracy np. przy farmach PV, turbinach wiatrowych czy innych instalacjach ze sterownikami.

Stormshield a wymagania NIS2: ciągłość działania i ochrona konfiguracji

W kontekście NIS2 Stormshield nie „załatwia” zgodności za organizację, ale dostarcza elementy, które pomagają zrealizować wymagania dotyczące:

• utrzymania ciągłości działania – dzięki klastrom wysokiej dostępności i redundantnemu zasilaniu,
• ochrony konfiguracji i backupu – każdy firewall ma w standardzie moduł TPM, który szyfruje konfigurację urządzenia; fizyczny dostęp do sprzętu nie oznacza automatycznego dostępu do danych,
• gromadzenia logów – dzięki dyskom SSD (w seriach wyższych w RAID1) i możliwości samodzielnego definiowania zakresu logowania.

Do tego dochodzi funkcja hardware bypass, czyli w sytuacji awarii, restartu czy aktualizacji firewalla, dedykowana „zworka” między portami pozwala utrzymać ruch między kluczowymi punktami sieci. To szczególnie ważne tam, gdzie firewall nie może stać się pojedynczym punktem awarii sieci krytycznej.

Głęboka analiza protokołów przemysłowych – co to oznacza w praktyce?

To właśnie ten obszar najmocniej odróżnia Stormshield w kontekście OT. Urządzenia nie tylko rozpoznają protokoły przemysłowe (np. z rodziny S7), ale potrafią zajrzeć do ich struktury i decydować, które kody funkcji są dozwolone, a które powinny zostać zablokowane. Dzięki temu administrator może m.in.:

• dopuścić zewnętrzną firmę serwisową do wybranych sterowników,
• ograniczyć jej działania tylko do określonych kodów funkcji (np. bez możliwości wykonywania operacji destrukcyjnych czy niepożądanych zmian).

Stormshield daje też możliwość pisania własnych sygnatur dla protokołów przemysłowych przygotowanych „pod klucz” dla konkretnego klienta. Jeśli w organizacji funkcjonują niestandardowe, dedykowane protokoły – rozwiązanie pozwala zbudować dla nich odpowiednie reguły.

Część urządzeń (m.in. wybrane modele z portfolio industrial) posiada dodatkowo wzmocnioną obudowę odporną na drgania, pył, wilgoć i duże zmiany temperatur, co pozwala wykorzystywać je w wymagających środowiskach przemysłowych.

Architektura IT/OT: segmentacja, dostęp zdalny i offline

Stormshield dobrze wpisuje się w różne scenariusze integracji:

• podwójny vendor – jeden firewall/UTM w sieci IT, inny (Stormshield) w sieci OT jako dodatkowa bariera dla organizacji,
• ujednolicenie – użycie Stormshield zarówno w IT, jak i OT, z centralną kontrolą dostępu i segmentacją.

Przykładowy scenariusz:

1. Firma zewnętrzna otrzymuje dostęp VPN do wybranego firewalla.
2. Firewall ma fizycznie podłączone konkretne sterowniki.
3. Administrator definiuje zarówno zakres adresów/segmentów, jak i dozwolone kody funkcji w protokołach przemysłowych.
4. Dostęp jest ograniczony czasowo (okienka serwisowe) i funkcjonalnie (co wolno zrobić na danym sterowniku).

Producent przewiduje również wdrożenia w pełni offline:

• wewnętrzny serwer aktualizacji, na który ręcznie trafiają paczki aktualizacji,
• możliwość aktualizowania firewalli z tego serwera w określonych oknach czasowych,
• konsola centralnego zarządzania (wirtualna maszyna on-prem), obsługująca równolegle nawet kilkadziesiąt / ok. stu firewalli oraz wielu administratorów.

Z jednego miejsca można: wypchnąć konfigurację do wszystkich urządzeń, zmienić topologie VPN, zaktualizować firmware, a także zarządzać politykami dla całej infrastruktury.

Centralne logowanie i korelacja zdarzeń

Uzupełnieniem warstwy sieciowej w rozwiązaniach Stormshield jest komponent do zbierania i analizy logów – Stormshield Log Supervisor. W praktyce pełni on funkcję narzędzia klasy CM/SOAR/XDR: umożliwia gromadzenie logów z firewalli, EDR-a i sandboxingu, ich korelowanie, uruchamianie zdefiniowanych playbooków oraz reguł opartych m.in. na modelu MITRE ATT&CK.

Logi mogą być przechowywane w dużych wolumenach – ograniczeniem jest tu przede wszystkim infrastruktura po stronie klienta – a model licencjonowania opiera się na subskrypcji rocznej.

Rozwiązanie endpointowe (EDR), pierwotnie przygotowane na potrzeby jednego z państw i sektora wojskowego, zostało skomercjalizowane i może współpracować z infrastrukturą Stormshield, tworząc spójny ekosystem: od sieci, przez endpoint, po centralną analizę zdarzeń.

Podsumowując

Patrzymy na Stormshield przede wszystkim jako na przykład podejścia, w którym klasyczny firewall zostaje „doprojektowany” do realiów OT: rozumie protokoły przemysłowe, wspiera ciągłość działania, pozwala skalować się wraz z siecią i włącza się w szerszy ekosystem zbierania oraz analizy logów.

A w naszych projektach właśnie takie cechy narzędzi – niezależnie od konkretnego producenta – okazują się kluczowe przy mierzeniu się zarówno z wyzwaniami technicznymi (protokoły, dostęp zdalny, wysoka dostępność), jak i regulacyjnymi (ciągłość działania, ochrona konfiguracji, logowanie zdarzeń).