CC BY
0УДК 004
Вяткин И.П.
магистрант Тюменский индустриальный университет (г. Тюмень, Россия)
БЕЗОПАСНОСТЬ 8СЛБЛ-СИСТЕМ В УСЛОВИЯХ ОБЛАЧНЫХ ТЕХНОЛОГИЙ
Аннотация: в статье рассматриваются аспекты обеспечения безопасности 8СЛБЛ-систем при их интеграции с облачными технологиями. Приводится анализ основных угроз и уязвимостей, возникающих при использовании облачных платформ для управления и мониторинга критической инфраструктуры. Описаны методы шифрования данных, управление доступом и аутентификация, сетевые и инфраструктурные меры безопасности, а также мониторинг и аудит безопасности. Особое внимание уделено интеграции практик DevSecOps в процессы разработки и эксплуатации облачных SCADA-систем.
Ключевые слова: 8СЛБЛ-системы, облачные технологии, кибербезопасность, шифрование данных, многофакторная аутентификация, управление доступом, сегментация сети, мониторинг безопасности, DevSecOps.
Современные SCADA-системы (системы диспетчерского управления и сбора данных) являются основой для управления критической инфраструктурой, включая энергетику, водоснабжение, транспорт и производство. В последние годы наблюдается значительный рост использования облачных технологий для управления и мониторинга SCADA-систем, что, в свою очередь, позволяет повысить гибкость, масштабируемость и экономичность таких систем, но вместе с тем создает новые вызовы в области кибербезопасности. Цель данной статьи -рассмотреть подходы к безопасности при интеграции SCADA-систем с облачными платформами и предложить решения для их преодоления.
1. Основы SCADA-систем и облачных технологий
SCADA-системы представляют собой комплекс аппаратных и программных средств, предназначенных для удаленного мониторинга и управления технологическими процессами [1]. Основными компонентами SCADA-систем являются:
- Программируемые логические контроллеры (PLC) и удаленные терминальные устройства (RTU) для управления процессами.
- Человеко-машинный интерфейс (HMI) для взаимодействия операторов с системой.
- Средства связи между контроллерами и центральной системой управления.
- Серверы и рабочие станции, посредством которых осуществляется сбор данных и управление процессами.
Интеграция SCADA-систем с облачными платформами предоставляет множество преимуществ, включая:
- Возможность легко масштабировать ресурсы в зависимости от потребностей.
- Доступ к системам из любой точки мира через интернет.
- Снижение затрат на инфраструктуру, так как отсутствует необходимость в собственных серверах и другой аппаратной инфраструктуре.
Типы облачных моделей (IaaS, PaaS, SaaS) [2] и их применение в SCADA
- IaaS (Infrastructure as a Service). Предоставление базовой инфраструктуры (виртуальные машины, хранилища, сети). SCADA-системы могут использовать IaaS для размещения своих серверов и сетевой инфраструктуры.
- PaaS (Platform as a Service). Платформы для разработки, тестирования и разворачивания приложений. SCADA-платформы могут использовать PaaS для разработки новых модулей и функций.
- SaaS (Software as a Service). Готовые программные решения, доступные через интернет. Примером может быть облачная SCADA-система, предоставляющая функции мониторинга и управления через веб-интерфейс.
2. Вызовы безопасности при интеграции SCADA-систем с облачными платформами
Анализ основных угроз и уязвимостей
Интеграция SCADA-систем с облачными платформами создает новые риски и уязвимости:
- Потеря контроля над данными, а именно данные могут находиться под контролем третьих лиц.
- Увеличивается масштаб кибератаки за счет подключения к интернету.
- Необходимость контроля за безопасностью как облачной инфраструктуры, так и SCADA-системы.
Сравнение традиционной и облачной архитектуры SCADA-систем представлено в таблице 1.
Таблица 1: Сравнение традиционной и облачной архитектуры SCADA-систем
Критерий Традиционная SCADA-система Облачная SCADA-система
Управление данными Локальное В облаке
Масштабируемость Ограниченная Высокая
Затраты на инфраструктуру Высокие Снижение затрат
Обеспечение безопасности Локальный контроль Удаленное управление
Доступность Ограниченная Высокая (доступ из любого места)
При рассмотрении облачных SCADA-систем стоит учитывать основные угрозы безопасности, представленные в таблице 2 [3].
Таблица 2: Основные угрозы безопасности для облачных SCADA-систем
Угроза Описание Меры противодействия
Потеря данных Несанкционированный доступ или утечка данных Шифрование данных, управление доступом
Кибератаки Атаки на облачные сервисы и инфраструктуру Мониторинг безопасности, IDS/IPS
Уязвимости программного обеспечения Уязвимости в облачных приложениях и сервисах Обновления и патчи, тестирование безопасности
Нарушение доступности ББо8-атаки, сбои в работе облачных сервисов Резервирование ресурсов, план восстановления
Ненадежные третьи стороны Риски, связанные с использованием услуг сторонних поставщиков Оценка рисков, соглашения уровня обслуживания (SLA)
3. Решения для обеспечения безопасности SCADA-систем в облачных условиях
Шифрование данных является важным компонентом защиты информации в облачных SCADA-системах. Два основных аспекта шифрования включают шифрование данных при передаче и шифрование данных при хранении.
Для защиты и шифрования данных при передаче между компонентами SCADA-системы и облачной инфраструктурой, используются протоколы шифрования, такие как TLS (Transport Layer Security) и SSL (Secure Sockets Layer) [4]. Эти протоколы обеспечивают конфиденциальность и целостность передаваемых данных.
- TLS/SSL: Настройка шифрованных соединений с использованием сертификатов безопасности.
- VPN (Virtual Private Network): Создание защищенных туннелей для передачи данных между локальными сетями и облаком.
Данные, хранящиеся в облаке, должны быть зашифрованы для предотвращения несанкционированного доступа. Используются различные
алгоритмы шифрования, такие как AES (Advanced Encryption Standard) с длиной ключа 256 бит [5].
- AES-256 - распространенный алгоритм симметричного шифрования, обеспечивающий высокую степень защиты данных.
- Шифрование на стороне сервера, а именно провайдеры облачных услуг часто предлагают встроенные функции шифрования данных на своих серверах.
- Шифрование на стороне клиента. Данные шифруются перед отправкой в облако, что обеспечивает дополнительный уровень безопасности.
Управление доступом и аутентификация
Эффективное управление доступом и аутентификация пользователей критичны для обеспечения безопасности облачных SCADA-систем.
Одним из способов качественного управления доступом является многофакторная аутентификация (MFA). Так как она требует от пользователей подтверждения своей личности с помощью нескольких факторов, таких как пароль и одноразовый код (OTP).
- OTP (One-Time Password). Одноразовые пароли, генерируемые приложениями, такими как Google Authenticator или аппаратными токенами.
- Использование отпечатков пальцев, распознавания лиц или других данных для биометрической аутентификации.
Управление ролями и доступом (IAM)
Системы управления доступом на основе ролей (RBAC) позволяют назначать пользователям права доступа в зависимости от их ролей и обязанностей [6].
- Принцип наименьших привилегий подразумевает то, что пользователям назначаются только те права, которые необходимы для выполнения их задач.
- Периодический пересмотр и обновление прав доступа для предотвращения избыточных привилегий.
Сетевые и инфраструктурные меры безопасности
Для защиты облачных SCADA-систем важны как сетевые, так и инфраструктурные меры безопасности.
Особенно важным является сегментация сети, т.е. разделение сети на изолированные сегменты с целью ограничения распространения атак и контроля доступа к критическим компонентам системы.
- Виртуальные сети (VLAN): Использование виртуальных локальных сетей для изоляции сегментов сети.
- Межсетевые экраны (Firewall): Настройка правил межсетевого экрана для фильтрации трафика между сегментами.
Так же важным является использование виртуальных частных сетей
(VPN)
VPN обеспечивает защищенную передачу данных между удаленными пользователями и облачной инфраструктурой [7]. Существуют следующие разновидности:
- IPsec VPN. Использование протокола IPsec для создания защищенных туннелей.
- SSL VPN. Обеспечение безопасного доступа через веб-браузер.
Из стандартных методов так же важным является постоянный мониторинг и аудит безопасности, который позволяет своевременно выявлять и реагировать на инциденты, возникающие в системе. Внедрение систем мониторинга позволяет отслеживать активность в реальном времени и выявлять аномалии. Существует две основных системы для реализации мониторинга, а именно:
- Системы для сбора, анализа и корреляции событий безопасности SIEM (Security Information and Event Management).
- Центры управления безопасностью, осуществляющие мониторинг и реагирование на инциденты SOC (Security Operations Center).
Ключевым аспектом при построении систем информационной безопасности является качественное обучение разработчиков и операторов основам безопасности, что в свою очередь позволяет минимизировать риски,
связанные с нарушением безопасности производства и помогает предотвратить ошибки и уязвимости. Основными элементами являются тренинги по безопасности и постоянные рассылки оповещений о новых угрозах и методах защиты.
Перспективным направлением в информационной безопасности являются практики DevSecOps [8], подразумевающие интеграции безопасности на начальных этапах в процессы разработки и эксплуатации. Основными инструментами DevSecOps являются:
- Автоматизированное тестирование безопасности, подразумевающее включение тестов безопасности в пайплайны CI/CD.
- Использование контейнеров для изоляции и защиты приложений.
Заключение
В данной статье рассмотрены основные аспекты безопасности SCADA-систем в условиях использования облачных технологий. Были проанализированы основные угрозы и уязвимости, присущие облачной архитектуре, а также предложены эффективные меры противодействия, включая шифрование данных, управление доступом, сегментацию сети и мониторинг безопасности.
Интеграция SCADA-систем с облачными технологиями предоставляет значительные преимущества, однако требует внимательного подхода к вопросам безопасности. Реализация описанных методов и практик поможет обеспечить надежную защиту данных и инфраструктуры SCADA-систем в облаке.
СПИСОК ЛИТЕРАТУРЫ:
1. Supervisory Control And Data Acquisition [Электронный ресурс]. URL: https://www.tadviser.ru/ (дата обращения: 25.05.24);
2. SaaS, PaaS, IaaS: в чем разница [Электронный ресурс]. URL: https://kontur.ru/ (дата обращения: 25.05.24);
3. Миграция SCADA-системы в облака IaaS [Электронный ресурс]. URL: https://doi.org/ (дата обращения: 25.05.24);
4. SSL vs TLS — What's The Difference Between SSL and TLS? Which Is More Secure? [Электронный ресурс]. URL: https://sanbhi.medium.com/ (дата обращения: 25.05.24);
5. INTRO TO THE AES-256 CIPHER [Электронный ресурс]. URL: https://blog.boot.dev/ (дата обращения: 25.05.24);
6. Что такое управление доступом на основе ролей в Azure (RBAC)? [Электронный ресурс]. URL: https://learn.microsoft.com/ (дата обращения: 25.05.24);
7. Сравнение SSL VPN и IPsec: в чем основные различия? [Электронный ресурс]. URL: https://proxyium.com/ (дата обращения: 25.05.24);
8. Что такое DevSecOps [Электронный ресурс]. URL: https://learn.microsoft.com/ (дата обращения: 25.05.24)
Vyatkin I.P.
Tyumen Industrial University (Tyumen, Russia)
SECURITY OF SCADA-SYSTEMS IN CLOUD ENVIRONMENT
Abstract: the article discusses the security aspects of SCADA systems when they are integrated with cloud technologies. The article provides an analysis of the main threats and vulnerabilities that arise when using cloud platforms for managing and monitoring critical infrastructure. Data encryption methods, access control and authentication, network and infrastructure security measures, and security monitoring and auditing are described. Special attention is paid to the integration of DevSecOps practices DevSecOps into the development and operation of cloud SCADA systems.
Keywords: SCADA systems, cloud technologies, cybersecurity, data encryption, multi-factor authentication, access control, network segmentation, security monitoring, DevSecOps.
