Günümüzün endüstriyel kontrol sistemleri, yazılım uygulamaları ve cihazlar arasında platformlar arası birlikte çalışabilirlik sağlayan en yeni OPC Unified Architecture (UA) standartlarından yararlanmaktadır. OPC UA, tedarikçiden bağımsız gerçek zamanlı, alarm ve koşul, arşivlenmiş ve diğer birçok veri türünün iletimini sağlar. Endüstriyel kontrol sistemlerinin kritikliği ve süreç ve iş bilgilerini herkese, herhangi bir yerde ve her an ulaşılabilir yapma isteği nedeniyle, ilgili taraflarla paylaşılan bilgilerin tesisin güvenlik ihtiyaçlarını karşılaması gerekir.OPC UA standartları, tesis yöneticilerinin beklediği kontrol ve esneklik düzeyini koruyarak, bu güvenlik gereksinimlerini karşılamak için oluşturuldu.
Güvenlik Hedefleri
OPC UA'nın tesis güvenlik gereksinimlerini karşıladığından bahsetmeden önce endüstriyel kontrol sistemlerinin güvenlik gereksinimlerini incelememiz gerekir.
Denetlenebilirlik:
Denetlenebilirlik, hangi kullanıcının hangi eylemi ne zaman gerçekleştirdiğini ve sistem güvenliğini tehlikeye atan girişimleri log kaydını tutma amacıyla sistem üzerindeki tüm eylemlerin izlenebilirliğini sağlar.
Kimlik Doğrulama:
Bir endüstriyel kontrol sistemi, donanım, yazılım uygulamaları ve kullanıcılar bileşenlerini içerir. Her bir bileşen, güvenilir olarak tanımlanabilmek için kimliğini kanıtlayabilmelidir.
Yetkilendirme:
Herhangi bir bileşen güvenilir olarak tanımlansa bile, bileşenlere fonksiyonlarını yapabilmelerini sapğlayacak minimum erişim verilmelidir.
Kullanılabilirlik:
Kullanılabilirlik, endüstriyel kontrol sisteminin çalışmasını etkileyebilecek faktörleri sınırlandırarak, tamamen işlevsel olmasını sağlar.
"Güvenliği tehlikeye atabilecek tehditleri belirlememiz zorunludur."
Gizlilik:
Güvenilir taraflar arasında yapılan bilgi alışverişi, güvenilmeyen ya da iletilen bilgiye ihtiyacı olmayan taraflardan gizlenmelidir. Gizlilik, veri gönderenin ve alıcısının, yalnızca kendilerine özel, üzerinde anlaşmaya varılan bir algoritmaya bağlı olarak, iletilen verileri şifreleyebilmesini ve şifresini çözebilmesini gerektirir.
Bütünlük:
Güvenilir taraflar arasında iletilen bilgi değiştirilebilir olmamalıdır. Alınan bilgiler, başlangıçta gönderilen bilgilerle aynı olamlıdır.
Güvenlik Tehditleri
Güvenlik hedeflerini karşılayabilmek için, güvenliği tehlikeye atabilecek tehditleri belirleyebilmek bir zorunluluktur. Olası tüm tehditleri kapsamlı olmasa da, yıllar boyunca endüstriyel kontrol sistemlerine tehdit olan durumlar aşağıdaki gibidir:
Kullanıcı Kimlik Bilgilerinin İhlal Edilmesi:
Bu durum saldırıyı gerçekleştirenlerin, kulanıcının kullanıcı adı, şifresi ya da kimlik bilgilerini tahmin, fiziksel ya da elektronik yollarla elde ettiğinde meydana gelen bir durumdur.
Kulak Misafirliği:
Yetkisiz bir taraf, kişisel kazanç sağlamak veya gelecekteki güvenlik saldırılarında kullanmak için gizli bilgileri ele geçirebilir.
Hatalı Oluşrurulmuş Mesajlar:
Bir uygulama ya da cihaza anormal haberleşme trafiği göndererek, alıcı uygun olmayan görevler gerçekleştirebilir ya da yetkilendirilmiş şahıslar için kullanılabilirliğini sınırlayabilecek gereksiz işlemlerle kendini yükleyebilir.
Mesaj Değiştirme / Adres Sahteciliği:
Bir saldırgan, yetkili bir tarafın kimliği altında yetkisiz görevleri gerçekleştirmek amacıyla uygulama ve cihaz arasındaki mesajı manipüle eder ya da taklit eder.
Mesaj İstilası:
Bir saldırgan, alıcıya çok sık ve büyük miktarlarda haberleşme trafiği oluşturarak çevrimdışı bırakmak amacıyla bir uygulama ya da bir cihazı hedef almasıdır, böylelikle hizmet reddi yoluyla başkaları tarafından kullanılabilirliğini etkiler.
Mesaj Tekrarı:
Bir saldırgan, kimliği doğrulanmış iletileri yakalayıp ileride yeniden göndererek, uygun olmayan zamanlarda geçerli işlemleri gerçekleştirebilir. Ayrıca, sistem kullanıcılarını, aslında tehlikeye atılırken işlemlerin normal şekilde çalıştığı konusunda aldatabilirler.
Profil Oluşturma:
Bu, bir saldırgan, bir uygulamanın veya cihazın belirli bir sürümünde bulunan güvenlik açıkları hakkındaki bilgileri uyguladığında ortaya çıkar. Bu güvenlik açıkları, kamuoyunun önceki kusurların çözüldüğünü bilmesini sağlamak amacıyla satıcı tarafından duyurulabilir.
Oturum Ele Geçirme:
Bir saldırgan, çalışan uygulamalar ya da cihazlar arasına kendini yerleştirebilmesiyle ve yetkilendirilmiş taraflardan oturumu devralabilmesiyle oluşan durumdur.
Bir tesise güvenlik stratejilerini uygulayarak, yönetici bu tehditleri engelleyebilir ve kritik altyapıyı korumak için gerekli güvenlik hedeflerine ulaşabilir.
Tesis Güvenliği
Çoğu site, güvenlikle ilgili gereksinimleri karşılamak için bir Siber Güvenlik Yönetim Sistemi (CSMS) içerecektir. Bu gereksinimler, fiziksel ve elektronik sınırlar, denetim ve önleyici ve müdahale prosedürleri etrafında güvenlik politikalarının benimsenmesine kadar değişebilir. Daha önceden tartışılan tehditleri ele almak için, bir güvenlik riski değerlendirmesi başlatılacak ve uygun güvenlik önlemleri uygulanacaktır. İyi bir uygulama, birden fazla koruma katmanının olacağı defense-in-depth stratejisini izleyecektir, Tüm güvenlik tehditlerine karşı koruma sağlayan herkese uyan tek bir çözüm olmadığı için bu bir gerekliliktir. Bunun yerine, bir siteyi korumak için güvenlik tehdidine özgü birçok araç devreye alınacaktır. Bu, güvenlik duvarları, saldırı tespit / önleme sistemleri (IDS / IPS), yama yönetimi sistemleri ve sistem bağlamında neye izin verildiği ve neye izin verilmediğine ilişkin BT kurallarının bir kombinasyonunu içerebilir.
Güvenlik tehditlerini azaltmak için OPC UA, bir uygulama katmanı, iletişim katmanı ve bir taşıma katmanından oluşan çok katmanlı bir tasarıma sahiptir.
Esnek güvenlik modeli sayesinde, OPC UA yöneticiye iletişimin nasıl kurulduğu ve yönetildiği konusunda tam kontrolüne izin vererek tesisin siber güvenlik yönetim sistemine uyum sağlayabilir. OPC UA'nın istemci / sunucu mimarisi, aynı zamanda derinlemesine savunma stratejisine de işaret ediyor, çünkü OPC UA'ya duyarlı uygulamalar bir tesisteki farklı katmanlar arasında bir aracı görevi görebiliyor ve açığa çıkabilecek veya manipüle edilebilecek bilgi miktarını sınırlıyor.
OPC UA Güvenlik Mimarisi
Güvenlik tehditlerini azaltmak için OPC UA, bir uygulama katmanı, iletişim katmanı ve bir taşıma katmanından oluşan çok katmanlı bir tasarıma sahiptir.
OPC işlevselliğinin çoğu, uygulama katmanı bağlamında ele alınır. Burası, istemcilerin ve sunucuların UA bilgilerini - okuma, yazma ve öğelere göz atma gibi işlemleri - işlediği yerdir.
Bu aynı zamanda, OPC UA'nın sunucu ile istemci örnekleri arasında bir oturum kavramı aracılığıyla, kullanıcı yetkilendirme ve kimlik doğrulama için yönetim sağladığı yerdir. Her oturum, kendi verisini haberleşme katmanı tarafından yönetilen güvenli bir kanal aracılığıyla iletir.
Haberleşme katmanını oluşturan güvenli kanal, uygulama kimlik doğrulamasına, gizliliğe ve bütünlüğe izin veren işlevsellik sağlar. OPC UA bunu, mesajın gizliliğini korumak için uygun seviyede şifreleme ve şifre çözme işlemini uygulayarak, verinin bütünlüğünü sağlamak için mesajı imzalayarak ve uygulama kimlik doğrulamasını sağlayan dijital sertifika kullanarak yapar.
Ortaya çıkan güvenli veriler daha sonra daha fazla işlenmek üzere taşıma katmanına aktarılır. İletim katmanı, haberleşme altyapısı üzerinden verinin gönderilmesi ve alınmasını yönetir.
Kullanılan iletim mekanizması (OPC UA Binary veya HTTP aracılığıyla XML Web Hizmetleri gibi), iletişim katmanı tarafından yönetilen güvenli kanalın uygulanmasını etkiler.
Her OPC UA uygulamasının, uygulama örnek sertifikası olarak anılan, kurulum başına kendisine atanan benzersiz bir dijital (X.509) sertifikası vardır.
Nasıl Çalışır
Her OPC UA uygulamasının, uygulama örnek sertifikası olarak anılan, kurulum başına kendisine atanan benzersiz bir dijital (X.509) sertifikası vardır. Bu sertifika uygulama tarafından yükleme sırasında oluşturulur, ancak tesis yöneticisi tarafından uygun görülen başka bir sertifika ile üzerine yazılabilir. Bu sertifika, diğer güvenilir taraflarla paylaşılabilen bir genel anahtarın(public key) yanı sıra uygulama tarafından bilinen bir özel anahtardan(private key) oluşur. Bu anahtarların boyutu değişkenlik gösterir, daha uzun olan anahtarın yabancı taraflarca tahmin edilmesi daha zordur.
Bir istemci uygulama sunucuya bağlandığında, güvenli bir kanal oluşturur. Sunucu ve istemcinin bu haberleşmeyi devam ettirebilmesi için genel anahtar değişimi gereklidir. Sadece yönetici, sunucu ve istemcinin birbirlerinin sertifikalarına güvenmesi için konfigürasyon yaparsa güvenli bir iletişim kanalı oluşturulur. Bu prosedür uygulama kimlik doğrulaması sağlar.
Bir uygulama kullanıcısının kimliğini sağlamak için, istemci daha sonra haberleşme için güvenli kanalı kullanan bir oturum başlatacaktır. Uygulamalar belirli operasyonlar erişimi limitlemek ya da yasaklamak için kullanıcı bilgilerini kullanabilir, böylece bir kullanıcı yetki seviyesi sağlar.
Bundan sonra, istemci sunucuya gönderdiği tüm iletişimleri sunucunun genel anahtarıyla şifreleyecek ve her mesajı kendi özel anahtarıyla imzalayacaktır. Bir mesaj aldıktan sonra, sunucu, istemcinin anahtarına karşılık imzayı doğrulayarak mesajın bütünlüğünü test edecek ve kendi özel anahtarıyla mesajın şifresini çözecektir. Bu tüm mesajların gizli kalmasını ve değiştirilmemesini sağlar.
Tehditleri Azaltma
Şimdiye kadar, OPC UA'nın güvenli kanal/oturum modelinin gizli dinlemeye, mesaj sahtekarlığına, mesaj değişikliğine, oturum kaçırmaya ve genel/özel anahtar imzalama ve kimlik doğrulama, gizlilik ve iletişim bütünlüğü için şifreleme kullanarak kullanıcı kimlik bilgilerinin elektronik olarak tespit edilmesine karşı nasıl koruduğunu görebilmeliyiz. Diğer tehditlerin bazıları için, OPC UA'nın tasarımı, özellikleri ve önerileri tarafından üstesinden gelinen ek karşı önlemlere ihtiyacımız var.
OPC UA, bir istemcinin kimliği doğrulanmadan önce bir sunucu üzerinde gerçekleştirebileceği eylemleri sınırlar. İstemciler, güvenliğini ve sunucunun bağlantı gereksinimlerini sağlamak, ve güvenli bir kanal oluşturmak için sınırlandırılmıştır. Güvenlik ve bağlantı gereksinimleri söz konusu olduğunda, bu bilgiler iletimden sonra nadiren değişir ve sunucuda çok az işlem süresi gerektirir. İşlemci yoğunluğu daha fazla olan güvenli bir kanal oluşturmak için, sunucular tekrarlanan hatalı güvenli kanal oluşturma isteklerini izlemeli ve potansiyel saldırı etkisini minimize etmek için gelecekteki isteklerin işlenmesini kasıtlı olarak geciktirmelidir. Sunucular, ayrıca yöneticilere, herhangi bir zamanda oluşabilecek eşzamanlı bağlantıların sayısını sınırlamasına izin vermelidir. Bu adımlar, mesaj seline karşı koruyacaktır. Kimliği doğrulanmamış tarafların ne başarabileceğini limitlemenin bir diğer faydası, tehlikeye atılabilecek bilinen güvenlik açıklarının sınırlı olması ve bu da bir saldırgan tarafından yapılabilecek sunucu profilini en aza indirmesidir.
OPC UA, sektöre yazılım tabanlı uygulamalar ve çeşitli satıcıların donanım cihazları arasında birlikte çalışabilirlik sağlar.
Alışveriş yapılan her bir mesaj oturum ID'si, güvenli kanal ID'si, istek ID'si, zaman bilgisi ve sıra numaraları içerir. Bu mesajlar değiştirilebilir olmadığından, uygulamalar, bir saldırganın gelecekte bir noktada yeniden oynatmak üzere bir mesaj yakalamamasını sağlamak için bu değerleri doğrulayabilir. İstemciler ve sunucular mesajın uygun formda olduğundan emin olmak için her bir mesajı doğrular. Bununla birlikte, mesajın tekrar oynatılması ve hatalı biçimlendirilmiş mesajların alınmasıyla ilgili endişeleri ortadan kaldırır.
Özet
OPC UA, sektöre yazılım tabanlı uygulamalar ve çeşitli satıcıların donanım cihazları arasında birlikte çalışabilirlik sağlar. Bu birlikte çalışılabilirlik, herhangi bir endsütriyel kontrol sistemi ve tüm işler için kritik olan veri değişimine izin verir. Optimal işletim ve iş kararlarını vermek için, dünyanın herhangi bir yerinden bilgi alma yeteneği çok önemlidir. Verilerin public domain üzerinden yayınlanması ihtiyacından dolayı, bilgilerin gerçekliğini, bütünlüğünü ve gizliliğini korumak için güvenli bir şekilde yapılandırma şarttır. OPC UA'nın günümüzün yaygın BT ilkelerini ve tekniklerini benimsemesi bunu mümkün kılar.