SECURITY

Come proteggere la rete industriale senza l’uso di firewall e VLAN?

Reti OT sempre più esposte richiedono un modello di difesa diverso da firewall e VLAN. Edge SDN offre protezione continua, segmentazione intelligente e conformità alle normative senza fermare la produzione.

Tempo di lettura3 min.
di Redazione

Le strategie IT tradizionali non sono più sufficienti per gestire i sistemi OT: chi coordina l’IT deve tutelare dati e informazioni sensibili, mentre in fabbrica occorre preservare continuità operativa, sicurezza fisica e produttività. Reti industriali “senza confini”, con dispositivi legacy (PLC, sensori, attuatori, telecamere) e accessi da remoto via VPN, rendono poco efficaci strategie basate solo su firewall o segmentazioni rigide con VLAN.

I firewall proteggono soprattutto il traffico “Nord-Sud” tra rete IT e OT, ma non quello “Est-Ovest” tra dispositivi OT, spesso il più critico. La loro proliferazione complica la manutenzione e può spingere gli operatori a bypassarli pur di non fermare la produzione. Inoltre, le VLAN, utili per organizzare e gestire la rete da sole non costituiscono una strategia di sicurezza.

La sicurezza OT richiede quindi un approccio diverso, che combini prevenzione, monitoraggio continuo e gestione centralizzata.

Aldo Campi, founder partner di Stoorm5
Aldo Campi, founder partner di Stoorm5

Una risposta concreta arriva da Edge SDN, un prodotto studiato e realizzato totalmente in Italia che riutilizza l’infrastruttura esistente per implementare una strategia di protezione conforme alla normativa ISA/IEC 62443, in linea con direttive come NIS2, Cyber Resilience Act e nuovo regolamento macchine 2023/1230. “Edge SDN è una piattaforma che protegge la continuità operativa dei sistemi industriali riutilizzando la rete esistente, senza modificare le VLAN, cambiare indirizzi IP o aggiungere nuovi firewall – evidenzia Aldo Campi, founder partner di Stoorm5 azienda che ha creato Edge SDN -. Sfruttiamo le funzionalità di Software defined networking già presenti negli switch di mercato, spesso sottoutilizzate, questo aspetto è molto apprezzato dai nostri clienti perché valorizza gli investimenti già fatti”.

Chi sta usando Edge SDN per proteggere la rete industriale?

Oggi Edge SDN è utilizzato da realtà che devono rispettare requisiti normativi senza fermare la produzione, mettendo in sicurezza le parti più critiche dell’infrastruttura OT, creando Security Zones e Conduits secondo IEC 62443 e segmentando la rete in base al rischio.

Nel Food & Beverage, con stabilimenti attivi quasi H24, la rete è ampia ed eterogenea, con macchine nuove e sistemi legacy. Un approccio incrementale permette di partire dalle aree OT più critiche, riutilizzando gli switch esistenti e affiancandoli a sonde di rete per ottenere visibilità in tempo reale: la produzione continua, i falsi positivi si riducono e il team IT può concentrarsi sulle minacce reali.

Nella produzione industriale, reti consolidate da anni rendono modifiche potenzialmente costose in termini di fermi impianto e alimentano tensioni tra IT e OT. Edge SDN sfrutta gli switch Ethernet esistenti, partendo da una fase di discovery che analizza le comunicazioni tra macchine, PLC, SCADA e server, costruendo una mappa del traffico e generando regole di segmentazione applicabili dai manutentori OT: le policy si adattano alle condizioni di lavoro, la produzione non si ferma e l’azienda supera le valutazioni di cybersecurity richieste da clienti e auditor.

Nelle infrastrutture critiche e nei service provider, una sola rete collega telecamere, sensori, varchi, sistemi antincendio, monitoraggio energetico e reti di emergenza, spesso gestiti da terze parti come “scatole nere”. La segmentazione tradizionale si limita a poche VLAN e firewall di frontiera. Con un approccio a livelli basato su Edge SDN si parte dalle VLAN più critiche, analizzando i flussi per costruire perimetri di sicurezza attorno ai dispositivi, consentendo solo il traffico operativo necessario e bloccando la visibilità “device-to-device” che abilita il movimento laterale. Si creano zone di sicurezza multilivello sfruttando gli access switch già installati, riducendo traffico indesiderato e allarmi IDS e permettendo al team IT di bloccare selettivamente il traffico in caso di incidente, senza toccare i servizi core.

Edge SDN adotta un paradigma basato su pianificazione e prevenzione attiva, con l’obiettivo di garantire continuità operativa e sicurezza degli operatori mantenendo un alto livello di protezione informatica. “Con le esigenze delle nuove regolamentazioni, esempio NIS2, la nostra rete di partner sta crescendo e ci permette di aiutare i clienti a mettere in sicurezza la digitalizzazione della produzione valorizzando gli investimenti nelle infrastrutture esistenti” conclude Campi.

Caratteristiche della protezione Edge SDN

  • implementa la sicurezza senza interruzioni: nessun cambio di indirizzi IP, nessuna modifica alle VLAN, nessun fermo produzione. Riutilizza gli switch esistenti.
  • semplifica la conformità: supporta IEC 62443, NIS2, NIST e ISO grazie a controlli e funzionalità di monitoraggio; dashboard intuitive mostrano i livelli di sicurezza per ogni zona.
  • segmentazione e visibilità senza complessità: monitora il traffico IT e OT con Intrusion Detection integrabile con un SOC IT del cliente o partner.
  • semplicità di implementazione: Edge SDN parte in modalità trasparente, impara i pattern di traffico durante il normale funzionamento e suggerisce le regole per modalità operative come Produzione Normale, Manutenzione Remota e così via.
  • sicurezza senza fermi di produzione: la modalità “green button” ripristina temporaneamente tutte le comunicazioni per gestire eventi imprevisti, garantendo la continuità operativa.

LEGGI ANCHE

Gli ultimi articoli