Giriş: Purdue Modelinin Sınırları
Endüstriyel kontrol sistemleri (ICS) onlarca yıldır Purdue Referans Modeli'ne göre tasarlanmaktadır. Ancak dijital dönüşüm, IT/OT yakınsaması ve uzaktan erişim ihtiyacı bu modelin yetersiz kaldığını ortaya koymaktadır.
IEC 62443 ve Sıfır Güven Entegrasyonu
Güvenlik Seviyeleri (Security Levels)
IEC 62443 standardı, dört güvenlik seviyesi tanımlamaktadır:
- •SL-1: Kazara veya tesadüfi ihlallere karşı koruma
- •SL-2: Kasıtlı, düşük kaynaklı saldırılara karşı koruma
- •SL-3: Gelişmiş beceri ve kaynaklara sahip saldırganlar
- •SL-4: Devlet destekli, çok gelişmiş saldırılar
Sıfır Güven Prensiplerinin OT'ye Uyarlanması
- •Kimlik Doğrulama: Her operatör, mühendis ve cihaz için ayrı kimlik
- •En Az Yetki: Cihazlar yalnızca operasyonel ihtiyaçları kadar erişime sahip
- •Sürekli İzleme: OT protokollerinin (Modbus, Profinet, EtherNet/IP) derin paket incelemesi
Mimari Bileşenler
OT Kimlik Yönetimi
Her PLC, RTU ve HMI için X.509 sertifikası. Cihaz kimlik doğrulaması için donanım güvenlik kökü (HSM veya TPM). Otomasyon için ACME protokolü ile sertifika yaşam döngüsü yönetimi.
OT Ağ Segmentasyonu
ISA/IEC 62443 bölge (Zone) ve kanal (Conduit) yaklaşımı. Her bölge için ayrı firewall politikası. Endüstriyel DMZ (IDMZ) ile IT/OT köprüsü.