Архитектура программы

Kaspersky Industrial CyberSecurity for Networks включает в себя следующие компоненты:

• Сервер – основной компонент, который принимает данные, обрабатывает и предоставляет их пользователям программы. Полученная информация (например, события и сведения об устройствах) сохраняется на Сервере в базе данных. В каждой схеме развертывания Kaspersky Industrial CyberSecurity for Networks может использоваться только один Сервер.
• Сенсор – компонент, который под управлением Сервера получает и анализирует данные из вычислительных сетей, подключенных к сетевым интерфейсам компьютера. Результаты анализа данных сенсор передает на Сервер. По запросам Сервера сенсор может отправлять на Сервер полученные данные в том виде, в котором они поступили для анализа (например, трафик, относящийся к зарегистрированным событиям). Сенсоры устанавливаются на отдельных компьютерах. Если компьютер выполняет функции Сервера, на этот компьютер невозможно установить сенсор. В программе может использоваться до 50 сенсоров.

Безопасность соединений Сервера и сенсоров обеспечивается с использованием сертификатов. С помощью сертификатов также обеспечивается безопасность и других соединений с компонентами программы (например, подключение к компоненту через веб-интерфейс или подключение сторонних систем через специальные программные модули – коннекторы).

Если на компьютерах контролируемой сети установлены приложения "Лаборатории Касперского", выполняющие функции защиты рабочих станций и серверов (EPP-приложения), в Kaspersky Industrial CyberSecurity for Networks можно настроить интеграцию с этими приложениями. После настройки интеграции Сервер и/или сенсоры получают данные от EPP-приложений и могут взаимодействовать с ними.

При использовании заданий аудита безопасности Сервер и/или сенсоры могут удаленно подключаться к устройствам для сканирования устройств и получения результатов.

Сервер Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• управляет сенсорами и принимает от них результаты анализа полученных данных;
• обрабатывает и сохраняет полученные сведения об устройствах и их взаимодействиях;
• регистрирует и сохраняет события;
• выполняет дополнительный анализ накопленной информации для обнаружения угроз и инцидентов (например, по правилам корреляции событий);
• контролирует работоспособность программы;
• контролирует действия пользователей программы;
• обрабатывает поступающие запросы через веб-интерфейс и коннекторы и предоставляет запрашиваемые данные.

Сенсор Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• анализирует поступающий трафик промышленной сети:
  • выделяет из трафика данные о взаимодействиях устройств и о технологических параметрах;
  • выявляет признаки атак в трафике;
• регистрирует события по результатам анализа данных;
• передает события, информацию о трафике, об устройствах и о технологических параметрах на Сервер Kaspersky Industrial CyberSecurity for Networks.

Компоненты программы получают копию трафика промышленной сети от точек мониторинга. Точки мониторинга могут использоваться как на сенсорах, так и на Сервере. Вы можете добавить точки мониторинга на сетевые интерфейсы, обнаруженные на узлах с установленными компонентами программы. Точки мониторинга требуется добавить на сетевые интерфейсы, через которые поступает трафик из промышленной сети.

Все сетевые интерфейсы, на которые добавлены точки мониторинга, должны быть подключены к промышленной сети таким образом, чтобы исключить возможность влияния на промышленную сеть. Например, для подключения можно использовать порты сетевых коммутаторов промышленной сети, настроенные на передачу зеркалированного трафика (Switched Port Analyzer, SPAN).

На узлах с установленными компонентами программы вы можете настроить операционную систему для приема зеркалированного трафика с использованием технологии ERSPAN (Encapsulated Remote SPAN). После настройки для технологии ERSPAN в операционной системе узла появляется виртуальный сетевой интерфейс, на который вы можете добавить точку мониторинга.

В программе действуют следующие ограничения на количество точек мониторинга:

• суммарное количество точек мониторинга – не более 50;
• количество точек мониторинга на Сервере – не более 4;
• количество точек мониторинга на сенсоре – не более 8.

При работе в режиме интеграции с решением Kaspersky SD-WAN вы можете использовать не более 100 точек мониторинга как на одном узле, так и суммарно на всех узлах с установленными компонентами программы.

Для соединения с Сервером сенсоров и других компонентов решения Kaspersky Industrial CyberSecurity (Kaspersky Industrial CyberSecurity for Nodes / Kaspersky Industrial CyberSecurity for Linux Nodes, Kaspersky Security Center) рекомендуется использовать выделенную сеть Kaspersky Industrial CyberSecurity. Сетевое оборудование для взаимодействия компонентов в выделенной сети должно быть установлено отдельно от промышленной сети. В общем случае к выделенной сети следует подключить следующие компьютеры и устройства:

• узел Сервера Kaspersky Industrial CyberSecurity for Networks;
• узлы сенсоров Kaspersky Industrial CyberSecurity for Networks;
• компьютеры для подключения к Серверу и сенсорам через веб-интерфейс;
• компьютеры с Kaspersky Industrial CyberSecurity for Nodes / Kaspersky Industrial CyberSecurity for Linux Nodes и программными компонентами Endpoint Agent;
• устройства, к которым выполняются удаленные подключения для сканирования в рамках заданий аудита безопасности;
• компьютеры с программными модулями коннекторов;
• компьютер с Kaspersky Security Center;
• сетевой коммутатор.

В начало