Федеративная архитектура: более безопасный путь к конвергенции ИТ-ОТ в эпоху ИИ

Федеративная архитектура (Federation Architecture, FA) обеспечивает баланс преимуществ конвергенции ИТ-ОТ с мерами безопасности, одновременно снижая риски, связанные с искусственным интеллектом, и обеспечивая централизованное получение инсайтов, пишет на портале Data Center Knowledge Давуд Шахлаи, старший менеджер компании Belden.

Разрозненные операции все чаще ограничивают эффективность, необходимую для современных рабочих нагрузок, и интеграция информационных технологических систем с операционными технологическими системами (конвергенция ИТ-ОТ) является решением этой проблемы.

Однако полностью конвергентные архитектуры ИТ-ОТ создают профиль рисков, который многим операторам трудно обосновать. По мере ускорения внедрения ИИ этот риск становится более острым, особенно когда конвергенция создает точки соприкосновения автоматизации на границе ИТ и ОТ.

Рабочие нагрузки, связанные с ИИ, подталкивают организации к конвергенции и увеличивают потребность в общей инфраструктуре, общих данных и централизованных инсайтах. В то же время ИИ создает междисциплинарный риск, который становится видимым только при совместном рассмотрении ИТ-безопасности, безопасности ОТ и рисков, возникающих в связи с ИИ.

Задача состоит в том, чтобы обеспечить конвергенцию, не ставя под угрозу основы безопасности и управления в ОТ-средах.

Ценность конвергенции ИТ-ОТ

Конвергенция ИТ-ОТ иногда представляется как цель или неизбежная тенденция, но на самом деле это средство достижения цели. Она обеспечивает единый интеллект на всем инфраструктурном стеке и площадках. Частое преимущество заключается в устранении слепых зон.

Когда сигналы об энергоснабжении, охлаждении и ИТ-системах доступны в едином представлении, операторы могут быстрее выявлять проблемы, затрагивающие разные области, например, сопоставляя неисправность системы охлаждения, влияющую на ряд серверов, с пиком задержки сети или снижением производительности ЦП.

Помимо обеспечения видимости, конвергенция позволяет скоординированно оптимизировать процессы. При высокой плотности рабочих нагрузок, превышающей температурные пределы, ручное или изолированное управление питанием и охлаждением становится сложнее поддерживать.

Сторонники конвергенции могут утверждать, что интегрированные системы могут способствовать более быстрой оперативной реакции и повышению эффективности, особенно когда инсайты и планирование из центрального командного центра охватывают несколько площадок. Однако сочетание конвергенции ИТ-ОТ с реалиями ОТ-среды остается сложной задачей и вызывает постоянные дискуссии.

Состояние дискуссий

Полная конвергенция не так широко распространена, как некоторые предполагают. Дискуссия ведется не о том, полезна ли централизованная видимость. Она о том, насколько корпоративные ИТ должны охватывать ОТ-системы, управляющие физическими процессами.

Ключевая причина — структурное несоответствие между ИТ и ОТ. В то время как ИТ-инфраструктура оптимизирована для гибкости и частых изменений, ОТ-инфраструктура оптимизирована для детерминированного поведения, доступности и длительных жизненных циклов. Эти различия создают трения, когда ИТ-практики распространяются на ОТ-среды.

Риск также асимметричен. Сбои в ИТ-инфраструктуре часто можно устранить путем восстановления и перестройки. Сбои в ОТ-инфраструктуре могут повредить физические активы и их сложнее устранить. ИТ-служба разрабатывает процесс реагирования на инциденты безопасности, предполагая, что нарушение может произойти, в то время как ОТ-служба инвестирует в предотвращение. Именно поэтому многие операторы рассматривают пути управления ОТ-инфраструктурой как серьезное архитектурное решение.

В результате многие организации колеблются между двумя крайностями. Некоторые расширяют удаленные полномочия на объекты для повышения эффективности. Другие замораживают архитектуру, чтобы избежать расширения рисков. На практике конвергенция представляет собой спектр, и каждая организация ищет дисциплинированную золотую середину.

Полная конвергенция продолжает обсуждаться по причинам, не связанным со злым умыслом. Развитие ИТ-инфраструктуры делает глубокую интеграцию неизбежной. Упрощение управления способствует созданию единой платформы, а рыночные стимулы поощряют интегрированные платформы. Некоторые площадки в конечном итоге имеют подключенные сети, но неизменные процессы, что может усилить проблемы безопасности и эксплуатации.

Уже сейчас, еще до того, как этот спор утихнет, ИИ появляется как следующая переменная и повышает ставки.

Фактор ИИ

ИИ меняет модель угроз, поскольку он может работать внутри доверенных ИТ-сред с законным доступом и выдавать рекомендации, которые могут масштабироваться быстрее, чем люди могут реально контролировать.

Это важно, потому что многие дискуссии о безопасности неявно предполагают, что ИИ остается «запертым» в дата-центрах и не может поворачивать ручки или включать/выключать рубильники в операционной инфраструктуре. Двусторонняя конвергенция ИТ-ОТ разрушает этот структурный барьер.

ИИ стимулирует предиктивное техническое обслуживание, аналитику и оптимизацию, которые являются основными мотивами конвергенции. В то же время его профиль риска является недетерминированным и непрозрачным. ИИ может влиять на решения и автоматизированные действия через системы, которые рассматривают ИИ как доверенного участника.

Системы ИИ статистически оптимизированы, но по своей природе несовершенны. ИИ может преследовать непредусмотренные цели, например, снижать энергопотребление на охлаждение за счет изменения температурных пределов способами, которые выглядят приемлемо на панелях управления, но снижают уровень безопасности. Эта динамика часто описывается как игра с прокси, проблема согласования или потеря контроля.

В конвергентных архитектурах сетевые пути и механизмы автоматизации могут превращать аналитические задачи в оперативные команды. Это смещает границу безопасности с одних только сетей и устройств на модель ИИ, ее входные данные и управление тем, что происходит после выдачи рекомендации. Именно поэтому для перспективной модернизации необходим дисциплинированный подход: сохранение уровня безопасности операционных технологий при одновременном обеспечении возможности анализа и оптимизации с помощью ИИ.

В центрах обработки данных есть одна особенность: ИИ, оптимизирующий охлаждение, может работать на той же инфраструктуре, которая зависит от этого охлаждения. Это делает ограничения и защитные механизмы первостепенной задачей проектирования.

Первые эксперименты показывают, что ИИ может рекомендовать ограниченные действия, но только в сочетании с явными мерами безопасности и человеческим контролем.

Шаблон федеративной архитектуры

FA — это дисциплинированный способ конвергенции ИТ и ОТ без расширения поверхности управления, что операторам может быть трудно оправдать. FA не отвергает конвергенцию. Она переосмысливает ее, делая обязательным небольшой набор архитектурных обязательств и рассматривая любую более глубокую интеграцию как явное решение, требующее обоснования.

FA построена на трех принципах:

1. Автономия на периферии: каждое предприятие сохраняет способность к безопасной, детерминированной работе, даже если оно отключено от корпоративных или облачных систем.

2. Однонаправленный поток данных: операционные данные поступают вверх для аналитики, а архитектурные пути записи в системы ОТ исключены по замыслу.

3. Человеческий контроль: централизованные системы, включая ИИ, могут генерировать рекомендации, но квалифицированные инженеры должны санкционировать изменения до их внедрения.

FA намеренно минимальна. Это набор архитектурных настроек по умолчанию, на основе которых можно безопасно строить другие проектные решения. Для некоторых организаций FA может стать моделью конвергенции, которую они выберут на долгосрочную перспективу. Для других это может быть промежуточным этапом, первым, более безопасным шагом через двустороннюю дверь для итеративного внедрения конвергенции.

После внедрения FA организации могут анализировать результаты и либо откатываться назад с минимальными усилиями, либо выбирать контролируемые отклонения от однонаправленности в каждом конкретном случае, не ослабляя автономность периферии или человеческий контроль.

Жизнеспособным примером реализации второго принципа может быть разрешение обновлений ПО в контролируемые временные окна для определенных разделов инфраструктуры.

FA служит прагматичным вариантом по умолчанию для организаций, стремящихся к получению междоменных инсайтов, избегающих постоянного удаленного управления и готовящихся к расширению интеграции ИИ.

FA: что вы сохраняете и чем жертвуете

Что вы сохраняете с FA:

• Полная видимость всего парка техники и централизованная аналитика с использованием телеметрии, передаваемой на север.

• Обнаружение аномалий, предиктивное техническое обслуживание и обоснованное планирование и составление графиков.

• Цифровые двойники и моделирование, поддерживающие более безопасные решения об изменениях.

• Системы рекомендаций, ориентированные на данные.

• Перспективная и дисциплинированная стратегия, влияющая на модернизацию всей организации.

FA совместима с тем, как владельцы критической инфраструктуры оценивают риски: сохранение видимости и поддержки принятия решений, а также ограничение того, что может напрямую влиять на физические системы.

С точки зрения FA, изолированные (air-gapped) площадки могут удовлетворять двум основным принципам: автономность на периферии и человеческий контроль. Для таких площадок добавление восходящего потока данных обеспечивает аналитическую ценность по разумной цене.

Чем вы жертвуете с FA:

• Скорость удаленного управления и непрерывная оптимизация парка техники.

• Удобство постоянного двустороннего подключения.

• Полностью автоматизированное реагирование между площадками в замкнутом цикле.

Для организаций, которые оптимизировали операционные расходы за счет централизации, эти компромиссы снижают ключевые показатели эффективности. Для тех, кто вложил значительные средства в локальные ресурсы и персонал, влияние незначительно.

FA в первую очередь не увеличивает затраты на технологии. Она перераспределяет затраты с централизованной эффективности на локальную ответственность. Организации, которые уже работают с полномочиями на уровне площадки, воспринимают FA как дополнительные капитальные затраты. Организации, оптимизированные для сокращения централизованных операционных затрат, воспринимают FA как структурное увеличение операционных расходов. FA предоставляет организациям возможность платить либо операционными возможностями, либо архитектурным риском.

Некоторые организации уже могут быть глубоко вовлечены в двустороннюю конвергенцию. Они могут управлять рисками и использовать оптимизацию замкнутого цикла.

То же самое не всегда верно для других критически важных сред, где последствия могут быть физически серьезными. Для них гарантированное отсутствие путей управления может даже стимулировать конвергенцию в стиле FA, поскольку утечка данных больше не приравнивается к нарушению систем управления.

Дисциплинированный подход к конвергенции

FA использует аналитические преимущества конвергенции ИТ-ОТ, а также ИИ, сохраняя при этом локальное управление и явное определение рисков, обеспечивая дисциплинированную основу для модернизации в критически важных средах. Отдавая приоритет автономности на периферии, однонаправленному потоку данных и человеческому контролю, FA обеспечивает структуру, соответствующую осторожному характеру критической инфраструктуры.

Поскольку ИИ продолжает менять операционные ландшафты, внедрение дисциплинированного подхода, такого как FA, гарантирует, что организации смогут модернизироваться без ущерба для безопасности или контроля. Будь то долгосрочная стратегия или промежуточный шаг, FA позволяет предприятиям уверенно ориентироваться в сложностях конвергенции.