<WRAP doku>

====== Методы защиты и предотвращения взломов ======
<WRAP box round>
Раздел посвящён практическим мерам защиты инженерных (OT) систем ЦОД от кибератак и инцидентов. Рассматриваются уровни защиты: сегментация сетей, межсетевые экраны, VPN и двухфакторная аутентификация. Цель — снизить вероятность успешного взлома и обеспечить устойчивость инфраструктуры.
</WRAP>

===== Общие принципы защиты =====
<WRAP info>
Ни одно устройство не способно полностью защитить систему от всех форм атак. Эффективная защита достигается за счёт многослойной архитектуры безопасности (defense-in-depth).
</WRAP>

Базовая структура защиты OT включает четыре уровня:
  1. Сегментация сетей OT и IT.  
  2. Межсетевой экран (Firewall) по периметру OT-сети.  
  3. VPN для всех консолей управления.  
  4. Двухфакторная аутентификация (2FA).

<WRAP info>
**OT (Operational Technology)** — операционные технологии: инженерные системы, обеспечивающие питание, охлаждение и управление объектом.  
**IT (Information Technology)** — информационные технологии: серверы, сеть и вычислительные ресурсы.  
**2FA (Two-Factor Authentication)** — двухфакторная аутентификация, требующая двух независимых способов подтверждения личности.
</WRAP>

===== Сегментация сети OT от IT =====
<WRAP info>
Сегментация предотвращает распространение вредоносного ПО и ограничивает зону возможного воздействия атаки.
</WRAP>

Формы изоляции:
  * Полная изоляция — OT имеет собственные каналы связи, коммутаторы и маршрутизаторы; отсутствуют зависимости от IT.  
  * Зависимая изоляция — OT логически отделена от IT, но подключена через контролируемый шлюз.

Преимущества:
  * исключение кросс-контаминации между сетями;  
  * разделение ответственности между IT и эксплуатацией;  
  * возможность задать специализированные правила доступа.

<WRAP important>
Сеть OT должна администрироваться службой эксплуатации. Единый контроль снижает риск ошибок конфигурации и несогласованных изменений.
</WRAP>

===== Межсетевой экран по периметру OT =====
<WRAP info>
Межсетевой экран (Firewall) фильтрует трафик и предотвращает несанкционированные подключения к инженерным системам.
</WRAP>

Рекомендации:
  * использовать решения корпоративного класса (Next Generation Firewall, NGFW) с обновляемыми базами угроз;  
  * применять детальные правила (по IP, протоколу, геолокации, времени, действию);  
  * обеспечить понятный интерфейс управления (Graphical User Interface, GUI).

<WRAP important>
Применение домашних или SOHO-устройств (Small Office / Home Office) недопустимо. Для инженерных сетей необходимы промышленные решения уровня NGFW.
</WRAP>

===== VPN для консолей управления =====
<WRAP info>
**VPN (Virtual Private Network)** — виртуальная частная сеть, создающая зашифрованный канал между пользователем и системой.  
Каждая консоль (BMS, DCIM, EMS и т.п.) должна иметь собственный VPN-доступ с аутентификацией и шифрованием.
</WRAP>

Пояснение терминов:
  * **BMS (Building Management System)** — система управления инженерными системами здания;  
  * **DCIM (Data Center Infrastructure Management)** — система управления инфраструктурой ЦОД;  
  * **EMS (Energy Monitoring System)** — система мониторинга энергопотребления.

Преимущества VPN:
  * защита каналов от перехвата и подмены данных;  
  * разграничение доступа между сотрудниками и подрядчиками;  
  * централизованный контроль подключений и журналирование действий.

<mermaid>
flowchart LR
  classDef big font-size:14px,stroke-width:1.2px,padding:10px;
  A["BMS"]:::big --> V["VPN-шлюз"]:::big
  B["DCIM"]:::big --> V
  C["EMS"]:::big --> V
  V --> FW["Периметр OT (NGFW)"]:::big
  FW --> OT["Сеть OT"]:::big
</mermaid>

===== Двухфакторная аутентификация =====
<WRAP info>
**2FA (Two-Factor Authentication)** добавляет второй фактор проверки при входе в систему и при изменении настроек.  
Это может быть код подтверждения на смартфоне, токене или биометрический сканер.
</WRAP>

Особенности применения:
  * включать 2FA для всех систем BMS, DCIM, EMS;  
  * требовать повторное подтверждение при изменении критичных параметров;  
  * фиксировать все попытки входа и хранить логи не менее 12 месяцев.

<mermaid>
flowchart LR
  classDef big font-size:28px,stroke-width:1.2px,padding:10px;
  U["Пользователь"]:::big --> L["Логин и пароль"]:::big
  L:::big --> C["Проверка первого фактора"]:::big
  C:::big --> T["Запрос второго фактора"]:::big
  T:::big --> A["Подтверждение (телефон / токен / биометрия)"]:::big
  A:::big --> G["Доступ разрешён"]:::big
</mermaid>

===== Организационные меры =====
  * назначить ответственного за безопасность OT на стороне эксплуатации;  
  * вести реестр устройств и сетевых подключений;  
  * регулярно проверять конфигурации firewall, VPN и права пользователей;  
  * документировать изменения и хранить логи;  
  * предусмотреть резервные каналы управления без выхода в Интернет.

===== Ключевые выводы =====
<WRAP tip>
  * Многослойная защита снижает вероятность киберинцидентов.  
  * Каждая инженерная подсистема (питание, охлаждение, мониторинг) должна защищаться так же, как IT-сервера.  
  * Точки пересечения IT и OT — приоритетная зона для контроля и аудита.  
  * Безопасность OT-сетей должна закладываться на этапе проектирования ЦОД и поддерживаться в эксплуатации.
</WRAP>

</WRAP>