這些AutomationDirect StrideLinx VPN路由器提供內置防火牆保護,以隔離機器級LAN和公司範圍的WAN網絡,以及可選的4G連接,從而實現基於雲的遠程訪問並簡化了實施。禮貌:AutomationDirect
移動技術已經發展到觸及現代生活的許多方面。人們期望並要求通常通過移動設備對幾乎任何基於技術的數字訪問。出於這種期望,現代設備在設計時就內置了這種連接性。
但是,有些應用程序(例如工業控制應用程序的遠程和移動監視)到了聚會時才有點晚。從歷史上看,工業自動化由於其特殊的需求而落後於最新的消費者技術。自動化硬件和軟件平台必須連續運行數年或數十年。任何故障都會直接對成本高昂的設備和產品產生負面影響。因此,這些平台通常在最終用戶的站點上仍然有些孤立。
這些嚴格的要求是工業自動化平台的主要重點。任何形式的遠程訪問充其量都是次要的考慮因素,並且通常被視為危害網絡安全的一種潛在方法。即使商業網絡,PC和互聯網雲技術使訪問自動化平台變得更加容易,但這些方面中的每一個都加劇了網絡安全問題。
如今,始終保持聯繫的最終用戶需要從其自動化平台進行遠程訪問,因為它可以通過減少停機時間來增加價值。他們可以可視化系統的性能,更高效地運行並遠程診斷問題。要放心地建立安全的遠程連接,需要在硬件,軟件和網絡的許多級別上給予特別注意。
堅實的雲基礎
一些具有強大信息技術(IT)技能的最終用戶可以創建和維護自己的遠程連接解決方案,以解決工廠車間操作技術(OT)方面的問題。正確執行這些可以提供令人滿意的結果。通常,工作包括建立虛擬專用網(VPN),以便與Internet連接的設備可以通過站點防火牆進行通信,並達到所需的OT目標。
由於IT和OT組之間需要協調,因此建立和維護虛擬專用網(VPN)可能非常困難且昂貴。即使已安裝VPN,最終用戶也必須具有移動應用程序或其他軟件才能遠程連接。除非最終用戶具有所有必需的專用硬件,軟件和必要的經驗,否則此任務可能會具有挑戰性。
更麻煩的是,關於如何首先測試自製的遠程連接技術以及隨著時間的流逝以確保良好的網絡安全性的討論。適當的安全管理模型基於信息的機密性,完整性和可用性(CIA)三元組。許多最終用戶可能無法創建和維護這樣的安全模型。
由於這些原因,許多最終用戶正在轉向已建立的基於雲的解決方案,以實現具有所需安全性的遠程連接。基於雲的平台已經專門用於遠程連接任務。供應商可以提供規模經濟和其他技術優勢。
AutomationDirect的StrideLinx雲託管VPN解決方案提供了從筆記本電腦,智能手機和平板電腦上託管的移動HMI應用程序到工業資產的安全連接。禮貌:AutomationDirect
分佈式資源
在解決安全問題之前,重要的是要了解與自製配置相比,雲軟件可以提供的技術功能。
基於雲的軟件可以提供的一個顯著差異是提高了可用性,因為它們使用相同類型的數據中心中的服務器進行操作,從而處理其他關鍵的計算和數據存儲活動。這樣的可擴展架構可以真正實現全球規模,並通過冗餘提供更高的可用性。位於數據中心的VPN服務器網絡可以使用最佳服務器來降低延遲。如果連接失敗,它也允許其他服務器接管。一些雲服務可能會使用Kubernetes集群之類的現代計算架構,從而優化微服務的運營和管理。[Kubernetes是開源軟件,用於自動化容器化應用程序的部署,擴展和管理。]
大多數雲解決方案還為關鍵計算流程提供了應用程序編程接口(API)服務,從而為程序提供了一致的連接方式。對於工業物聯網(IIoT)應用程序,通常支持稱為消息隊列遙測傳輸(MQTT)的協議。MQTT是IIoT通信的理想選擇,因為它與傳輸層安全性(TLS)配對時既高效又安全。API和MQTT功能允許雲軟件提供比基本連接更多的功能,因為這些技術允許通過雲存儲和訪問數據。
任何工業雲解決方案還必須適合處理三種類型的數據庫:
- 關係:如配置信息
- 非關聯性:例如事件,警報和日誌
- 時間序列:例如連續到達帶有時間戳的模擬過程數據。
每個數據庫都有對工業應用重要的特定特徵。只要確保安全性,結合了這三個方面的雲解決方案就很合適。
要解決的五個網絡安全問題
不幸的是,缺乏網絡安全是一個複雜的話題,經常在新聞中浮出水面。知道這一點,許多最終用戶理所應當地關心如何確保任何內部開發的遠程連接解決方案的安全性。
對於任何遠程連接或基於雲的解決方案提供商,最佳實踐都將是遵循ISO 27001標準提出的要求並接受合格的第三方審核,並持續遵守綜合信息安全管理系統(ISMS)。
必須解決五個主要問題:
- 加密連接:必須使用具有TLS 1.2或更高版本的HTTPS對與雲服務之間的所有連接進行加密,以防止未經授權的訪問。
- 集中的監視,日誌記錄和分析:關鍵事件和異常的自動檢測可幫助提供商識別任何性能問題或意外活動並對之做出反應。
- 漏洞管理:正在進行的第三方審核應在漏洞或弱點被利用之前提供早期發現。
- 訪問控制:任何基於雲的平台都需要開發人員訪問,但是應該使用強大的訪問密鑰和全面的監視,將其控制在有限數量的人員中。
- 軟件開發生命週期:應始終對軟件更改進行同行評審,遵循嚴格的版本管理系統,並使用手動和自動方法進行測試。
如果最終用戶不准備執行這些活動,則應考慮使用公司提供的基於雲的軟件,以符合這些ISMS指令。
本地安全
即使是最好的基於雲的軟件也會因弱點的本地安全性而受到損害。不幸的是,製造現場的大多數OT技術在設計時都沒有考慮安全性,並且許多技術很少更新。除非採取預防措施,否則將這些傳統技術連接到較新的基於雲的平台可能會導致麻煩。
最基本的步驟是使用帶有正確配置的防火牆的路由器,確保將計算機局域網(LAN)與廣域網(WAN)和Internet隔離。默認情況下,這會阻止兩者之間的所有流量,除非配置為這樣做,否則會拒絕WAN上發起的任何通信
但是,LAN生成到WAN或Internet的可信出站通信通常是可以接受的。這是OT系統與IT雲平台集成而不涉及更複雜的IT解決方案的首選方式。任何OT / IT遠程連接解決方案都需要與站點安全訪問限制進行協調。
另一點是許多OT操作都位於互聯網連接可能不理想的地方。對於這些情況,最終用戶可能希望尋找能夠從首選Internet連接故障轉移到4G移動網絡的路由器。對於具有數據記錄功能的應用程序,還建議路由器一次可以緩衝幾天的數據,直到恢復連接為止。
瀏覽器和應用安全
在查看了站點條件和雲需求之後,最後的遠程連接步驟是最終用戶界面。這可以是基於瀏覽器的或基於移動的應用程序。不幸的是,此接口可能是外部攻擊者的主要目標。
正如大多數用戶從其個人電子郵件,銀行帳戶和其他基於計算機的帳戶中知道的那樣,登錄安全性至關重要。除了唯一且長密碼,用戶還應考慮使用允許兩因素身份驗證(2FA)作為附加保護層的系統。通常,用戶在移動設備上打開另一個身份驗證器應用程序,以在登錄時獲得一次性密碼。
基於雲的連接系統的管理員必須仔細分配和控制用戶權限。常識表明,應該僅向用戶授予足夠的特權來執行其任務,而不能再授予其他特權。這將成功的攻擊者可能對系統造成的影響降至最低。
移動VPN連接允許對第三方移動應用程序進行控制和數據查看。禮貌:AutomationDirect
最後一點是,當應用程序可用時,對於最終用戶而言,它們比Web瀏覽器訪問更為方便。這是因為它們已針對移動屏幕尺寸進行了預配置,並經過定制以提供所需的最典型信息和功能,而最終用戶所需的開發工作卻少得多。
自信的雲連接
遠程監視和控制,尤其是通過移動設備進行的遠程監視和控制,被視為許多工業自動化用戶的必備功能。一些用戶可能會開發自己的連接軟件,但是網絡安全風險巨大,需要大量的緩解措施。
這是許多用戶發現基於雲的遠程連接和數據記錄平台是理想答案的主要原因之一。最好的雲平台比自製系統提供更好的技術解決方案,例如冗餘服務器和備份數據連接。它們遵循最新的行業安全標準,經過不斷審核,並提供移動應用程序來幫助最終用戶快速運行,而在整個生命週期中所需的維護工作最少。
圖文參考:control engineering