但是,某些应用程序(例如工业控制应用的远程和移动监视)出现的有点晚。从历史上看,工业自动化由于其特殊需求,其发展落后于最新的消费者技术。自动化硬件和软件平台,必须连续运行数年或数十年。任何故障都会对成本高昂的设备和产品产生直接的负面影响。因此在最终用户现场,这些平台通常有点孤立。
这些严格的要求是工业自动化平台的首要关注点。任何形式的远程访问都可能被视为是对网络安全的一种潜在危害。即使商业网络、PC和互联网云技术,使访问自动化平台变得更加容易,但这些方面中的每一个都加剧了网络安全问题。
如今,始终保持连接的最终用户要求从他们的自动化平台进行远程访问,因为这样可以通过减少停机时间来增加价值。他们可以实现系统性能的可视化、更高效地运营并进行远程故障诊断。要建立令人放心的安全远程连接,需要在硬件、软件和网络的许多层面给予特别注意。
坚实的云基础
一些具有强大信息技术(IT)技能的最终用户,可以创建和维护自己的远程连接解决方案,以解决工厂车间运行技术(OT)方面的问题。如果正确执行,这可以提供令人满意的结果。通常,工作包括建立虚拟专用网(VPN),以便与因特网连接的设备可以通过站点防火墙进行通信,并到达所需的OT目标。
由于IT和OT组之间需要协调,VPN的建立和维护可能会比较困难且昂贵。即使已安装VPN,最终用户也必须具有移动应用程序或其它软件才能实现远程连接。除非最终用户具有所有必需的专用硬件、软件和丰富的经验,否则此任务可能会充满挑战。
接下来的挑战是关于如何测试自己开发的远程连接技术,并且随着时间的流逝,如何确保良好的网络安全性。一个合适的安全管理模型应该满足基于信息的机密性、完整性和可用性要求。但实际应用中,许多最终用户可能无法创建和维护这样的安全模型。
由于这些原因,许多最终用户正转向已建立的、基于云的解决方案,以实现具有所需安全性的远程连接。基于云的平台已经专门用于远程连接任务。供应商可以提供规模经济和其他技术效益。
分布式资源
在解决安全问题之前,重要的是要了解与内部开发的远程连接相比,云软件可以提供的技术功能。
一个显著差异是基于云的软件具有较高的可用性,因为它们所使用的服务器,与数据中心处理其它关键计算和数据存储活动的服务器相同。这样的可扩展架构,可以真正实现全球级的规模,并通过冗余提高可用性。
位于数据中心的VPN服务器网络,可以使用最佳服务器来降低延迟。如果连接失败,它还允许其它服务器接管。一些云服务可能会使用Kubernetes集群之类的现代计算架构,从而优化微服务的运营和管理。(Kubernetes是开放源代码软件,可用于自动化容器化应用程序的部署、扩展和管理。)
大多数云解决方案还为关键计算流程提供了应用程序编程接口(API)服务,从而为程序连接提供了一致的方式。工业物联网(IIoT)应用通常支持消息队列遥测传输(MQTT)协议。 MQTT是IIoT通信的理想选择,因为它与传输层安全性配对时,既高效又安全。 API和MQTT功能允许云软件提供比基本连接更多的功能,因为这些技术允许通过云存储和访问数据。
任何工业云解决方案,还必须适合处理以下3种类型的数据库:
关系型:例如配置信息;
非关系型:例如事件、警报和日志;
时间序列型:例如连续到达的、带有时间戳的模拟过程数据。
每种数据库都有对工业应用非常重要的特性。只要安全性得到保证,这三种数据库类型的云解决方案都很适合。
StrideLinx云托管VPN可以通过笔记本电脑、智能手机和平板电脑上托管的移动HMI应用程序与工业资产安全地连接。图片来源:Automation Direct
要解决5个网络安全问题
不幸的是,网络安全的缺失是一个经常出现在新闻中的复杂话题。对于任何远程连接或基于云的解决方案的供应商,最佳实践都是遵循ISO 27001标准提出的要求,并接受合格的第三方审核,持续遵守信息安全管理体系(ISMS)认证的要求。
企业必须解决以下5个主要的网络安全问题:
1.加密连接:必须使用具有TLS 1.2或更高版本的HTTPS加密与云服务之间的所有连接,以防止未经授权的访问。
2.集中的监视、日志记录和分析:关键事件和异常的自动检测,可帮助供应商识别任何性能问题或意外活动,并对之做出反应。
3.漏洞管理:持续进行的第三方审核,应在漏洞或弱点被利用之前发现,越早越好。
4.访问控制:任何基于云的平台,都允许开发人员访问,但是应该使用强大的访问密钥和全面的监视,控制访问人员的数量。
5.软件开发生命周期:应始终对软件更改进行同行评审,遵循严格的版本管理系统,并使用手动和自动方法进行测试。
如果最终用户不准备执行这些建议,那他们应考虑使用供应商提供的基于云的软件,以符合这些ISMS指令。
本地的安全性
即使是最好的基于云的软件,也可能会因脆弱的本地安全性而受到损害。不幸的是,制造现场的大多数OT技术,在设计时都没有考虑安全性,并且很多技术很少更新。除非采取预防措施,否则将这些传统技术连接到较新的基于云的平台可能会引起麻烦。
最基本的措施是使用带有正确配置防火墙的路由器,确保将计算机局域网(LAN)与广域网(WAN)和因特网隔离。默认情况下,这会阻止两者之间的所有流量,除非在WAN上配置,否则将拒绝WAN上发起的任何通信到达LAN。
但是,LAN生成的到WAN或因特网的可信出站通信通常是可以接受的。这是OT系统与IT云平台集成而不涉及更复杂IT解决方案的首选方式。任何OT/IT远程连接解决方案,都需要与站点安全访问限制进行协调。
另一方面,许多OT运营都位于互联网连接可能不理想的地方。对于这些情况,最终用户可能希望寻找能够从首选因特网连接故障切换到4G移动网络的路由器。对于具有数据记录功能的应用程序,建议路由器一次缓冲几天的数据,直到连接恢复。
浏览器和应用程序安全
远程连接的最后一步是最终用户界面。这可能是基于浏览器或基于移动的应用程序。不幸的是,此接口可能是外部攻击者的主要目标。
正如大多数用户从其个人电子邮件、银行帐户和其它基于计算机的帐户中了解的那样,登录安全性至关重要。除了唯一的长密码,用户还应考虑使用允许双因素身份验证(2FA)作为附加保护层的系统。通常,用户在他们的移动设备上打开另一个身份验证器应用程序,以便在登录时获得一次性密码。
基于云的连接系统的管理员必须仔细分配和控制用户权限。常识表明,应该仅授予用户足够执行其任务的权限,而不能再扩充授予其它权限。这可以将遭受网络攻击所造成的对系统的影响降至最低。
对于最终用户而言,当APP可用时,它们比网页浏览器访问更为方便。这是因为它们已针对移动屏幕尺寸进行了预配置,并经定制以提供所需的典型信息和功能,而最终用户所需的开发工作却少得多。
移动VPN连接,允许对第三方移动应用程序进行控制和数据查看
可信的云连接
远程监视和控制尤其是通过移动设备进行的远程监视和控制,被视为许多工业自动化用户的必备功能。某些用户可能会开发自己的连接软件,但是网络安全风险巨大,需要制定大量的缓解措施。
这是许多用户发现基于云的远程连接和数据记录平台是理想答案的主要原因之一。好的云平台比自开发的系统能提供更好的技术解决方案,例如冗余服务器和备份数据连接。它们遵循最新的行业安全标准,经过持续的审核,并提供移动应用程序来帮助最终用户快速运行,而在整个生命周期中所需的维护工作最少。