Zapewnienie bezpiecznego dostępu serwisowego do maszyn i instalacji przemysłowych
| TechnikaObecnie większość instalacji i maszyn w sieciach produkcyjnych jest już połączona w sieciach komunikacyjnych dzięki realizacji koncepcji Przemysłu 4.0. W celu zapewnienia spójności danych i usług sieci produkcyjne są z kolei połączone z tymi obejmującymi całą firmę (sieci korporacyjne, biurowe), a w dalszej kolejności z Internetem. W przyszłości liczba instalacji produkcyjnych połączonych w ten sposób będzie stale rosnąć.
Chociaż tego rodzaju rozwój otwiera szereg możliwości, to zapewnienie ochrony dostępu do kompleksowych sieci instalacji i urządzeń stanowi wielkie wyzwanie dla operatorów pod względem bezpieczeństwa IT, który w branży znany jest jako bezpieczeństwo ICS (systemów sterowania i kontroli w przemyśle).
Strumienie danych związanych z produkcją są ograniczone do określonej objętości i w związku z tym maszyny i instalacje są chronione poprzez zastosowanie znanych oraz sprawdzonych rozwiązań, takich jak stworzenie architektury bezpieczeństwa według zasady ochrony w głąb, zgodnie z ISA99 i IEC 62443.
Tymczasem zapewnienie dostępu w celu wykonania konserwacji i programowania tego rodzaju systemów samo w sobie stanowi zadanie o szczególnym charakterze.
WĘZŁY DOSTĘPU POPRZEZ SIEĆ TELEFONICZNĄ STWARZAJĄ ZNACZNE ZAGROŻENIE DLA BEZPIECZEŃSTWA
Podobnie jak w przypadku warstwowego podejścia do bezpieczeństwa IT, który przypomina strukturę cebuli, wdrażanie koncepcji ochrony w głąb w architekturze bezpieczeństwa polega na konstruowaniu kilku warstw zabezpieczeń sieciowych, które są chronione indywidualnymi ograniczeniami dostępu.
Warstwa zewnętrzna jest połączona z siecią internetową i tym samym stanowi najmniej pewny poziom. Poziomy te są znane także jako "poziomy zaufania" - poziom zaufania wzrasta wraz z każdą kolejną warstwą sieciową.
Oznacza to, że samo centrum takiej warstwowej sieci składa się z systemów, które wymagają szczególnie wysokiego poziomu ochrony - w sieciach produkcyjnych są to maszyny i instalacje razem z ich komponentami.
Systemy te są chronione poprzez konstruowanie niewidzialnych podsieci poprzez NAT (translację adresów sieciowych), maskowanie i ustawienie ograniczeń dostępu, które dopuszczają tylko te strumienie danych, które są absolutnie niezbędne do produkcji.
Aby móc wykonywać zadania serwisowe i konserwacyjne, odpowiedni pracownicy w danej firmie, jak również zewnętrzni serwisanci producenta urządzeń, muszą otrzymać dostęp do tych szczególnie chronionych obszarów sieci.
W przeszłości mogli oni często uzyskać dostęp przez własne węzły dostępu poprzez sieć telefoniczną. Jednakże węzły takie, dostępne bezpośrednio poprzez sieć telefonii, stwarzają znaczne zagrożenie dla bezpieczeństwa.
Dzieje się tak, ponieważ osoba łącząca się może uzyskać dostęp do całej sieci i zwykle nie trzeba przechodzić przez proces uwierzytelniania w celu uzyskania dostępu do systemów podłączonych do danej sieci. Obecnie ten przestarzały technologicznie system jest często zastępowany przez popularne sieci zdalnej konserwacji VPN.
KONFIGURACJA SIECI SERWISOWEJ
Rozwiązania opisane powyżej umożliwiają weryfikację tożsamości osób upoważnionych do dostępu, jak również zaszyfrowaną transmisję danych. Jednak osoby z prawami dostępu wciąż mają swobodny dostęp do sieci chronionej.
Co więcej, szyfrowanie uniemożliwia operatorom maszyn uzyskanie wglądu do danych, co oznacza, że nie mają oni kontroli nad danymi. W rezultacie niemożliwe jest śledzenie zdarzeń szkodliwych. Kolejny problem wynikający z tej koncepcji polega na tym, że każdy producent maszyn chciałby używać własnego systemu zdalnego dostępu.
Powoduje to powstawanie heterogenicznych, niemożliwych do spójnego zarządzania systemów IT. Dodatkowo zdalna konserwacja VPN nie rozwiązuje problemu zapewnienia pracownikom serwisu uwierzytelnionego dostępu.
Jeśli wewnętrzni serwisanci mają przyznane prawa szerokiego dostępu do instalacji i maszyn, skutkuje to znacznym obniżeniem poziomu bezpieczeństwa. Z tego powodu wymagany dostęp zawsze powinien być zmniejszony do koniecznego minimum.
Jednym ze sposobów osiągnięcia tego jest utworzenie osobnej, odizolowanej strefy sieci (sieć serwisowa) w celu przekazania lub przekierowania połączeń serwisowych. W branży IT tego typu strefy sieci są także znane pod pojęciem strefy zdemilitaryzowanej.
KONTROLA NAD WSZYSTKIMI POŁĄCZENIAMI SERWISOWYMI
Urządzenia bezpieczeństwa FL mGuard w asortymencie Phoenix Contact są odpowiednie do zastosowań przemysłowych i ochrony poszczególnych komórek produkcyjnych. Dodatkowo umożliwiają one również tworzenie stref sieci serwisowej (rys. 1).
Ze względu na ich systemowe zorientowanie na bezpieczeństwo ICS, urządzenia te zapewniają dokładnie takie funkcje, jakie są niezbędne do realizacji zadań tutaj opisanych. Sieć serwisowa jest usytuowana dokładnie na poziomie sieci produkcyjnej. Obie sieci są oddzielone i odizolowane od siebie za pomocą urządzeń zabezpieczających.
Produkty FL mGuard działają też jako punkt dostępu dla poszczególnych sieci komórek produkcyjnych (fot. 1). Sieci te są w przejrzysty sposób zintegrowane z siecią serwisową za pośrednictwem połączeń VPN.
Na ich podstawie możliwe jest budowanie i demontowanie wymaganych połączeń serwisowych opartych o sieć VPN z poziomu komórek produkcyjnych. W tym celu można użyć wyłącznika kluczykowego, który kontroluje urządzenia zabezpieczające poprzez zintegrowane cyfrowe I/O (wejścia / wyjścia).
Alternatywnie, operatorzy maszyn mogą korzystać z urządzenia HMI, które przesyła informacje o zdarzeniach zachodzących w sieci wewnętrznej. Metoda ta pozwala operatorom na stałe sterowanie wszystkimi możliwymi połączeniami serwisowymi.
Zasady zapory w ramach połączeń VPN mogą określać autoryzowany dostęp do serwisu. Jeśli korzystanie z połączeń VPN w sieciach wewnętrznych jest zabronione, to takie same funkcje zapewnia GRE (Generic Routing Encapsulation), funkcja tunelowania i warunkowej zapory (lub wymienne zestawy reguł zapory).
Prawidłowa realizacja koncepcjiEksperci bezpieczeństwa ICS Phoenix Contact pomagają klientom analizować i oceniać istniejące infrastruktury i ich komponenty. Opracowują rozwiązania ochrony systemów, jak również zapewnienia bezpiecznych opcji dostępu. Jest bardzo ważne, aby specjaliści realizowali te koncepcje w taki sposób, by wszystkie systemy płynnie działały oraz współdziałały ze sobą. Mimo wszystko, bezpieczeństwo nie jest koncepcją statyczną - jego elementy muszą być stale wykorzystywane. Od użytkownika do administratora, jak również poprzez pracowników zapewnienia bezpieczeństwa, a wszystkie zaangażowane osoby muszą posiadać ten sam poziom wiedzy. Dlatego Phoenix Contact oferuje szkolenia i seminaria oraz może regularnie kontrolować sposób, w jaki koncepcje bezpieczeństwa są wdrażane i wykorzystywane w firmach (fot. 3). Oferty te dotyczą wszystkich sektorów, a także obejmują bieżące i przyszłe tematy dotyczące cyberbezpieczeństwa. |
AKTYWACJA DYNAMICZNYCH REGUŁ ZAPORY
Zewnętrzni serwisanci producenta maszyny są podłączeni do serwisowej strefy sieciowej poprzez VPN (fot. 2). Phoenix Contact oferuje odpowiednie rozwiązania do tej aplikacji poprzez zastosowanie Secure Client VPN FL mGuard lub FL mGuard Smart2 VPN. Technicy operatora maszyny również mogą być podłączeni za pośrednictwem połączeń VPN lub poprzez bezpośredni dostęp do sieci.
Cały dostęp może być skonfigurowany w taki sposób, że dany technik musi posiadać autoryzację poprzez zaporę urządzeń zabezpieczających użytkownika. Proces ten otwiera możliwość aktywacji dynamicznych reguł zapory dla określonych użytkowników.
Zasady te stosuje się do adresów IP, które są wykorzystywane do uwierzytelniania. W ten sposób, każdy technik ma tylko ograniczony, konieczny dostęp, co oznacza, że możliwe jest tworzenie koncepcji bezpieczeństwa wielopoziomowego.
Jeżeli operator akceptuje rozwiązania VPN preferowane przez producenta maszyny, to w strefie sieci serwisowej powinny być umieszczone odpowiednie urządzenia końcowe.
Zapewnienie dostępu serwisowego do instalacji i maszyn otwiera znaczące korzyści dla operatorów, ale także pociąga za sobą duże wyzwania w zakresie bezpieczeństwa dostępu.
Odpowiednie strategie i specjalne technologie pozwalają operatorom sprostać temu wyzwaniu, a tym samym zmniejszyć koszty konserwacji przy jednoczesnym zwiększeniu dostępności.
Andreas Fuß
Phoenix Contact Cyber Security AG
Phoenix Contact