Mobil-maskin-maskingrensesnitt (HMI) tilgang er nødvendig i mange industrielle automatiseringsapplikasjoner. Det er to ofte brukte metoder - standardrutere som ikke krever VPN- og VPN -rutere som er vert av skyen - for å oppnå denne forbindelsen til rutere og virtuelle private nettverk (VPN).
Den første er standardruteren, som til tross for dens lave sikkerhet fremdeles brukes av mange eksisterende mobile HMI -applikasjoner og til og med noen nyere. En stor fordel er at det er billig, men det anbefales ikke fordi når portvideresending er aktivert i en brannmur, utsetter det nettverket for eksterne trusler og derfor utgjør en betydelig nettverkssikkerhetsrisiko.
En annen tilnærming er å bruke en sky-hostet VPN-ruter, som forenkler kompleksiteten i informasjonsteknologi (IT) ved å lage en kryptert forbindelse fra den lokale VPN-ruteren til en sky-vert VPN-ruter på Internett. Eksternere brukere kan få tilgang til lokale komponenter og systemer gjennom den sky-hostede VPN-ruteren. Dette reduserer ikke bare nettverkssikkerhetsrisiko, men forenkler også konfigurasjon og vedlikehold.
Den tredje typen ruterforbindelse implementert ved hjelp av en tradisjonell VPN -ruter blir ikke vurdert i denne artikkelen fordi den innebærer å åpne inngående tilkoblinger og skaper lignende kompleksiteter og risikoer som de som standardrutere står overfor.
Standardrutere
Mange industrielle applikasjoner bruker standardrutere og brannmurer for å beskytte selskaper og anleggsnettverk, som krever at brukere manuelt konfigurerer og administrerer alle ruting og brannmurinnstillinger. Denne typen ruter har vanligvis ikke en VPN for å kryptere data, men skaper porter i brannmuren for videresending for eksterne brukere å få tilgang til spesifikke applikasjoner og komponenter på anleggsnettverket.
De fleste HMI -brukere vil ha både ekstern og lokal tilgang. Å koble en bærbar datamaskin til en HMI -webserver er vanlig å overvåke data og endre setpoints og andre parametere, eller bruke programmeringsprogramvare for å koble til HMI for feilsøking eller programendringer.
For å koble til eksternt ved hjelp av en standardruter, konfigureres portvideresending vanligvis for å tillate tilgang til HMI eller til en lokal PC som kjører programvare for ekstern tilgang. Den lokale PCen gir den eksterne brukeren muligheten til å kjøre HMI -programmeringsprogramvaren.
HMI -mobilapplikasjoner krever også portvideresending slik at eksterne brukere kan få tilgang til den lokale HMI for å kontrollere eller se data. Disse applikasjonene gir vanligvis den samme funksjonaliteten som nettleserbasert fjerntilgang, bortsett fra at tilgangen er gjennom applikasjonen i stedet for en nettleser.
Hovedproblemet med denne tilnærmingen er sikkerhetsrisikoen forbundet med portvideresending i mobile applikasjoner samt PC-baserte applikasjoner. En hacker kan enkelt bestemme hvilke porter som er åpne på en brannmur og kan få tilgang til et selskap eller fabrikknettverk gjennom en ruter.
Mens portvideresending er veldig effektiv og nyttig i et selskap eller fabrikknettverk, er det ekstremt farlig å bruke denne funksjonen på Internett og selskapets intranettgrensesnitt. Produksjonsorganisasjoner bør unngå å bruke denne rutermetoden i nye installasjoner og i stedet konvertere eksisterende standardruterinstallasjoner til sikrere tilkoblinger, for eksempel sky-hostede VPN-rutere.
Cloud-hosted VPN-ruter
En sky-hosted VPN gir sikker tilkobling med enkel oppsett og nettverkskonfigurasjon. Et typisk sky-hostet VPN-alternativ, inkluderer en lokal VPN-ruter, en sky-hostet VPN-server, en VPN-klient og sammenkoblede automatiseringskomponenter (figur 1).
En sikker tilkobling er etablert etter den lokale ruteren (som ligger på anlegg/kontrollnettverk) og VPN-klienten (programvare installert på brukerens bærbare datamaskin eller mobilenhet) er hver koblet til den sky-hostede VPN-serveren. Den lokale ruteren etablerer denne forbindelsen umiddelbart etter oppstart, men VPN -klienten kobles bare når den mottar en autentiseringsforespørsel fra en ekstern bruker. Når begge tilkoblingene er etablert, er alle data som går gjennom denne VPN -kanalen sikkert.
De fleste sky-hostede VPN-er tilbyr en gratis månedlig båndbredde tildeling for grunnleggende operasjoner, og hvis datatilgang er nødvendig utover denne grensen, kan det bli bedt om ytterligere premium-båndbreddeplaner. For eksempel tilbyr ett produkt 5 GB gratis VPN -datautveksling per måned, noe som kan være nok for de fleste feilsøking, overvåking og programmeringsbehov.
Sikkerhetsrisiko reduseres når en lokal ruter initierer kommunikasjon med en server via en utgående tilkobling over en standard åpen port, for eksempel HTTPS. Dette unngår ofte endringer i selskapets IT -brannmur og kan tilfredsstille sikkerhetshensyn. For ekstra tillit kan brukere se etter en sky-hostet VPN med et bransjesertifisert informasjonssikkerhetsstyringssystem (f.eks. ISO/IEC27001: 2013.) Dette viser at leverandøren har implementert et omfattende sikkerhetsprogram og kontroller.
En annen fordel med sky-hostede VPN-er er enkelheten i ruterkonfigurasjon. Siden det er en sikker lokal ruter som kobles til en forhåndsdefinert skyserver, er ruteren forhåndskonfigurert med komplekse VPN-nettverksinnstillinger, og dermed lar ikke-IT-personalet installere den. Alt som kreves er å kjenne IP-adressene til automatiseringskomponentene som .
Andre avanserte alternativer kan omfatte skyloggen og alarmvarsler som gir en delmengde av HMI -funksjonalitet og er enklere å bruke enn tilpasset programmering. Disse tjenestene lar brukere logge systemdata og motta tilpassede alvorlighetsgradvarsler på sin mobile enhet eller bærbar datamaskin, og gir en praktisk, nettbasert historie med systemytelse når det er nødvendig.
Mobilappbasert ekstern tilgang
I økende grad støtter mobile applikasjoner industrielle HMI og programmerbare logikkkontroller (PLC) komponenter. Overvåkings- og kontrollfunksjonene lar brukere få tilgang til dem eksternt hvor som helst når som helst. For å få tilgang til industrielt utstyr, må mobile enheter også bruke VPN -teknologi for å kryptere data fra den mobile enheten til anleggsnettverket. Uten en mobil VPN ville det være nødvendig å åpne anleggets brannmurporter, og skape et lignende scenario som en standardruter og etterlate anleggsnettverket sårbart for cyberangrep.
Å bruke en hostet VPN gir en sikker VPN -tilkobling for bærbare datamaskiner og mobile enheter. Sistnevnte oppnås gjennom en fullt VPN-aktivert mobilapp. Når den er sikkert koblet til anleggsnettverket via Mobile VPN-appen, kan en tredjeparts HMI- eller PLC-app åpnes og kobles til de lokale HMI- og PLC-komponentene, med den mobile brukeren som praktisk talt som om de faktisk var på stedet.
Noen rutere kan også gi tilkobling til bærbar datamaskin og mobil enhet for hostede VPN -er. Apple iOS og Google Android Mobile Device -apper gir brukerne en sikker tilkobling til anleggsnettverket. Noen sky-hostede VPN-leverandører tilbyr også tilgang til skybaserte programvare-apper for datalogging, så vel som widgets for konfigurering av tilpassede dashbord for ekstern visning.
Denne innebygde skyloggen er spesielt nyttig for originale utstyrsprodusenter (OEM), hvorav mange har tusenvis av maskiner installert på hundrevis av steder rundt om i verden, hver med flere brukere. OEM vil gi hver maskin en VPN-ruter som er forhåndskonfigurert for å logge dataene og inneholder tilpassede dashbord for ekstern visning på en mobilapp. Bortsett fra å installere appen på en smarttelefon eller nettbrett, trenger ikke OEM -kunden å konfigurere, installere eller vedlikeholde programvaren for ekstern tilgang ellers.
For bredere tilgang til dashboards kan eksterne brukere bruke en mobil VPN levert av den hostede VPN -leverandøren for å få tilgang til lokale HMI -er og PLS via appen. En viss mobil HMI -programvare kan fungere mer sikkert når den brukes sammen med leverandørens VPN -ruter. En PC kan også få tilgang til lokale enheter fra lokalområdet for programmering, overvåking eller feilsøking.




