Przejdź do głównej zawartości

Bezpieczny Dostęp Zdalny a VPN: przewodnik po wyzwaniach i korzyściach

Mark Cooksley

Ponieważ procesy i technologia stosowane w obiektach przemysłowych szybko ewoluują, poprawiona precyzja i wydajność urządzeń będzie musiała być monitorowana w równie zaawansowany sposób. Potrzeba ta może zostać zaspokojona za pomocą nowej metody monitorowania, znanej jako bezpieczny dostęp zdalny (secure remote access).

Bezpieczny zdalny dostęp wykorzystuje połączony sprzęt i oprogramowanie, aby uprościć zdalny dostęp do sieci, programowanie i diagnostykę. W skrócie wygląda na to, że bezpieczne rozwiązanie zdalnego dostępu oparte na chmurze działałoby w zasadzie w taki sam sposób, jak tradycyjna wirtualna sieć prywatna (VPN). Oba umożliwiają zdalne komunikowanie się dwóch urządzeń IP z innymi przez Internet, tak jakby urządzenia były połączone w tej samej sieci fizycznej. Jednak oprócz tego podobieństwa zalety bezpiecznego zdalnego dostępu w porównaniu do tradycyjnych łączy VPN szybko zaczynają mieć sens.

6 wyzwań VPN-ów i sposoby ich przezwyciężenia
Podczas, gdy VPN jest dziś coraz szerzej wykorzystywany i spełnia ogólne potrzeby wzajemnych połączeń zdalnych sieci, ma kilka wad w porównaniu do nowoczesnego, bezpiecznego dostępu zdalnego:

1. Konflikty podsieci
VPN: Sieci połączone tradycyjną siecią VPN nie mogą używać tej samej podsieci lokalnej. Jednak nierzadko zdarza się, że konstruktor maszyn lub integrator systemów, który może zarządzać setkami instalacji klientów, napotka jedną lub więcej lokalizacji używających tych samych adresów podsieci. Rezultatem jest konieczność żonglowania regułami NAT, aby poradzić sobie ze schematami adresowania - prawdziwie przerażającym procesem.

Bezpieczny dostęp zdalny: dzięki bezpiecznemu zdalnemu dostępowi wszystkie lokalizacje mogą korzystać z tej samej podsieci, a wszystkie urządzenia mogą mieć ten sam adres IP. Inżynier i urządzenie zdalne są po prostu połączone ze sobą.

2. Wyzwania związane z routingiem
VPN: Połączenie dwóch zdalnych sieci z tradycyjną siecią VPN za pośrednictwem centralnego koncentratora VPN wymaga konfiguracji i zarządzania zaawansowanymi regułami routingu. Ponadto sprzęt routujący zwykle musi obsługiwać przechodzenie translatora adresów sieciowych (NAT-T) i enkapsulacji protokołu User Datagram Protocol (UDP). Tradycyjne VPN są odpowiednie do połączeń jeden do jednego lub wiele do jednego, ale nie jeden do wielu (jeden inżynier do wielu witryn) lub wiele do wielu (wielu inżynierów do wielu witryn).

Bezpieczny dostęp zdalny: oparte na chmurze systemy zdalnego dostępu umożliwiają łatwe administrowanie tysiącami inżynierów potrzebujących dostępu do tysięcy witryn, w tym zarządzanie indywidualnymi prawami dostępu.

3. Wyzwania związane z otwarciem Firewall
VPN: Tradycyjne sieci VPN oparte na protokole IPSec wymagają otwarcia specjalnych portów (niechronionych), dlatego niektóre protokoły zapory, które mogą komunikować się za pośrednictwem tej konfiguracji, mogą zostać wykorzystane przez atakujących.

Bezpieczny dostęp zdalny: Wszystkie połączenia przekaźnikowe VPN są znane od podszewki i używane są tylko standardowe porty internetowe. Te zaszyfrowane połączenia kończą na centralnym serwerze internetowym. Dzięki tym zaszyfrowanym połączeniom połączenie inżynierów i urządzeń dzieje się dynamicznie.

4. Wyzwania blokowania firewall
VPN: VPN kieruje wszystko (a nie tylko potrzebne protokoły), chyba że podejmiesz próbę utworzenia i zarządzania wieloma regułami zapory sieciowej.

Bezpieczny dostęp zdalny: Zdefiniowani agenci urządzeń są automatycznie ograniczeni, aby umożliwić dostęp tylko do portów lub usług zdefiniowanych dla danego typu agenta. Są one aktywowane tylko podczas łączenia się z agentem reprezentującym urządzenie końcowe.

5. Rejestrowanie aktywności
VPN: Zasada tradycyjnej sieci VPN polega na połączeniu dwóch sieci i udostępnieniu wszystkiego między dwiema równorzędnymi stacjami. Dozwolony ruch można ograniczyć przez VPN (funkcja nazywa się Traffic Selector), ale jest to sprzeczne z celem VPN. Gdy tak duży ruch przechodzi przez VPN, rejestrowanie całej aktywności jest niepraktyczne.

Bezpieczny dostęp zdalny: Ponieważ ruch między punktami bezpiecznego zdalnego dostępu musi być ściśle określony, rejestrowanie aktywności w procesie jest łatwe. Gdy łączysz się z siecią innego użytkownika, łatwo jest mieć dostęp do tych dzienników aktywności, co jest dodatkową korzyścią, jaką zapewnia bezpieczny dostęp zdalny.

6. Zarządzanie Koncentratorem
VPN: Typowe rozwiązania VPN oparte na protokole IPSec wymagają koncentratora sterowanego przez komputer, ponieważ wymagają wiedzy o sieci. Konieczne jest także instalowanie indywidualnych koncentratorów u każdego dostawcy usług, aby uniknąć bardzo złożonych konfiguracji trójkątnego routingu i firewalla.

Bezpieczny dostęp zdalny: koncentrator w rozwiązaniu opartym na chmurze to usługa centralna, w której każdy dostawca usług otrzymuje izolowane konto. Tutaj administrator wydaje certyfikaty kont i dynamicznie kontroluje, do jakiego sprzętu i do których stron powinien mieć dostęp każdy inżynier serwisu. Nie jest wymagany żaden zestaw umiejętności sieciowych ani inny.


Korzyści bezpiecznego dostępu zdalnego
Chociaż złożoności nie można całkowicie usunąć z bieżących procesów, rozwiązania bezpiecznego zdalnego dostępu wymagają znacznie mniejszej wiedzy technicznej niż tradycyjne koncentratory VPN.

Oto kilka najbardziej widocznych korzyści:
·    Łatwe do wdrożenia - proste ustawienia konfiguracji pozwalają użytkownikom o ograniczonej wiedzy technicznej na łączenie urządzeń w sieć.
·    Interwencja nie jest wymagana przez działy IT - uzyskuje się to poprzez używanie tylko połączeń wychodzących przez porty, które są zwykle otwarte w korporacyjnych firewallach (HTTP/HTTPS).
·    Bezpieczne - najnowocześniejsza technologia zabezpieczeń zapewnia bezpieczny system. Rozwiązania bezpiecznego zdalnego dostępu wykorzystują odpowiednie komponenty bezpieczeństwa IT do komunikacji internetowej, takie jak silne szyfrowanie od końca do końca, dwuskładnikowe zabezpieczenia, ścieżki audytu zdarzeń i zarządzanie kontami oparte na rolach.
·    Większa elastyczność – rozwiązania bezpiecznego zdalnego dostępu oparte na chmurze umożliwiają równoczesny dostęp wielu użytkowników do wielu usług na tym samym urządzeniu (HTTP, TELNET, FTP, zdalny pulpit, systemy SCADA itp.) Elastyczność polega na możliwościach korzystania z tych usług poprzez dostęp przez standardowe porty, które są już otwarte przez firewall.

Jak sprawdzić, czy bezpieczny dostęp zdalny jest odpowiedni dla Ciebie
Znajomość korzyści bezpiecznego dostępu zdalnego jest bez znaczenia, chyba że możesz zidentyfikować możliwości wdrożenia go w swoich działaniach lub sieciach.

Czy kiedykolwiek zgłosiłeś problem z komputerem do działu IT? Oczywiście, że tak. Co się stało, kiedy to zrobiłeś? Czy odwiedzili twoje biurko osobiście? Jeśli nie siedzieli już obok ciebie, to jest to wątpliwe. To, co prawdopodobnie zrobili, to zdalny dostęp do komputera i rozwiązanie problemu. Czemu? Ponieważ pozwoliło im to na szybką reakcję, było to efektywne wykorzystanie ich czasu, a jeśli znajdują się w innym miejscu geograficznym, zaoszczędzili na kosztach podróży.

Jeśli chodzi o dostęp zdalny, użytkownicy przemysłowi mają te same wymagania, z tych samych powodów. Oto kilka idealnych zastosowań:
·    Zdalne programowanie sterowników PLC i diagnostyka urządzeń przemysłowych - zdalne programowanie przy użyciu standardowych narzędzi PLC i HMI, tak jakbyś był na miejscu.
·    Zdalne sterowanie i monitorowanie urządzeń przemysłowych - zdalne sterowanie i monitorowanie za pomocą komputera, urządzenia iPhone lub urządzenia z systemem Android, urządzenia wirtualne, zdalne pulpity i dostęp do aplikacji HMI.
·    Zdalne rejestrowanie danych urządzeń przemysłowych - pozwól serwerowi rejestru pobierać w czasie rzeczywistym dane z dowolnych urządzeń w sposób przejrzysty za pośrednictwem zapór i sieci IP.
·    Zdalne wsparcie techniczne - tymczasowo łącz się z chmurą, bez żadnego sprzętu, i zapewnij natychmiastową pomoc techniczną lub połącz się z punktami dostępowymi. Może być to zarówno w Twojej firmie, jak i pomocne dla konstruktorów maszyn, integratorów systemów lub innych dostawców, którzy mogą zapewnić wsparcie techniczne Twojej firmie.
·    Scentralizowane sterowanie - z centralnej lokalizacji użytkownicy mogą tymczasowo łączyć się w celu prowadzenia jednolitego monitorowania i konserwacji z wieloma punktami zdalnego dostępu jednocześnie.

Jeżeli jakiekolwiek z tych zastosowań wydaje się odpowiednie, należy również powiedzieć, że koszt przejścia na bezpieczny zdalny dostęp nie wiąże się z dużymi nakładami inwestycyjnymi. A co najważniejsze, rozszerzenie rozwiązania nie wymaga rozbudowy personelu w celu utrzymania tego rozwiązania.

Wnioski
Chociaż na rynku dostępnych jest wiele rozwiązań zdalnego dostępu, większość z nich zaczęła funkcjonować jako rozwiązania informatyczne, a obecnie są one wykorzystywane w środowiskach przemysłowych. Rozwiązania takie jak te są skomplikowane dla wszystkich administratorów i użytkowników i dalekie od prostoty oferowanej przez wyrafinowane, przemysłowe rozwiązanie bezpiecznego dostępu zdalnego.

Prawdziwie bezpieczne rozwiązania zdalnego dostępu również są złożone, ale złożoność ta powinna zostać przeniesiona z użytkownika do administratora systemu. W ten sposób wiedza jest scentralizowana wśród kilku pracowników, a nie wymagana w całej organizacji.

Aby dowiedzieć się więcej o bezpiecznym zdalnym dostępie, pobierz nasz najnowszy raport "Przewidywalne utrzymanie w erze IIoT" (w języku angielskim).

Jeśli masz jakiekolwiek pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25 33
E-mail: info@pf-electronic.pl

Komentarze

Popularne posty z tego bloga

TSN: Wielki krok naprzód w ewolucji Ethernetu ... i tu już dziś

Dr Oliver Kleineberg
Ethernet od prawie trzydziestu lat służy operatorom sieci i podczas gdy na przestrzeni lat bardzo się rozwinął, to najbardziej „rewolucyjny” skok ewolucyjny pojawia się dokładnie w tej chwili. Nowe ulepszenie technologii nosi nazwę "Time-Sensitive Networking (TSN)". Mimo że jego potężne funkcje zwiększające wartość są nadal sprawdzane (bardzo skutecznie!) w sieciach testowych i demonstracyjnych, operatorzy sieci w rzeczywistości mogą zacząć korzystać z tej technologii od razu.

Lubię myśleć o TSN jako "Ethernet Plus", ponieważ jest to nie tyle "nowy" protokół, co wzmocnienie Ethernetu. TSN stoi na barkach czegoś bardzo skutecznego i udanego, a czyni go jeszcze lepszym.
Połącz odmienne sieci w jedno - z gwarancjami dostawy i pełną interoperacyjnością Kluczową wartością - którą dodaje TSN do zastosowań przemysłowych, jest zdolność do ujednolicania sieci, które były z konieczności oddzielne w przeszłości, dzięki czemu użytkownicy mogą cieszyć…

Wskazówki dotyczące prawidłowego podłączenia kabla VFD

Peter Cox
Ilość napędów o zmiennej częstotliwości we współczesnych obiektach przemysłowych znacznie zwiększyła się w ostatnich latach. Nic dziwnego - regulując prędkość i napięcie silnika, aby sprostać zmieniającemu się w czasie rzeczywistym zapotrzebowaniu procesowemu, VFD pomagają zapewnić cenne korzyści, takie jak zwiększona energooszczędność, dokładniejsza kontrola procesu i mniejsze zużycie kosztownych urządzeń. Niestety, korzystanie z VFD nie zawsze jest tak proste, jak po prostu podłączenie urządzenia do sieci.
Aby dowiedzieć się więcej o zaletach kabla VFD, pobierz nasz bezpłatny raport "The Case for VFD Cable to Achieve System Reliability and Safety".

Podłączenie kabla VFD nie jest tym samym co podłączenie standardowego kabla. Istnieje wiele mylnych informacji i nieporozumień związanych z tym faktem i, świadomie lub nieświadomie, często użytkownicy idą na "skróty" w procesie instalacji. A to może spowodować poważne problemy w Twojej działalności. Oto kilka ws…

Pytania dotyczące wdrażania Industrial IoT? IIC ma odpowiedzi.

Jeff Lund
Industrial Internet Consortium (IIC) to globalna organizacja działająca na rzecz przyspieszenia pomyślnego wdrażania narzędzi Industrial Internet of Things (IIoT) w organizacjach wszelkiego rodzaju. Została założona w marcu 2014 r. na podstawie porozumienia między AT&T, Cisco, General Electric, IBM i Intel i obecnie ma ponad 260 członków zlokalizowanych w 30 krajach, a setki innych, nie będących członkami, korzysta z jego zasobów.
Według organizacji, jej misja polega na "dostarczaniu godnego zaufania IIoT, w którym systemy i urządzenia na świecie są bezpiecznie połączone i kontrolowane, aby zapewnić transformacyjne wyniki". Inny opis stwierdza, że ​​"IIC to otwarta, neutralna ‘piaskownica’, w której przemysł, środowisko akademickie i rząd spotykają się, by współpracować, wprowadzać innowacje i stwarzać odpowiednie warunki." Oba opisy są moim zdaniem bardzo trafne. Korzyści, które zapewnia IIC, są ogromne - organizacja zauważa, że ​​chociaż Internet przem…