Przejdź do głównej zawartości

Bezpieczny Dostęp Zdalny a VPN: przewodnik po wyzwaniach i korzyściach

Mark Cooksley

Ponieważ procesy i technologia stosowane w obiektach przemysłowych szybko ewoluują, poprawiona precyzja i wydajność urządzeń będzie musiała być monitorowana w równie zaawansowany sposób. Potrzeba ta może zostać zaspokojona za pomocą nowej metody monitorowania, znanej jako bezpieczny dostęp zdalny (secure remote access).

Bezpieczny zdalny dostęp wykorzystuje połączony sprzęt i oprogramowanie, aby uprościć zdalny dostęp do sieci, programowanie i diagnostykę. W skrócie wygląda na to, że bezpieczne rozwiązanie zdalnego dostępu oparte na chmurze działałoby w zasadzie w taki sam sposób, jak tradycyjna wirtualna sieć prywatna (VPN). Oba umożliwiają zdalne komunikowanie się dwóch urządzeń IP z innymi przez Internet, tak jakby urządzenia były połączone w tej samej sieci fizycznej. Jednak oprócz tego podobieństwa zalety bezpiecznego zdalnego dostępu w porównaniu do tradycyjnych łączy VPN szybko zaczynają mieć sens.

6 wyzwań VPN-ów i sposoby ich przezwyciężenia
Podczas, gdy VPN jest dziś coraz szerzej wykorzystywany i spełnia ogólne potrzeby wzajemnych połączeń zdalnych sieci, ma kilka wad w porównaniu do nowoczesnego, bezpiecznego dostępu zdalnego:

1. Konflikty podsieci
VPN: Sieci połączone tradycyjną siecią VPN nie mogą używać tej samej podsieci lokalnej. Jednak nierzadko zdarza się, że konstruktor maszyn lub integrator systemów, który może zarządzać setkami instalacji klientów, napotka jedną lub więcej lokalizacji używających tych samych adresów podsieci. Rezultatem jest konieczność żonglowania regułami NAT, aby poradzić sobie ze schematami adresowania - prawdziwie przerażającym procesem.

Bezpieczny dostęp zdalny: dzięki bezpiecznemu zdalnemu dostępowi wszystkie lokalizacje mogą korzystać z tej samej podsieci, a wszystkie urządzenia mogą mieć ten sam adres IP. Inżynier i urządzenie zdalne są po prostu połączone ze sobą.

2. Wyzwania związane z routingiem
VPN: Połączenie dwóch zdalnych sieci z tradycyjną siecią VPN za pośrednictwem centralnego koncentratora VPN wymaga konfiguracji i zarządzania zaawansowanymi regułami routingu. Ponadto sprzęt routujący zwykle musi obsługiwać przechodzenie translatora adresów sieciowych (NAT-T) i enkapsulacji protokołu User Datagram Protocol (UDP). Tradycyjne VPN są odpowiednie do połączeń jeden do jednego lub wiele do jednego, ale nie jeden do wielu (jeden inżynier do wielu witryn) lub wiele do wielu (wielu inżynierów do wielu witryn).

Bezpieczny dostęp zdalny: oparte na chmurze systemy zdalnego dostępu umożliwiają łatwe administrowanie tysiącami inżynierów potrzebujących dostępu do tysięcy witryn, w tym zarządzanie indywidualnymi prawami dostępu.

3. Wyzwania związane z otwarciem Firewall
VPN: Tradycyjne sieci VPN oparte na protokole IPSec wymagają otwarcia specjalnych portów (niechronionych), dlatego niektóre protokoły zapory, które mogą komunikować się za pośrednictwem tej konfiguracji, mogą zostać wykorzystane przez atakujących.

Bezpieczny dostęp zdalny: Wszystkie połączenia przekaźnikowe VPN są znane od podszewki i używane są tylko standardowe porty internetowe. Te zaszyfrowane połączenia kończą na centralnym serwerze internetowym. Dzięki tym zaszyfrowanym połączeniom połączenie inżynierów i urządzeń dzieje się dynamicznie.

4. Wyzwania blokowania firewall
VPN: VPN kieruje wszystko (a nie tylko potrzebne protokoły), chyba że podejmiesz próbę utworzenia i zarządzania wieloma regułami zapory sieciowej.

Bezpieczny dostęp zdalny: Zdefiniowani agenci urządzeń są automatycznie ograniczeni, aby umożliwić dostęp tylko do portów lub usług zdefiniowanych dla danego typu agenta. Są one aktywowane tylko podczas łączenia się z agentem reprezentującym urządzenie końcowe.

5. Rejestrowanie aktywności
VPN: Zasada tradycyjnej sieci VPN polega na połączeniu dwóch sieci i udostępnieniu wszystkiego między dwiema równorzędnymi stacjami. Dozwolony ruch można ograniczyć przez VPN (funkcja nazywa się Traffic Selector), ale jest to sprzeczne z celem VPN. Gdy tak duży ruch przechodzi przez VPN, rejestrowanie całej aktywności jest niepraktyczne.

Bezpieczny dostęp zdalny: Ponieważ ruch między punktami bezpiecznego zdalnego dostępu musi być ściśle określony, rejestrowanie aktywności w procesie jest łatwe. Gdy łączysz się z siecią innego użytkownika, łatwo jest mieć dostęp do tych dzienników aktywności, co jest dodatkową korzyścią, jaką zapewnia bezpieczny dostęp zdalny.

6. Zarządzanie Koncentratorem
VPN: Typowe rozwiązania VPN oparte na protokole IPSec wymagają koncentratora sterowanego przez komputer, ponieważ wymagają wiedzy o sieci. Konieczne jest także instalowanie indywidualnych koncentratorów u każdego dostawcy usług, aby uniknąć bardzo złożonych konfiguracji trójkątnego routingu i firewalla.

Bezpieczny dostęp zdalny: koncentrator w rozwiązaniu opartym na chmurze to usługa centralna, w której każdy dostawca usług otrzymuje izolowane konto. Tutaj administrator wydaje certyfikaty kont i dynamicznie kontroluje, do jakiego sprzętu i do których stron powinien mieć dostęp każdy inżynier serwisu. Nie jest wymagany żaden zestaw umiejętności sieciowych ani inny.


Korzyści bezpiecznego dostępu zdalnego
Chociaż złożoności nie można całkowicie usunąć z bieżących procesów, rozwiązania bezpiecznego zdalnego dostępu wymagają znacznie mniejszej wiedzy technicznej niż tradycyjne koncentratory VPN.

Oto kilka najbardziej widocznych korzyści:
·    Łatwe do wdrożenia - proste ustawienia konfiguracji pozwalają użytkownikom o ograniczonej wiedzy technicznej na łączenie urządzeń w sieć.
·    Interwencja nie jest wymagana przez działy IT - uzyskuje się to poprzez używanie tylko połączeń wychodzących przez porty, które są zwykle otwarte w korporacyjnych firewallach (HTTP/HTTPS).
·    Bezpieczne - najnowocześniejsza technologia zabezpieczeń zapewnia bezpieczny system. Rozwiązania bezpiecznego zdalnego dostępu wykorzystują odpowiednie komponenty bezpieczeństwa IT do komunikacji internetowej, takie jak silne szyfrowanie od końca do końca, dwuskładnikowe zabezpieczenia, ścieżki audytu zdarzeń i zarządzanie kontami oparte na rolach.
·    Większa elastyczność – rozwiązania bezpiecznego zdalnego dostępu oparte na chmurze umożliwiają równoczesny dostęp wielu użytkowników do wielu usług na tym samym urządzeniu (HTTP, TELNET, FTP, zdalny pulpit, systemy SCADA itp.) Elastyczność polega na możliwościach korzystania z tych usług poprzez dostęp przez standardowe porty, które są już otwarte przez firewall.

Jak sprawdzić, czy bezpieczny dostęp zdalny jest odpowiedni dla Ciebie
Znajomość korzyści bezpiecznego dostępu zdalnego jest bez znaczenia, chyba że możesz zidentyfikować możliwości wdrożenia go w swoich działaniach lub sieciach.

Czy kiedykolwiek zgłosiłeś problem z komputerem do działu IT? Oczywiście, że tak. Co się stało, kiedy to zrobiłeś? Czy odwiedzili twoje biurko osobiście? Jeśli nie siedzieli już obok ciebie, to jest to wątpliwe. To, co prawdopodobnie zrobili, to zdalny dostęp do komputera i rozwiązanie problemu. Czemu? Ponieważ pozwoliło im to na szybką reakcję, było to efektywne wykorzystanie ich czasu, a jeśli znajdują się w innym miejscu geograficznym, zaoszczędzili na kosztach podróży.

Jeśli chodzi o dostęp zdalny, użytkownicy przemysłowi mają te same wymagania, z tych samych powodów. Oto kilka idealnych zastosowań:
·    Zdalne programowanie sterowników PLC i diagnostyka urządzeń przemysłowych - zdalne programowanie przy użyciu standardowych narzędzi PLC i HMI, tak jakbyś był na miejscu.
·    Zdalne sterowanie i monitorowanie urządzeń przemysłowych - zdalne sterowanie i monitorowanie za pomocą komputera, urządzenia iPhone lub urządzenia z systemem Android, urządzenia wirtualne, zdalne pulpity i dostęp do aplikacji HMI.
·    Zdalne rejestrowanie danych urządzeń przemysłowych - pozwól serwerowi rejestru pobierać w czasie rzeczywistym dane z dowolnych urządzeń w sposób przejrzysty za pośrednictwem zapór i sieci IP.
·    Zdalne wsparcie techniczne - tymczasowo łącz się z chmurą, bez żadnego sprzętu, i zapewnij natychmiastową pomoc techniczną lub połącz się z punktami dostępowymi. Może być to zarówno w Twojej firmie, jak i pomocne dla konstruktorów maszyn, integratorów systemów lub innych dostawców, którzy mogą zapewnić wsparcie techniczne Twojej firmie.
·    Scentralizowane sterowanie - z centralnej lokalizacji użytkownicy mogą tymczasowo łączyć się w celu prowadzenia jednolitego monitorowania i konserwacji z wieloma punktami zdalnego dostępu jednocześnie.

Jeżeli jakiekolwiek z tych zastosowań wydaje się odpowiednie, należy również powiedzieć, że koszt przejścia na bezpieczny zdalny dostęp nie wiąże się z dużymi nakładami inwestycyjnymi. A co najważniejsze, rozszerzenie rozwiązania nie wymaga rozbudowy personelu w celu utrzymania tego rozwiązania.

Wnioski
Chociaż na rynku dostępnych jest wiele rozwiązań zdalnego dostępu, większość z nich zaczęła funkcjonować jako rozwiązania informatyczne, a obecnie są one wykorzystywane w środowiskach przemysłowych. Rozwiązania takie jak te są skomplikowane dla wszystkich administratorów i użytkowników i dalekie od prostoty oferowanej przez wyrafinowane, przemysłowe rozwiązanie bezpiecznego dostępu zdalnego.

Prawdziwie bezpieczne rozwiązania zdalnego dostępu również są złożone, ale złożoność ta powinna zostać przeniesiona z użytkownika do administratora systemu. W ten sposób wiedza jest scentralizowana wśród kilku pracowników, a nie wymagana w całej organizacji.

Aby dowiedzieć się więcej o bezpiecznym zdalnym dostępie, pobierz nasz najnowszy raport "Przewidywalne utrzymanie w erze IIoT" (w języku angielskim).

Jeśli masz jakiekolwiek pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25 33
E-mail: info@pf-electronic.pl

Komentarze

Popularne posty z tego bloga

Jak wybrać odpowiedni kabel VFD?

Peter Cox
W części 1 mojego wpisu na temat żywotności kabla i silnika VFD wyjaśniłem, w jaki sposób użycie kabla THHN lub innego niespecjalistycznego kabla do połączenia VFD z silnikami prowadzi do przedwczesnej awarii silnika i szumu elektronicznego, który sieje spustoszenie w czujnikach procesowych i obniża bezpieczeństwo na hali produkcyjnej. Specyfikacja wyspecjalizowanego kabla VFD może pomóc w uniknięciu tych problemów, ale niestety nie ma żadnych standardów dla funkcji i konstrukcji kabla VFD, więc na pewno weryfikacja pozostaje w interesie kupującego. Tutaj, w części 2, omówimy, czego szukać w kablu VFD, abyś mógł podjąć bardziej świadomą decyzję.
Unikaj awarii i nie tylko - lista kontrolna W wielu zakładach niemal „spodziewano się” częstych wyłączeń napędów i/lub awarii silnika podłączonego do VFD co kilka lat, szczególnie w wyniku uszkodzenia łożyska lub izolacji. Jeśli tak się dzieje, specyfikacja dobrze zaprojektowanego kabla VFD może wyeliminować awarie i znacznie wydłużyć c…

Nowa parametryzacja - „IO-Link bez skomplikowanej części”

Artjom Bil
Co to jest IO-Link? Technologia IO-Link, oparta na standardzie IEC 61131-9 dla sterowników programowalnych, umożliwia komunikację między inteligentnymi czujnikami, siłownikami i sterownikami PLC wszelkiego rodzaju. Odegrała ważną rolę w praktycznym gromadzeniu i monitorowaniu danych produkcyjnych. Ten nieoceniony przepływ informacji daje producentom możliwość ciągłego dostrajania swojej działalności, optymalizacji jakości i wydajności oraz minimalizacji przestojów. Jako taka jest podstawową potrzebą komunikacji na poziomie lokalnym i umożliwia przejrzystość danych w ramach Przemysłowego Internetu Rzeczy.

Można by pomyśleć, że operatorzy przemysłowi pokochaliby technologię IO-Link. Niestety, w rzeczywistości jest to stosunek miłość/nienawiść.
Wielu użytkowników uważa, że ​​technologia IO-Link jest świetna, dopóki nie będą musieli zarządzać bibliotekami parametrów urządzeń IO-Link w sieci. Może to stać się bardzo skomplikowane, a użytkownicy lub nabywcy zbyt późno rozpoznają wyso…

MPLS-TP: MPLS wychodzi naprzeciw Twoim oczekiwaniom

Howard Linton
W ostatnich latach wielu przemysłowych użytkowników sieci szkieletowej znalazło się w sytuacji bez wyjścia. Dobrze znane sieci SONET i SDH z komutacją łączy, z których korzystają od dziesięcioleci, gwałtownie przestają nadążać z zaspokajaniem rosnącego zapotrzebowania na wideo, dane i inne zastosowania wymagające dużej przepustowości. Jednak najczęstszą praktyczną alternatywą - dla wielu, IP/MPLS - jest protokół wyraźnie przeznaczony dla bardziej złożonych operatorów sieci. Okazuje się, że jest to zbyt kosztowne, skomplikowane i mało funkcjonalne dla konkretnych potrzeb przedsiębiorstw użyteczności publicznej, transportu, rurociągów i innych użytkowników przemysłowych działających we własnej sieci szkieletowej.

No cóż, są też dobre wieści, ponieważ na szczęście istnieje mniej znany aspekt MPLS, który jest faktycznie przeznaczony do zaspokojenia potrzeb tej dużej bazy użytkowników. Nazywa się MultiProtocol Label Switching-Transport Profile lub MPLS-TP i może pomóc użytkowni…