Mark Cooksley
Ponieważ procesy i
technologia stosowane w obiektach przemysłowych szybko ewoluują, poprawiona
precyzja i wydajność urządzeń będzie musiała być monitorowana w równie
zaawansowany sposób. Potrzeba ta może zostać zaspokojona za pomocą nowej metody
monitorowania, znanej jako bezpieczny dostęp zdalny (secure remote access).
Bezpieczny zdalny dostęp
wykorzystuje połączony sprzęt i oprogramowanie, aby uprościć zdalny dostęp do
sieci, programowanie i diagnostykę. W skrócie wygląda na to, że bezpieczne
rozwiązanie zdalnego dostępu oparte na chmurze działałoby w zasadzie w taki sam
sposób, jak tradycyjna wirtualna sieć prywatna (VPN). Oba umożliwiają zdalne
komunikowanie się dwóch urządzeń IP z innymi przez Internet, tak jakby
urządzenia były połączone w tej samej sieci fizycznej. Jednak oprócz tego
podobieństwa zalety bezpiecznego zdalnego dostępu w porównaniu do tradycyjnych
łączy VPN szybko zaczynają mieć sens.
6 wyzwań VPN-ów i sposoby ich przezwyciężenia
Podczas, gdy VPN jest dziś
coraz szerzej wykorzystywany i spełnia ogólne potrzeby wzajemnych połączeń
zdalnych sieci, ma kilka wad w porównaniu do nowoczesnego, bezpiecznego dostępu
zdalnego:
1. Konflikty podsieci
VPN: Sieci połączone tradycyjną siecią VPN nie mogą
używać tej samej podsieci lokalnej. Jednak nierzadko zdarza się, że konstruktor
maszyn lub integrator systemów, który może zarządzać setkami instalacji
klientów, napotka jedną lub więcej lokalizacji używających tych samych adresów
podsieci. Rezultatem jest konieczność żonglowania regułami NAT, aby poradzić
sobie ze schematami adresowania - prawdziwie przerażającym procesem.
Bezpieczny dostęp zdalny: dzięki bezpiecznemu zdalnemu dostępowi wszystkie
lokalizacje mogą korzystać z tej samej podsieci, a wszystkie urządzenia mogą
mieć ten sam adres IP. Inżynier i urządzenie zdalne są po prostu połączone ze
sobą.
2. Wyzwania związane z routingiem
VPN: Połączenie dwóch zdalnych sieci z tradycyjną siecią
VPN za pośrednictwem centralnego koncentratora VPN wymaga konfiguracji i
zarządzania zaawansowanymi regułami routingu. Ponadto sprzęt routujący zwykle
musi obsługiwać przechodzenie translatora adresów sieciowych (NAT-T) i
enkapsulacji protokołu User Datagram Protocol (UDP). Tradycyjne VPN są
odpowiednie do połączeń jeden do jednego lub wiele do jednego, ale nie jeden do
wielu (jeden inżynier do wielu witryn) lub wiele do wielu (wielu inżynierów do
wielu witryn).
Bezpieczny dostęp zdalny: oparte na chmurze systemy zdalnego dostępu
umożliwiają łatwe administrowanie tysiącami inżynierów potrzebujących dostępu
do tysięcy witryn, w tym zarządzanie indywidualnymi prawami dostępu.
3. Wyzwania związane z otwarciem Firewall
VPN: Tradycyjne sieci VPN oparte na protokole IPSec
wymagają otwarcia specjalnych portów (niechronionych), dlatego niektóre
protokoły zapory, które mogą komunikować się za pośrednictwem tej konfiguracji,
mogą zostać wykorzystane przez atakujących.
Bezpieczny dostęp zdalny: Wszystkie połączenia przekaźnikowe VPN są znane od
podszewki i używane są tylko standardowe porty internetowe. Te zaszyfrowane
połączenia kończą na centralnym serwerze internetowym. Dzięki tym zaszyfrowanym
połączeniom połączenie inżynierów i urządzeń dzieje się dynamicznie.
4. Wyzwania blokowania firewall
VPN: VPN kieruje wszystko (a nie tylko potrzebne
protokoły), chyba że podejmiesz próbę utworzenia i zarządzania wieloma regułami
zapory sieciowej.
Bezpieczny dostęp zdalny: Zdefiniowani agenci urządzeń są automatycznie
ograniczeni, aby umożliwić dostęp tylko do portów lub usług zdefiniowanych dla danego
typu agenta. Są one aktywowane tylko podczas łączenia się z agentem
reprezentującym urządzenie końcowe.
5. Rejestrowanie aktywności
VPN: Zasada tradycyjnej sieci VPN polega na połączeniu
dwóch sieci i udostępnieniu wszystkiego między dwiema równorzędnymi stacjami. Dozwolony
ruch można ograniczyć przez VPN (funkcja nazywa się Traffic Selector), ale jest
to sprzeczne z celem VPN. Gdy tak duży ruch przechodzi przez VPN, rejestrowanie
całej aktywności jest niepraktyczne.
Bezpieczny dostęp zdalny: Ponieważ ruch między punktami bezpiecznego zdalnego
dostępu musi być ściśle określony, rejestrowanie aktywności w procesie jest
łatwe. Gdy łączysz się z siecią innego użytkownika, łatwo jest mieć dostęp do
tych dzienników aktywności, co jest dodatkową korzyścią, jaką zapewnia
bezpieczny dostęp zdalny.
6. Zarządzanie Koncentratorem
VPN: Typowe rozwiązania VPN oparte na protokole IPSec
wymagają koncentratora sterowanego przez komputer, ponieważ wymagają wiedzy o
sieci. Konieczne jest także instalowanie indywidualnych koncentratorów u
każdego dostawcy usług, aby uniknąć bardzo złożonych konfiguracji trójkątnego routingu
i firewalla.
Bezpieczny dostęp zdalny: koncentrator w rozwiązaniu opartym na chmurze to
usługa centralna, w której każdy dostawca usług otrzymuje izolowane konto.
Tutaj administrator wydaje certyfikaty kont i dynamicznie kontroluje, do jakiego
sprzętu i do których stron powinien mieć dostęp każdy inżynier serwisu. Nie
jest wymagany żaden zestaw umiejętności sieciowych ani inny.
Korzyści bezpiecznego dostępu zdalnego
Chociaż złożoności nie
można całkowicie usunąć z bieżących procesów, rozwiązania bezpiecznego zdalnego
dostępu wymagają znacznie mniejszej wiedzy technicznej niż tradycyjne
koncentratory VPN.
Oto kilka najbardziej
widocznych korzyści:
· Łatwe do wdrożenia
- proste ustawienia konfiguracji pozwalają użytkownikom o ograniczonej wiedzy
technicznej na łączenie urządzeń w sieć.
· Interwencja nie jest wymagana przez działy IT - uzyskuje się to poprzez używanie tylko połączeń
wychodzących przez porty, które są zwykle otwarte w korporacyjnych firewallach
(HTTP/HTTPS).
· Bezpieczne -
najnowocześniejsza technologia zabezpieczeń zapewnia bezpieczny system. Rozwiązania
bezpiecznego zdalnego dostępu wykorzystują odpowiednie komponenty
bezpieczeństwa IT do komunikacji internetowej, takie jak silne szyfrowanie od
końca do końca, dwuskładnikowe zabezpieczenia, ścieżki audytu zdarzeń i
zarządzanie kontami oparte na rolach.
· Większa elastyczność
– rozwiązania bezpiecznego zdalnego dostępu oparte na chmurze umożliwiają
równoczesny dostęp wielu użytkowników do wielu usług na tym samym urządzeniu
(HTTP, TELNET, FTP, zdalny pulpit, systemy SCADA itp.) Elastyczność polega na
możliwościach korzystania z tych usług poprzez dostęp przez standardowe porty,
które są już otwarte przez firewall.
Jak sprawdzić, czy bezpieczny dostęp zdalny jest
odpowiedni dla Ciebie
Znajomość korzyści
bezpiecznego dostępu zdalnego jest bez znaczenia, chyba że możesz
zidentyfikować możliwości wdrożenia go w swoich działaniach lub sieciach.
Czy kiedykolwiek zgłosiłeś
problem z komputerem do działu IT? Oczywiście, że tak. Co się stało, kiedy to
zrobiłeś? Czy odwiedzili twoje biurko osobiście? Jeśli nie siedzieli już obok
ciebie, to jest to wątpliwe. To, co prawdopodobnie zrobili, to zdalny dostęp do
komputera i rozwiązanie problemu. Czemu? Ponieważ pozwoliło im to na szybką reakcję,
było to efektywne wykorzystanie ich czasu, a jeśli znajdują się w innym miejscu
geograficznym, zaoszczędzili na kosztach podróży.
Jeśli chodzi o dostęp
zdalny, użytkownicy przemysłowi mają te same wymagania, z tych samych powodów.
Oto kilka idealnych zastosowań:
· Zdalne
programowanie sterowników PLC i diagnostyka urządzeń przemysłowych - zdalne programowanie przy użyciu standardowych
narzędzi PLC i HMI, tak jakbyś był na miejscu.
· Zdalne sterowanie
i monitorowanie urządzeń przemysłowych
- zdalne sterowanie i monitorowanie za pomocą komputera, urządzenia iPhone lub
urządzenia z systemem Android, urządzenia wirtualne, zdalne pulpity i dostęp do
aplikacji HMI.
· Zdalne
rejestrowanie danych urządzeń przemysłowych
- pozwól serwerowi rejestru pobierać w czasie rzeczywistym dane z dowolnych
urządzeń w sposób przejrzysty za pośrednictwem zapór i sieci IP.
· Zdalne wsparcie
techniczne - tymczasowo łącz się z
chmurą, bez żadnego sprzętu, i zapewnij natychmiastową pomoc techniczną lub
połącz się z punktami dostępowymi. Może być to zarówno w Twojej firmie, jak i pomocne
dla konstruktorów maszyn, integratorów systemów lub innych dostawców, którzy
mogą zapewnić wsparcie techniczne Twojej firmie.
· Scentralizowane
sterowanie - z centralnej
lokalizacji użytkownicy mogą tymczasowo łączyć się w celu prowadzenia
jednolitego monitorowania i konserwacji z wieloma punktami zdalnego dostępu
jednocześnie.
Jeżeli jakiekolwiek z
tych zastosowań wydaje się odpowiednie, należy również powiedzieć, że koszt
przejścia na bezpieczny zdalny dostęp nie wiąże się z dużymi nakładami
inwestycyjnymi. A co najważniejsze, rozszerzenie rozwiązania nie wymaga
rozbudowy personelu w celu utrzymania tego rozwiązania.
Wnioski
Chociaż na rynku
dostępnych jest wiele rozwiązań zdalnego dostępu, większość z nich zaczęła
funkcjonować jako rozwiązania informatyczne, a obecnie są one wykorzystywane w
środowiskach przemysłowych. Rozwiązania takie jak te są skomplikowane dla
wszystkich administratorów i użytkowników i dalekie od prostoty oferowanej
przez wyrafinowane, przemysłowe rozwiązanie bezpiecznego dostępu zdalnego.
Prawdziwie bezpieczne
rozwiązania zdalnego dostępu również są złożone, ale złożoność ta powinna
zostać przeniesiona z użytkownika do administratora systemu. W ten sposób
wiedza jest scentralizowana wśród kilku pracowników, a nie wymagana w całej
organizacji.
Aby dowiedzieć się więcej o bezpiecznym zdalnym
dostępie, pobierz nasz najnowszy raport "Przewidywalne utrzymanie w erze IIoT" (w języku angielskim).
Jeśli masz jakiekolwiek
pytania, wątpliwości czy uwagi, zapraszamy do kontaktu! Jesteśmy do
dyspozycji od poniedziałku do piątku w godz. 8:00 – 16:00.
Tel: +48 32 256 25
33
E-mail: info@pf-electronic.pl
Komentarze
Prześlij komentarz