新闻资讯
NEWS CENTER

安全远程访问 IIoT 机器面临的五个问题

作者:JIEXIANG 发布时间:2020-02-11 04:00:47点击:575

工业物联网(IIoT)正在改变企业主看待工厂的方式,为他们提供来自现场机器和设备的实时数据,使他们能够监控和控制生产。整体设备效率(OEE)和零设备停机时间不再只是流行语;它们对制造企业的成功至关重要。

这一新趋势迫使机器制造商提供支持零停机时间和高OEE的IIoT工具。远程访问技术可帮助机器制造商实现这些目标。

21.jpg

从经验丰富的支持工程师那里收集的数据表明,估计有60%到70%的机器问题只需要软件升级或更改一些参数,而这些通常可以远程完成。远程访问使机器制造商能够避免耗时且昂贵的现场工作,以解决现场的许多问题。

此外,通过远程访问,机器制造商可以从其安装的机器中获取实时数据。而且,根据实际设备状况,机器制造商可以准确预测机器故障。这使管理人员能够提前安排维护服务,从而提高机器的可用性,同时提高产品质量和速度。

远程桌面连接 (RDC) 网络。

一些机器构建者依赖于传统的远程访问,例如使用虚拟网络计算(VNC)的虚拟专用网络(VPN)和远程桌面连接(RDC)。既可以改善服务,又可以让建筑商更快地响应客户。然而,对传统远程访问的限制阻碍了机器制造商提供更好的服务。

虚拟专用网络 (VPN) 设置。

使用 VPN 和区域配送中心的挑战

VPN 和 RDC 可以简化设置与远程计算机的安全连接的任务。然而,它们缺乏灵活性或智能性来满足机器制造商的特定需求。机器制造商在使用 VPN 和 RDC 时必须考虑的五个关键要素是:

  1. 耗时的设置需要广泛的 IT 知识。 必须配置多个参数(包括 IP 地址、域名、密钥 ID、身份验证模式、合适的加密算法和高效的哈希函数),以便正确建立与远程计算机的连接并交换必要的身份验证密钥和数据。此过程复杂、耗时,并且需要广泛的 IT 知识,而大多数自动化工程师都不熟悉这些知识。

  2. 远程访问计算机需要企业安全策略中的折衷方案。 VPN 需要具有静态公共 IP 地址的服务器,并且必须将某些特定网络端口配置为允许入站和出站流量。在入站防火墙规则中,用户必须创建 NAT 规则,并让端口转发允许入站 VPN 连接。在出站防火墙中,需要配置 UDP 端口 500 或 4500 或其他一些指定端口来处理出站 VPN 连接。大多数 IT 部门都不愿意在其组织的网络中实施此类更改,因为它可能会造成网络漏洞并危及网络安全。事实证明,对于大多数 IT 部门(尤其是管理工业网络的 IT 部门)而言,创建安全灵活的防火墙规则是一项重大挑战。

  3. 保护远程连接涉及复杂性和高成本。机器制造商和机器操作员之间的 VPN 连接通常是站点到站点连接,通常使构建者能够远程访问工厂网络中的所有本地设备。工厂操作员希望限制机器制造商的访问,以便只能访问某些机器。例如,工厂操作员需要限制工厂设备的访问,并指定可以远程访问的应用程序,以防止未经授权访问生产信息以及未经授权或意外操作工厂设备。降低这种风险的唯一方法是IT部门使用VPN创建单独的端到端连接,这(如前所述)既复杂又昂贵,从而大大增加了设置和维护成本。

RDC连接同样麻烦,因为它们将工厂网络计算机暴露给公共网络,从而产生安全风险。计算机需要定期进行安全补丁更新,这些更新是在连接到公共网络(如工厂的Wi-Fi)时执行的。但是,在访问公共网络的窗口期间,工厂计算机容易受到攻击(如果它们也对RDC控制开放)。他们可能成为网络攻击的目标,并容易受到勒索软件注入的影响。缓解这些安全问题需要在人力资源和维护方面增加资源。

  1. VPN安全性很难管理。实现更高级别安全性的一种方法是为每个 VPN 隧道使用不同的预共享密钥或 X.509 证书。当所需的 VPN 隧道/连接数很少时,可以轻松管理这些连接的密钥或证书。但是,随着VPN隧道数量的增加,管理这些密钥和证书变得非常困难。更改 VPN 服务器或客户端系统时,必须重新生成证书。当证书过期时,必须分配并重新加载新证书,这进一步使维护复杂化。

  2. VPN 和 RDC 的可扩展性和灵活性带来了额外的成本。 VPN 服务器支持的 VPN 隧道数量通常受到限制。当业务增长时,越来越多的机器和设备连接到网络,越来越多的工程师支持业务运营。这导致所需的 VPN 连接增加。一旦此数字超过VPN服务器的能力,机器构建者需要安装新的VPN服务器并经历另一个耗时的配置过程。

VPN服务器通常位于机器制造商的集中式服务中心。远程站点中的许多 VPN 客户端连接到中心的 VPN 服务器。支持工程师在中心外时通常无法访问服务器。要从中心外部访问这些服务器(例如,通过OpenVPN或L2TP通过IPsec),它们必须安装在远程站点,并且每个服务器都需要一个公共IP地址。这导致高昂的安装和维护成本。此外,远程连接需要在服务器端和客户端使用不同的网络子网。如果工程师想要同时诊断不同站点上的远程设备,他们必须了解远程 IP 站点的 IP 子网配置,以防止 IP 地址冲突和其他问题。

同样,与PLC /控制器的远程桌面连接既不简单也不方便。它至少需要一台专用PC,其中安装了所有相关软件工具并将其连接到机器上。随着业务的增长,专用PC和软件工具许可证的数量不断增加,导致IT成本急剧上升。此外,管理人员需要考虑PC维护和安装在其上的软件工具。机器制造商更喜欢在客户端和主机上安装相同版本的软件工具,因为这简化了故障排除。为此,分配到维护部门的 IT 工程师需要在服务器和客户端之间协调软件工具的更新。

由于基于 VPN 和 RDC 的远程访问中的这些限制和限制,机器制造商和设备制造商需要一种易于使用、安全、灵活且可扩展的方法,他们可以用来远程管理机器和设备。

基于云的安全访问

基于云的访问是一种新型的安全远程访问,允许灵活地远程访问现场机器。其网络拓扑由三个组件组成:远程网关、云服务器和客户端软件。远程网关连接到现场设备以访问和控制它们。客户端软件安装在工程师的 PC 或桌面上。远程网关和客户端软件向云服务器发起出站安全连接请求。

促销和图形:G4促销和图形

基于云的安全远程访问网络。

云服务器安装在基于云的平台上,例如亚马逊网络服务或微软Azure。它映射连接请求,并在双方成功进行身份验证后,建立连接。

基于云的访问实现了网络拓扑,能够以远程访问隧道的形式创建出站连接,从而有效地克服了传统VPN和远程桌面控制技术带来的挑战。此外,基于云远程访问为机器制造商带来了以下好处:

易用性

a) 即插即用远程访问不需要技术配置。安全参数(如哈希函数和加密/解密算法)是自动配置的。机器制造商不需要配置这些参数;他们只需要点击一个按钮来建立远程连接。

b) 虚拟 IP 地址使多点访问变得毫不费力,无需现场 IP 重新配置。无论机器构建者设置的初始 IP 地址如何,基于云的软件都会为机器分配唯一的虚拟 IP 地址。机器制造商可以使用这些虚拟 IP 地址同时建立多个远程连接。此外,机器制造商可以对不同的现场站点使用相同的IP方案,而不必担心地址冲突,从而大大降低了安装成本。

c) 对连接进行集中监控和管理。云服务器是建立和管理远程连接的中心点。管理员可以通过连接到云服务器来监控每个连接的流量状态和数量。此外,管理员可以轻松管理客户端帐户、远程网关和证书,而无需频繁重新配置。基于云的服务器门户使管理员能够:

– 创建、取消或重新定义客户端访问。

– 通过集中式门户添加或删除远程网关和连接的设备。

– 让服务器充当集中式证书管理器,以自动分配 X.509 证书以远程访问连接,在证书验证之前挂起连接。

增强的安全性

a) 远程 PC 和设备之间的端到端加密可防止数据泄露。云服务器仅路由流量;它不会解密或存储传递的数据。

b) 机器制造商使用远程访问进行故障排除、监控、维护和诊断。远程访问通常不需要连续进行,因此可以根据需要使用,以最大限度地减少安全问题并降低成本,特别是当远程连接基于与容量相关的定价选项(如蜂窝技术)时。此外,机器操作员希望通过限制仅访问机器制造商所需的应用程序来防止机器制造商远程访问其本地网络上的所有应用程序,从而消除干扰工厂运营的风险。基于云的访问允许机器操作员启动或接受远程连接。此外,机器操作员可以建立规则,规定机器制造商可以远程使用哪些服务和应用程序,例如HTTPS或Telnet。他们还可以限制对特定服务工程师的访问。

c) 遵循 IT 安全策略,不折不扣。基于云的访问使用出站服务端口 443(通常为使用 SSL 的安全网站访问保留)构建出站连接来访问远程设备,这不会给管理工厂网络的 IT 部门带来任何问题。该访问可以与机器操作员的IT安全策略一起使用。

灵活性和可扩展性

a) 客户端软件不限于特定的硬件平台。用户可以将客户端软件下载到任何笔记本电脑/PC,并随时随地进行远程访问,只要他们拥有活跃的客户帐户即可。

b) 对设备的远程访问使用户能够像本地连接一样行事。

透明隧道将客户端与远程设备连接起来,就好像它们位于同一网络上一样。因此,无论访问的远程设备(例如,西门子PLC或罗克韦尔控制器)如何,并且独立于用于提取数据或编程的协议(例如L2广播数据包或L3 IP数据包),机器制造商都可以使用自己的软件工具远程获取数据或对远程设备进行编程,就好像他们坐在设备旁边一样。

c) 它通过让网络管理员轻松添加和删除设备以及管理客户帐户和证书来简化网络扩展。

OEM 和机器制造商需要安全、易用、按需和可扩展的远程访问现场机器。传统的VPN和RDC访问很麻烦,需要IT/网络知识,以及安全/防火墙策略的更改。由基于云的管理基础架构支持的远程访问可以提供 OEM 所需的易用性、灵活性和可扩展性,而不会影响安全性。


相关标签:
上一篇:没有了!下一篇:什么是loT物联网技术
相关产品