Secure Cloud: Easy connected, best protected. Dé beveiliging bij remote access

From |

Dankzij het internet kunnen we tegenwoordig (bijna) wereldwijd met elkaar communiceren. Dat geldt inmiddels ook voor machines! Wanneer we met een machine op afstand communiceren praten we over remote access of remote service/maintenance. Maar waarom willen we dat eigenlijk? Om op deze vraag antwoord te kunnen geven, moeten we ons verplaatsen in zowel de schoenen van de leverancier van de machine als ook in de schoenen van de machine-eigenaar. Eén ding is zeker: zorg voor een goede beveiliging.

Wanneer we vanuit beide invalshoeken naar remote access kijken, kunnen we de volgende voordelen benoemen:

  • Geen reistijd
  • Kortere servicetijd indien er toch op locatie iets vervangen moet worden doordat men beter voorbereid ter plaatse komt
  • Verhoogde beschikbaarheid door snellere diagnose
  • Voordelen tijdens de productie en het testen van de machine

Bovenstaande punten hebben alle als gevolg dat er kosten bespaard kunnen worden. Dat is mooi, maar er moeten wel een paar voorwaarden gelden:

  • Remote access moet op een veilige manier
  • Het moet makkelijk zijn – gemak en veiligheid gaan doorgaans niet hand in hand.
  • De machine-eigenaar beslist wanneer een derde partij toegang zal hebben tot zijn machines

Het uiteindelijke doel is het op afstand veilig kunnen servicen van een machine, waar ook ter wereld. Er zijn echter obstakels die dit niet zo eenvoudig maken. Firewalls kunnen de connectieverzoeken tegenhouden. En een VPN-tunnel kan ook extra risico’s introduceren:

1: Wie heeft er toegang tot de machines en wanneer?

2: Welk verkeer is toegestaan in deze tunnel

3: Wie kan ik bereiken via deze tunnel (hele machinepark + kantoor, één machine of alleen de PLC in die ene machine?)

Ethernet

Ethernet is al lange tijd aanwezig op de productievloer en heeft dankzij op ethernet gebaseerde veldbussen (o.a. Profinet) een opmars gemaakt tot op sensor/actor niveau. Dit biedt tal van voordelen, ook voor remote service omdat men nu van op afstand ook tot op sensorniveau kan meekijken. Maar voordelen hebben vaak ook een keerzijde. In dit geval introduceert ethernet tot op sensorniveau ook een risico: wanneer er een virus op het netwerk aanwezig is, kan deze tot op sensorniveau invloed hebben.

Integratie

Laten we eerste eens kijken hoe een (industrieel) netwerk er uit zou kunnen zien.

Stel je een netwerk voor waar 3 machines van verschillende fabrikanten op aangesloten zijn. Wanneer verschillende machines op 1 netwerk gekoppeld worden, krijgen we te maken met mogelijke IP-conflicten. Dit is ontoelaatbaar en dient eerst opgelost te worden voordat deze machines in bedrijf kunnen worden genomen. Laat staan dat ze al vanaf afstand geserviced kunnen worden. Dit ‘IP-probleem’ parkeren we even onder de noemer ‘Integratie’. Hier komen we later op terug.

Security

Een tweede uitdaging is de security, met betrekking tot derden. Een laptop van een ‘vreemde’ aansluiten op het (machine) netwerk kan verstrekkende gevolgen hebben.

Wanneer er geen maatregelen zijn getroffen, biedt de centrale (IT) firewall hier geen bescherming en loopt het complete machinepark gevaar! Dit probleem parkeren we ook even. Nu onder de noemer ‘security’.

Remote access

Er is nóg een uitdaging; de IT-firewall laat geen binnenkomende connecties toe. Dus hoe is dan een tunnel op te bouwen naar de machine? Dit probleem parkeren we onder de noemer ‘remote access’.

We hebben dus oplossingen nodig voor 3 problemen, te weten integratie, security en remote access.

We beginnen met de eerste: IP-conflicten

Het IP-conflict probleem is op te lossen middels bijvoorbeeld 1:1 NAT.

Dit biedt de mogelijkheid om de gebruikte IP-adressen in de machine te vertalen naar een ander adressenbereik, die van het productienetwerk. Hierdoor kan er in de machine altijd met gestandaardiseerde IP-adressen worden gewerkt, wat in het kader van standaardisatie erg wenselijk is. Dit biedt bijvoorbeeld voordelen bij standaard testprocedures en het productieproces van de machine maar ook voor het onderhoud van de machine).

1:1 NAT heeft als grote voordeel dat er niet gerouteerd hoeft te worden. 1:1 NAT is hiermee een zeer geschikte keuze om het integratieprobleem op te lossen.

Security door segmentatie

Op naar het volgende punt: Security. Wanneer een besmette laptop van een externe (service)partij wordt verbonden met het netwerk, kunnen de gevolgen groot zijn.

Tot op kantoorniveau kan er schade ontstaan! Segmentatie is hier noodzakelijk om dit probleem in te dammen. Te beginnen met een scheiding tussen kantoor en productie.

Verdere segmentatie zorgt ervoor dat de effecten van een besmetting enkel tot die ene machine beperkt blijven. Per segment kan dan worden aangegeven welke communicatie mogelijk moet zijn. Bijvoorbeeld communicatie tussen een PLC in een machine en een SQL-server in het productienetwerk. Ook kan men er voor kiezen om het deurcontact van de machine op de firewall aan te sluiten zodat al het verkeer tegengehouden wordt als de kastdeur open staat.

Laatste punt: remote access

Om toegang te krijgen van buitenaf zijn er verschillende mogelijkheden. Eén daarvan is port-forwarding, maar vanwege securitymogelijkheden is dit niet aan te raden. Ook een binnenkomende VPN-tunnel is niet ideaal omdat u dan afhankelijk bent van de IT-afdeling die de binnenkomende tunnel moet configureren op de firewall.

Een iets betere oplossing is het gebruik van een uitgaande VPN-verbinding. Maar waar gaat deze tunnel dan naartoe? Een centraal servicenetwerk in eigen beheer is een goede optie. Door 1 tunnel te gebruiken voor het hele productienetwerk, kan de engineer het hele productienetwerk bereiken. Dit heeft nog steeds als groot nadeel dat hiermee niet goed gereguleerd kan worden wie er toegang heeft tot welke (deel)machine. Een betere oplossing is het hub-and-spoke principe waarbij elke machine zijn eigen VPN-tunnel heeft. Maar hoe zit het dan met de security IN de tunnel? Als er geen verdere maatregelen worden genomen is namelijk elk verkeer mogelijk door de tunnel, dus ook ongewenst verkeer. Gelukkig bieden wij u de mogelijkheid om in de tunnel restricties op te leggen door het bieden van een firewall per tunnel.

Secure Cloud

Een centrale (eigen) datacenter heeft ook een nadeel, omdat hiermee een hogere investering noodzakelijk is en u zelf het onderhoud aan deze systemen moet doen. U kunt in plaats daarvan ook gebruik maken van onze Secure Cloud oplossing!

In de cloud kunt u eenvoudig de benodigde bestanden genereren voor de hardware (mGuard en VPN client). Deze bestanden installeert u op de hardware en daarmee bent u verzekerd van een beveiligde verbinding volgens de hoogste standaarden (IPSec + AES encryptie). Met als resultaat: twee uitgaande verbindingen die samen komen in de Secure Cloud. Veilig en eenvoudig!

Reageer gerust

Wij informeren u natuurlijk graag over de juiste oplossingen voor securityvraagstukken in de industriële omgeving en remote access. Maar we zijn ook benieuwd naar uw mening over dit onderwerp. Reageert u dus gerust in de comments.

Call to action banner_cyber compendium_download

Share

Share

Tell your friends about us!

Contact

Leave a Reply

Your email address will not be published. Required fields are marked *