Accesul mobil al interfeței cu mașini umane (HMI) este necesar în multe aplicații de automatizare industrială. Există două metode utilizate în mod obișnuit - routere standard care nu necesită routere VPN și VPN găzduite de cloud - pentru a obține această conexiune la routere și rețele private virtuale (VPN).
Primul este routerul standard, care, în ciuda securității sale scăzute, este încă utilizat de multe aplicații HMI mobile existente și chiar de unele mai noi. Un avantaj major este că este ieftin, dar nu este recomandat, deoarece atunci când redirecționarea portului este activată într -un firewall, acesta expune rețeaua la amenințări externe și, prin urmare, prezintă un risc semnificativ de securitate a rețelei.
O altă abordare este utilizarea unui router VPN găzduit de cloud, care simplifică complexitatea tehnologiei informației (IT) prin crearea unei conexiuni criptate de la routerul VPN local la un router VPN găzduit de cloud pe Internet. Utilizatorii de la distanță pot accesa în siguranță componente și sisteme locale prin intermediul routerului VPN găzduit de cloud. Acest lucru nu numai că reduce riscurile de securitate a rețelei, dar simplifică configurația și întreținerea.
Al treilea tip de conexiune router implementată folosind un router VPN tradițional nu este luat în considerare în această lucrare, deoarece implică deschiderea conexiunilor de intrare și creează complexități și riscuri similare cu cele cu care se confruntă routerele standard.
Routere standard
Multe aplicații industriale utilizează routere și firewall -uri standard pentru protejarea rețelelor de companie și plante, care necesită utilizatorilor să configureze și să gestioneze manual toate setările de rutare și firewall. Acest tip de router nu are de obicei un VPN pentru a cripta date, dar creează porturi în firewall pentru redirecționarea utilizatorilor de la distanță pentru a accesa aplicații și componente specifice din rețeaua de plante.
Majoritatea utilizatorilor HMI doresc atât acces la distanță, cât și local. Conectarea unui computer portabil la un server Web HMI este comună pentru a monitoriza datele și a modifica punctele de referință și alți parametri sau pentru a utiliza software de programare pentru a vă conecta la HMI pentru depanare sau modificări ale programului.
Pentru a vă conecta de la distanță folosind un router standard, redirecționarea portului este de obicei configurată pentru a permite accesul la HMI sau la un computer local care rulează software de acces la distanță. PC -ul local oferă utilizatorului la distanță posibilitatea de a rula software -ul de programare HMI.
Aplicațiile mobile HMI necesită, de asemenea, redirecționarea porturilor, astfel încât utilizatorii de la distanță să poată accesa HMI -ul local pentru a controla sau vizualiza datele. Aceste aplicații oferă de obicei aceeași funcționalitate ca și accesul la distanță bazat pe browser, cu excepția faptului că accesul se face prin aplicație, mai degrabă decât printr-un browser.
Problema principală a acestei abordări este riscul de securitate asociat cu redirecționarea porturilor în aplicații mobile, precum și aplicații bazate pe PC. Un hacker poate determina cu ușurință ce porturi sunt deschise pe un firewall și poate accesa o companie sau o rețea de fabrică printr -un router.
În timp ce redirecționarea porturilor este foarte eficientă și utilă într -o companie sau rețea de fabrică, este extrem de periculos să utilizați această caracteristică pe interfețe de internet și intranet al companiei. Organizațiile de fabricație ar trebui să evite utilizarea acestei metode de router în noi instalații și să convertească în schimb instalațiile de router standard existente în conexiuni mai sigure, cum ar fi routerele VPN găzduite în cloud.
Router VPN găzduit de cloud
Un VPN găzduit de cloud oferă o conectivitate sigură cu configurarea simplă și configurația rețelei. O opțiune tipică VPN găzduită de cloud, include un router VPN local, un server VPN găzduit de cloud, un client VPN și componente de automatizare interconectate (Figura 1).
O conexiune sigură este stabilită după routerul local (situat în rețeaua de uzină/control) și clientul VPN (software instalat pe computerul portabil sau dispozitivul mobil al utilizatorului) sunt conectate fiecare la serverul VPN găzduit de cloud. Routerul local stabilește această conexiune imediat după pornire, dar clientul VPN se conectează doar atunci când primește o solicitare de autentificare de la un utilizator de la distanță. Odată stabilite ambele conexiuni, toate datele care trec prin acest canal VPN sunt sigure.
Majoritatea VPN-urilor găzduite de cloud oferă o alocare lunară de bandă gratuită pentru operațiuni de bază, iar dacă accesul la date este necesar dincolo de această limită, pot fi solicitate planuri suplimentare de lățime de bandă premium. De exemplu, un produs oferă 5 GB schimb de date VPN gratuit pe lună, ceea ce poate fi suficient pentru cele mai multe probleme de depanare, monitorizare și programare.
Riscurile de securitate sunt reduse atunci când un router local inițiază comunicarea cu un server printr -o conexiune de ieșire pe un port deschis standard, cum ar fi HTTPS. Acest lucru evită adesea modificările aduse firewall -ului IT al unei companii și poate satisface considerațiile de securitate IT. Pentru o încredere suplimentară, utilizatorii pot căuta un VPN găzduit de cloud cu un sistem de gestionare a securității informațiilor certificate de industrie (de exemplu, ISO/IEC27001: 2013.) Acest lucru arată că furnizorul a implementat un program de securitate și controale cuprinzătoare.
Un alt avantaj al VPN-urilor găzduite de cloud este simplitatea configurației routerului. Deoarece este un router local securizat care se conectează la un server cloud predefinit, routerul este pre-configurat cu setări complexe de rețea VPN, permițând astfel personalului non-IT să-l instaleze. Tot ce este necesar este să cunoașteți adresele IP ale componentelor de automatizare conectate la LAN și dacă furnizorul de servicii de internet (ISP) sau routerul de rețea la nivel de întreprindere (nu routerul VPN găzduit de cloud) furnizează dinamic sau static care oferă adresele IP .
Alte opțiuni avansate pot include înregistrarea datelor în cloud și notificările de alarmă care oferă un subset de funcționalitate HMI și sunt mai ușor de utilizat decât programarea personalizată. Aceste servicii permit utilizatorilor să înregistreze datele sistemului și să primească alerte de severitate personalizate pe dispozitivul lor mobil sau pe computerul portabil, oferind un istoric convenabil, bazat pe web, atunci când este necesar.
Acces la distanță bazat pe aplicații mobile
Din ce în ce mai mult, aplicațiile mobile acceptă HMI industriale și componente de control logic programabile (PLC). Funcțiile de monitorizare și control permit utilizatorilor să le acceseze de la distanță de oriunde în orice moment. Pentru a accesa în siguranță echipamentele industriale, dispozitivele mobile trebuie să utilizeze, de asemenea, tehnologia VPN pentru a cripta date de pe dispozitivul mobil la rețeaua de plante. Fără un VPN mobil, ar fi necesar să se deschidă porturile de firewall ale uzinei, creând un scenariu similar unui router standard și lăsând rețeaua de plante vulnerabile la atacurile cibernetice.
Utilizarea unui VPN găzduit oferă o conexiune VPN sigură pentru laptopuri și dispozitive mobile. Acesta din urmă se realizează printr-o aplicație mobilă complet activată VPN. Odată conectate în siguranță la rețeaua de plante prin intermediul aplicației VPN mobile, o aplicație terță parte HMI sau PLC poate fi deschisă și conectată la componentele locale HMI și PLC, acel utilizator mobil apărând practic ca și cum ar fi de fapt pe site.
Unele routere pot oferi, de asemenea, conectivitate laptop și dispozitiv mobil pentru VPN -urile găzduite. Aplicațiile Apple iOS și Google Android pentru dispozitivele mobile oferă utilizatorilor o conexiune sigură la rețeaua de plante. Unii furnizori VPN găzduiți de cloud oferă, de asemenea, acces la aplicații software de înregistrare a datelor bazate pe cloud, precum și widget-uri pentru configurarea tablourilor de bord personalizate pentru vizualizarea la distanță.
Această înregistrare în cloud încorporată este utilă în special pentru producătorii de echipamente originale (OEM), multe dintre ele având mii de mașini instalate în sute de locații din întreaga lume, fiecare cu mai mulți utilizatori. OEM va oferi fiecărui mașină un router VPN care este preconfigurat pentru a înregistra datele și conține tablouri de bord personalizate pentru vizualizare la distanță pe o aplicație mobilă. În afară de instalarea aplicației pe un smartphone sau tabletă, clientul OEM nu va trebui să configureze, să instaleze sau să mențină software -ul de acces la distanță altfel.
Pentru un acces mai larg la tablourile de bord, utilizatorii de la distanță pot utiliza un VPN mobil furnizat de furnizorul VPN găzduit pentru a accesa HMI -uri și PLC -uri locale prin intermediul aplicației. Anumite software HMI mobil pot funcționa mai sigur atunci când este utilizat cu routerul VPN al furnizorului. De asemenea, un computer poate accesa în siguranță dispozitivele locale din zona locală pentru programare, monitorizare sau depanare.