Anzeige

Steuern und Bedienen mit sicheren IPC

Virtuelle Cyber-Sicherheit für die Automation

Beitrag drucken

Virtuell abgesicherter Industrie-PC

Bei dem von Innominate entwickelten Hypesecured- Konzept werden Automatisierungskomponenten − etwa ein Steuerungs- oder Bediensystem − und eine virtuelle mGuard- Security-Appliance mithilfe eines eingebetteten Virtual Machine Managers auf einer einzigen Hardware integriert. Dies erschließt den Automatisierungskomponenten die Vorteile einer vorgeschalteten Security Appliance zu reduzierten Hardware-Kosten. Die Automatisierungskomponenten können so vor unbefugten Zugriffen und Angriffen durch Schadsoftware geschützt werden. Zusammen mit dem Technologie-Partner Tenasys hat der Anbieter von Sicherheitslösungen am Beispiel eines Industrie-PC (IPC) demonstriert, dass eingebettete Virtualisierung und Cyber-Sicherheit reif für den produktiven Einsatz sind. Das Exponat nutzt den ‘Tenasys EVM for Windows Embedded Virtual Machine Manager’, um ein original Windows Betriebssystem mit der virtuellen Security Appliance auf einem Standard-IPC zu integrieren. Die Netzwerkkommunikation zwischen dem WinWindows- System und der externen Umgebung wird durch die virtuelle Security Appliance kontrolliert, welche dem PC-System Firewall, Virtual Private Network (VPN) und Integritätsüberwachende Dienste zur Verfügung stellt. Die interne Kommunikation zwischen dem Windows-System und der Security Appliance erfolgt durch eine virtuelle Ethernet-Schnittstelle. Die für das Exponat genutzte Hardware ist ein handelsüblicher IPC, ausgestattet mit einem Intel Core 2 Duo-Prozessor (CPU) mit VT-X Support, zwei Gigabyte RAM und dualen Gigabit Ethernet Schnittstellen.

Umfassender Schutz der Netzwerkkommunikation



Architektur eines abgesicherten Industrie-PC: Der Embedded Virtual Machine Manager wird über das Windows-System installiert und administriert. Dabei werden zwei Domänen für Betriebssystem und Sicherheitsappliance eingerichtet, die physischen Ethernet-Schnittstellen kontrollieren die Sicherheitslösung.
Bild: Innominate

Der dabei eingesetzte Embedded Virtual Machine Manager ist ein kompaktes Software- Paket, das über Windows installiert und administriert wird. Es partitioniert die CPU in zwei Kerne und System-Domänen für Windows und das Security-Gastsystem. Beide Systemen booten dabei ‘nativ’, also exakt so, als ob sie allein laufen würden. Peripheriekomponenten, insbesondere die physikalische Ethernet Schnittstelle, werden jeweils exklusiv einem der Systeme zugewiesen. Durch die Virtualisierungssoftware ist auf Intel-Plattformen mit VTD Support keine Para-Virtualisierung und Modifikation der Sicherheitslösung erforderlich: Das linuxbasierte, originale Firmware-Image läuft auf einem dedizierten Kern der geteilten CPU. Diese virtuelle Lösung stellt einen umfassenden Schutz der Netzwerkkommunikation des PC dar, da ihm die physische Ethernet Schnittstelle zur externen Umgebung exklusiv zugewiesen ist.

Auch ein Schutz gegen Denialof- Service-Attacken (DOS) lässt sich durch diese direkte Hardware-Kontrolle realisieren: Selbst im Extremfall können höchstens die virtuelle Security Appliance überlastet und externe Pakete verzögert oder verworfen werden. Aufgrund der strikten Partitionierung der CPU-Kerne und System-Domänen bleiben die Windows-Partition oder potenzielle weitere Gastsysteme davon unbeeinträchtigt. Ein Zugriff auf den PC und sein Windows-System wird durch die Firewall blockiert, solange er nicht durch eine allgemeine statische oder benutzerspezifisch dynamische Firewall-Regel autorisiert wird. Durch die integrierte Virtual Private Network Funktion (VPN) kann der Zugriff auch gesichert mit Authentifizierung und Verschlüsselung aus der Ferne erfolgen. VPN-Tunnel werden dabei terminiert, das Windows System sieht nur normale IP-Kommunikation.

Cyber-Sicherheit zu vertretbaren Kosten

Durch eingebettete Virtualisierung mit einem geeigneten Virtual Machine Manager ist eine zukunftsweisende Konsolidierung von Funktionen der industriellen Automation und der Cyber-Sicherheit auf einer kostenoptimierten Hardware möglich, welche die Modularität und Vorteile dedizierter Einzelgeräte bewahrt. Die vorgestellte HyperSecured Lösung ist dabei nicht generell auf nur ein geschütztes Windows System beschränkt. Sie wird auch ermöglichen, zusätzliche CPU-Kerne mit eigenen nativen Gastsystemen einschließlich Echtzeit-Betriebssystemen und -Steuerungen zu nutzen.


Das könnte Sie auch interessieren:

Seit gut eineinhalb Jahren betreibt Simus Systems eine Online-Plattform, auf der Auftraggeber und Auftragnehmer die Metallbearbeitung von Bauteilen kalkulieren - und das Interesse am Tool ist rege. Anwender laden ihr CAD-Modell hoch und erhalten eine valide Vorkalkulation des geplanten Bauteils.‣ weiterlesen

Erst die Interoperabilität von Maschinen und Anlagen ermöglicht Unternehmen die Teilhabe an neuen digitalen Strukturen und ist Grundvoraussetzung für neue digitale Geschäftsmodelle. Durch interoperable Schnittstellen können neue Maschinen effizienter integriert werden. Die VDMA-Studie ‘Interoperabilität im Maschinen- und Anlagenbau‘ zeigt die Relevanz von interoperablen Schnittstellen und dazugehörigen Standards in den Unternehmen.‣ weiterlesen

Im Gewerbebau gehört ein differenziertes Zutrittsmanagement zum Standard der meisten Ausschreibungen. Für Betriebe lohnt es, sich mit dem Thema zu beschäftigen. Denn die Infrastruktur sollte später neue Anforderungen im Besuchermanagement ohne hohe Mehrkosten abbilden können.‣ weiterlesen

Die Vor- und Nachteile von SQL-, NoSQL- und Cloud-Datenbanken in Produktionsumgebungen werden noch immer diskutiert. Es wird höchste Zeit für ein Datenbankmanagement-System, das die Stärken aller drei miteinander verbindet.‣ weiterlesen

Predictive Maintenance, oder auch vorausschauende Instandhaltung, bildet einen der primären Anwendungsfälle im Spektrum der Industrie 4.0. Doch noch sind viele Unternehmen von den Ergebnissen enttäuscht, nachdem ihnen die technische Umsetzung gelungen ist. Eine planvolle Roadmap beugt dem vor, indem ein vorteilhafter Rahmen um das Werkzeug gezogen wird.‣ weiterlesen

Das Systemhaus Solid System Team wird von einer Doppelspitze geleitet. Neben Werner Heckl ist seit 1. April auch Torsten Hartinger mit der Geschäftsführung betraut.‣ weiterlesen

Materialise erwirbt Kaufoption von MES-Anbieter Link3D. Mögliche Übernahme könnte den Weg zum cloudbasierten Zugriff auf die 3D-Druck-Software-Plattform von Materialise ebnen.‣ weiterlesen

Ist die IoT-Infrastruktur in der Fertigung erst einmal installiert, müssen die erfassten Daten analysiert und in Nutzen überführt werden. Dabei kommt Event-Streaming-Technologie vor allem dann in Frage, wenn Anwender ihre Daten echtzeitnah verarbeiten wollen.‣ weiterlesen

Frank Possel-Dölken (Phoenix Contact) ist neuer Vorsitzender des Lenkungskreises der Plattform Industrie 4.0. Er übernimmt das Amt von Frank Melzer (Festo).‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige