- IT&Production - https://www.it-production.com -

Virtuelle Cyber-Sicherheit für die Automation

Steuern und Bedienen mit sicheren IPC

Virtuelle Cyber-Sicherheit für die Automation

Steuerungs- und Bediensysteme benötigen Schutzfunktionen für IT- und Netzwerksicherheit. Eine Herangehensweise stellen vorgeschaltete Security-Appliances mit dedizierter Hardware dar, doch Kostendruck und leistungsfähige Prozessoren führen eher zur Hardware-Konsolidierung. Als Alternative beginnt daher die Virtualisierung, die industrielle Automation zu erfassen.

Bild: Innominate

Mit der Vernetzung von Maschinen und Anlagen ergeben sich neue Möglichkeiten für die IT-Integration von Prozessen und den Teleservice über Fernverbindungen − aber auch Herausforderungen im Bereich der Cyber-Sicherheit. Lösungen mit dedizierten Sicherheitsgeräten haben zwar den Vorteil einer physischen Trennung von Nutz- und Schutzfunktionen, die einander nicht beeinflussen und unabhängig voneinander entwickelt werden können. Ihr Einsatz scheitert infolge der zusätzlich benötigten Hardware aber häufig an Kostenrestriktionen. Gleichzeitig ist eine permanente Verbesserung beim Preis-Leistungs-Verhältnis von Prozessoren und Speichern zu beobachten. Dies erleichtert die Verlagerung von Hardwarekomponenten zu Software-Funktionen auf einer gemeinsamen Plattform, begrenzt durch die notwendige Modularisierung, ohne die sich technische Risiken nicht beherrschen und Subsysteme verschiedener Zulieferer nicht integrieren lassen. Virtualisierung ist dabei ein Schlüssel, um die Kostenvorteile weiterer Hardware-Konsolidierung bei gleichzeitiger Modularisierung nutzen zu können. Dies führt uns zum Konzept virtueller Security Appliances für die Automation.

Virtualisierung in IT und Automation

Die Virtualisierung von Client- und Server- Systemen ist in der Unternehmens-IT heute Stand der Technik. Typischerweise werden die virtuellen Systeme im Netzwerk auf einer Server-Farm betrieben. Die Bereitstellung und der koordinierte Betrieb virtueller Maschinen auf einer gemeinsamen Hardware erfolgen dabei durch eine als Hypervisor oder Virtual Machine Manager bezeichnete Software. Zwei Typen von Hypervisoren und zwei Ansätze zur Virtualisierung werden gewöhnlich unterschieden:

Typ 1: Hypervisoren laufen direkt auf der Hardware und koordinieren nur die vorhandenen Hardware-Ressourcen.

Typ 2: Hypervisoren laufen als Applikation in einem Wirtssystem. Die erzielbare Performance wird durch die zusätzliche Betriebssystemschicht reduziert.

Beim Ansatz der Hardware-Virtualisierung wird jedem originalen Gastsystem ein vollständiger, simulierter Computer vorgegaukelt. Das unveränderte Gastsystem läuft mit seiner eigenen Zeitscheibenverwaltung ohne Kenntnis der virtualisierten Umgebung, was eine Echtzeitfähigkeit typischerweise verhindert. Das Gastsystem kann je nach Plattform und Implementierung zum Teil direkt auf unterliegende Hardware-Komponenten zugreifen. Andere Komponenten müssen komplett simuliert werden, was einen komplexen Hypervisor oder eine Hardware-Plattform mit Unterstützung für Virtualisierung erfordert. Die Performance des Gastsystems kann gleichwertig zu einem allein laufenden System sein, solange keine Ein-/Ausgabe-Operationen (E/A) über simulierte Komponenten ausgeführt werden. Beim Ansatz der Para-Virtualisierung müssen hingegen die Gastsysteme für ihr erfolgreiches Zusammenspiel mit dem jeweiligen Hypervisor modifiziert werden. Zeitscheiben- und Speicherverwaltung können dadurch enger verflochten und so auch Echtzeitverhalten erzielt werden. Die interne Kommunikation zwischen Gastsystemen oder Gastsystem und Hypervisor erfolgt über effiziente spezialisierte Schnittstellen. In der Automation und Steuerungstechnik liegen die Anforderungen jedoch anders als in der IT. Die hier eingesetzten Systeme arbeiten auf dedizierter Hardware mit wenig oder ohne Operatoreingriff. Steuerungskomponenten haben typischerweise Echtzeitanforderungen, während Mensch-Maschine- Schnittstellen meistens Applikationen auf einem Windows-Betriebssystem sind. In dieser Umgebung verspricht eingebettete Virtualisierung, die mit einem hybriden Ansatz native Windows Installationen mit weiteren nicht modifizierten Gastsystemen auf einer strikt partitionierten Multi-Core-PC-Plattform mit Unterstützung für Virtualisierung kombiniert, besonderen Nutzen.

Virtuell abgesicherter Industrie-PC

Bei dem von Innominate entwickelten Hypesecured- Konzept werden Automatisierungskomponenten − etwa ein Steuerungs- oder Bediensystem − und eine virtuelle mGuard- Security-Appliance mithilfe eines eingebetteten Virtual Machine Managers auf einer einzigen Hardware integriert. Dies erschließt den Automatisierungskomponenten die Vorteile einer vorgeschalteten Security Appliance zu reduzierten Hardware-Kosten. Die Automatisierungskomponenten können so vor unbefugten Zugriffen und Angriffen durch Schadsoftware geschützt werden. Zusammen mit dem Technologie-Partner Tenasys hat der Anbieter von Sicherheitslösungen am Beispiel eines Industrie-PC (IPC) demonstriert, dass eingebettete Virtualisierung und Cyber-Sicherheit reif für den produktiven Einsatz sind. Das Exponat nutzt den ‘Tenasys EVM for Windows Embedded Virtual Machine Manager’, um ein original Windows Betriebssystem mit der virtuellen Security Appliance auf einem Standard-IPC zu integrieren. Die Netzwerkkommunikation zwischen dem WinWindows- System und der externen Umgebung wird durch die virtuelle Security Appliance kontrolliert, welche dem PC-System Firewall, Virtual Private Network (VPN) und Integritätsüberwachende Dienste zur Verfügung stellt. Die interne Kommunikation zwischen dem Windows-System und der Security Appliance erfolgt durch eine virtuelle Ethernet-Schnittstelle. Die für das Exponat genutzte Hardware ist ein handelsüblicher IPC, ausgestattet mit einem Intel Core 2 Duo-Prozessor (CPU) mit VT-X Support, zwei Gigabyte RAM und dualen Gigabit Ethernet Schnittstellen.

Umfassender Schutz der Netzwerkkommunikation



Architektur eines abgesicherten Industrie-PC: Der Embedded Virtual Machine Manager wird über das Windows-System installiert und administriert. Dabei werden zwei Domänen für Betriebssystem und Sicherheitsappliance eingerichtet, die physischen Ethernet-Schnittstellen kontrollieren die Sicherheitslösung.
Bild: Innominate

Der dabei eingesetzte Embedded Virtual Machine Manager ist ein kompaktes Software- Paket, das über Windows installiert und administriert wird. Es partitioniert die CPU in zwei Kerne und System-Domänen für Windows und das Security-Gastsystem. Beide Systemen booten dabei ‘nativ’, also exakt so, als ob sie allein laufen würden. Peripheriekomponenten, insbesondere die physikalische Ethernet Schnittstelle, werden jeweils exklusiv einem der Systeme zugewiesen. Durch die Virtualisierungssoftware ist auf Intel-Plattformen mit VTD Support keine Para-Virtualisierung und Modifikation der Sicherheitslösung erforderlich: Das linuxbasierte, originale Firmware-Image läuft auf einem dedizierten Kern der geteilten CPU. Diese virtuelle Lösung stellt einen umfassenden Schutz der Netzwerkkommunikation des PC dar, da ihm die physische Ethernet Schnittstelle zur externen Umgebung exklusiv zugewiesen ist.

Auch ein Schutz gegen Denialof- Service-Attacken (DOS) lässt sich durch diese direkte Hardware-Kontrolle realisieren: Selbst im Extremfall können höchstens die virtuelle Security Appliance überlastet und externe Pakete verzögert oder verworfen werden. Aufgrund der strikten Partitionierung der CPU-Kerne und System-Domänen bleiben die Windows-Partition oder potenzielle weitere Gastsysteme davon unbeeinträchtigt. Ein Zugriff auf den PC und sein Windows-System wird durch die Firewall blockiert, solange er nicht durch eine allgemeine statische oder benutzerspezifisch dynamische Firewall-Regel autorisiert wird. Durch die integrierte Virtual Private Network Funktion (VPN) kann der Zugriff auch gesichert mit Authentifizierung und Verschlüsselung aus der Ferne erfolgen. VPN-Tunnel werden dabei terminiert, das Windows System sieht nur normale IP-Kommunikation.

Cyber-Sicherheit zu vertretbaren Kosten

Durch eingebettete Virtualisierung mit einem geeigneten Virtual Machine Manager ist eine zukunftsweisende Konsolidierung von Funktionen der industriellen Automation und der Cyber-Sicherheit auf einer kostenoptimierten Hardware möglich, welche die Modularität und Vorteile dedizierter Einzelgeräte bewahrt. Die vorgestellte HyperSecured Lösung ist dabei nicht generell auf nur ein geschütztes Windows System beschränkt. Sie wird auch ermöglichen, zusätzliche CPU-Kerne mit eigenen nativen Gastsystemen einschließlich Echtzeit-Betriebssystemen und -Steuerungen zu nutzen.