Cloudbasierter Zugriff versus VPN- und Remote-Desktop-Lösungen

Das IIoT hat den Überblick über Produktionsumgebungen durch das Erfassen von Maschinen- und Gerätedaten in Echtzeit zur effizienten Steuerung und Überwachung von Produktionsprozessen revolutioniert. Um die Produktionseffizienz zu steigern und Betriebskosten zu reduzieren, übernehmen Unternehmenseigner neue Technologien und Werkzeuge, die Ihnen mehr Einblick in Prozesse und Systeme verschaffen. Für Maschinenhersteller ist Fernzugriff der Schlüssel zum Erreichen dieser Ziele. Virtual Private Network (VPN) und Remote Desktop Connection (RDC), letzteres unter Nutzung von Virtual Network Computing (VNC), sind zwei weit verbreitete Methoden für den Fernzugriff auf Maschinen und Anlagen im Feld. Oft fehlt ihnen jedoch die Flexibilität oder Intelligenz, um die spezifischen Anforderungen der Hersteller zu erfüllen.

Wenn jene VPN und RDC einsetzen, sollten sie die folgenden fünf Punkte bedenken. Erstens: Ein zeitaufwendiger Installationsprozess, der umfangreiches IT-Wissen erfordert. Viele Parameter, einschließlich IP-Adresse, Domain-Name, Schlüssel-ID, Authentifizierungsmodus, passendem Verschlüsselungsalgorithmus und einer effizienten Hash-Funktion, müssen konfiguriert werden, um eine korrekte Verbindung mit dezentralen Maschinen zu erstellen und die nötigen Authentifizierungsschlüssel und -daten austauschen zu können. Dieser Prozess ist zeitintensiv und erfordert umfangreiches IT-Wissen.

Zweitens: Kompromisse bei den Unternehmens-Sicherheitsrichtlinien sind nötig, um den Fernzugriff auf Maschinen zu ermöglichen. In VPN-Anwendungen muss der VPN-Server eine statische öffentliche IP-Adresse haben sowie einige spezielle Netzwerkschnittstellen die für den Durchlass von ein- und ausgehendem Datenverkehr konfiguriert werden müssen. In den Regeln für die Eingangs-Firewall müssen Anwender NAT-Regeln erstellen und die Schnittstellenweiterleitung aktivieren, um eingehende VPN-Verbindungen zuzulassen. In der Ausgangs-Firewall müssen UDP-Port 500, UDP-Port 4500 oder eine andere bestimmte Schnittstelle konfiguriert werden, um ausgehende VPN-Verbindungen zuzulassen. Viele IT-Abteilungen wollen diese Änderungen im Unternehmensnetzwerk nicht vornehmen, da sie das Netzwerk angreifbar machen und seine Sicherheit kompromittieren.

Drittens: Komplexität und hohe Kosten sicherer dezentraler Verbindungen: VPN-Verbindungen zwischen Maschinenherstellern und -betreibern sind typischerweise Site-zu-Site-Verbindungen, die den Maschinenhersteller Fernzugriff auf alle lokalen Geräte in einem Standortnetzwerk gewähren. Standortbetreiber möchten den Netzwerkzugriff durch die Hersteller begrenzen, sodass nur eine bestimmte Auswahl an Maschinen zugänglich ist. Der einzige Weg, das Risiko für nicht autorisierte Zugriffe auf bestimmte Maschinen und Anwendungen zu mindern, ist das Erstellen separater Ende-zu-Ende-Verbindungen mittels VPN-Technology – was Komplexität, Zeitaufwand und Kosten für Installation und Wartung in die Höhe treibt. RDC-Verbindungen sind gleichermaßen schwierig, da sie die Computing-Ausstattung im Standortnetzwerk dem öffentlichen Netzwerk aussetzen und damit Sicherheitsrisiken hervorrufen. Computer brauchen regelmäßige Updates der Security-Patches, die ausgeführt werden, wenn sie mit einem öffentlichen Netzwerk wie dem Wi-Fi-Netz des Standorts, verbunden sind.

Viertens: VPN-Sicherheit ist schwer zu verwalten. Ein Weg, um ein höheres Sicherheitsniveau zu erreichen, sind verschiedene Pre-Shared Keys oder X.509-Zertifikate für jeden VPN-Tunnel. Wenn nur wenige VPN-Tunnel/-Verbindungen nötig sind, lassen sich die Keys und Zertifikate einfach verwalten. Mit steigender Anzahl wird es jedoch schwieriger. Wenn VPN-Server oder Client-Systeme gewechselt werden, müssen die Zertifikate neu generiert werden. Läuft ein Zertifikat ab, muss ein neues zugewiesen und ins System geladen werden, was die Wartung weiter erschwert

Fünftens: Die Skalierbarkeit und Flexibilität von VPN und RDC haben hohe Kosten: VPN-Server können üblicherweise nur eine begrenzte Anzahl von VPN-Tunneln unterstützen. Wächst ein Unternehmen, werden immer mehr Maschinen und Geräte in ein Netzwerk eingebunden, und die Anzahl erforderlicher Support-Ingenieure steigt. Auch die VPN-Verbindungen werden mehr, und wenn sie die Kapazität des VPN-Servers sprengen, muss ein zweiter installiert und zeitaufwendig konfiguriert werden.

VPN-Server stehen normalerweise in der Servicezentrale der Maschinenhersteller. Support-Ingenieure haben von außen selten Zugriff auf sie. Um diesen zu ermöglichen, zum Beispiel über OpenVPN oder L2TP über IPsec, müssen die VPN-Server dezentral installiert werden, und jeder von ihnen benötigt eine öffentliche IP-Adresse – was zu hohen Installations- und Wartungskosten führt. Zusätzlich dazu erfordert der Fernzugriff verschiedene Netzwerk-Subnetze auf Server-Seite sowie auf Client-Seite. Wenn Ingenieure simultan dezentrale Anlagen diagnostizieren wollen, müssen sie sich der IP-Subnetzkonfigurationen bewusst sein, um IP-Adressenkonflikte und andere Probleme zu vermeiden. Gleichsam ist eine dezentrale Desktop-Verbindung zu einer SPS/ einem Controller weder einfach noch komfortabel. Sie erfordert zumindest einen fest zugeordneten PC, der an die Maschine angebunden ist und über alle relevanten Software-Tools verfügt. Mit dem Wachstum eines Unternehmens wächst auch die Anzahl der PCs und Software-Lizenzen. Das führt zu einem Anstieg der IT-Kosten. Zusätzlich dazu müssen die Kosten für die Wartung der PCs und der auf ihnen installierte Software-Tools bedacht werden. Maschinenhersteller bevorzugen identische Softwareversionen auf den Host- und Client-Maschinen, um die Fehlersuche- und behebung zu vereinfachen. Um das tun zu können, muss der Wartungsingenieur alle Software-Updates zwischen Server und Client koordinieren.

Cloudbasierter Fernzugriff ist eine neuartige Lösung, die den flexiblen Zugriff auf Maschinen im Feld ermöglicht. Die Netzwerktopologie besteht aus drei Elementen: dem dezentralen Gateway, Cloud-Server und Client-Software. Die Gateways werden an die Ausstattung im Feld angebunden, sodass sie dezentral auf diese zugreifen und sie steuern können. Die Client-Software wird auf dem PC oder Desktop des Ingenieurs installiert. Der Cloud-Server kann auf einer cloudbasierten Plattform wie Amazon Web Service oder Microsoft Azure installiert werden. Das Gateway und die Client-Software lösen beide ausgehende sichere Verbindunganfragen an den Cloud-Server aus. Der Cloud-Server ordnet die beiden Anfragen zu und nach erfolgreicher Authentifizierung auf beiden Seiten wird eine Verbindung erstellt.Cloudbasierte Fernzugriffslösungen nutzen eine Netzwerktopologie, welche das Erstellen ausgehender Verbindungen in Form eines dezentralen Zugangstunnels ermöglicht und damit effektiv die Herausforderungen herkömmlicher VPN- und Remote-Desktop-Steuerungstechnologien meistert. Des Weiteren bietet der cloudbasierte, dezentrale Zugriff weitere Vorteile. Erstens: Bedienkomfort. Zum Bedienkomfort gehört ein dezentraler Plug-and-Play Zugriff ohne technische Konfiguration. In einer cloudbasierten dezentralen Zugrifflösung werden Sicherheitsparameter, wie die Hash-Funktionen, Verschlüsselungs-/ Entschlüsselungsalgorithmen und so weiter automatisch konfiguriert. Die Verbindung wird per Knopfdruck erstellt. Virtuelle IP-Adressen erfordern keine IP-Neukonfiguration im Feld und machen den Multi-Point-Fernzugriff mühelos: Unabhängig von den ursprünglich vom Maschinenhersteller eingerichteten IP-Adressen weisen cloudbasierte Lösungen den Maschinen spezifische virtuelle IP-Adressen zu. Mit diesen lassen sich mehrere simultane dezentrale Verbindungen erstellen. Zusätzlich dazu können identische IP-Schemata an verschiedenen Feldstandorten genutzt werden, ohne sich über IP-Adressenkonflikte Gedanken machen zu müssen. Dadurch sparen Maschinenhersteller erheblich bei den Installationskosten. Außerdem wird die Fernzugriffslösung wird zentral überwacht und verwaltet.

Cloudbasierte Fernzugriffslösungen bieten Ende-zu-Ende-Verschlüsselung zwischen dezentralen Geräten und dem PC eines Ingenieurs. Der Cloud-Server sendet den Datenverkehr nur, er entschlüsselt oder speichert die durchgeleiteten Daten nicht. Fernzugriffssteuerung auf Abruf: Maschinenhersteller nutzen dezentrale Zugriffslösungen, um die Fehlersuche und -behebung, Überwachung, Wartung und Diagnose auszuführen. Fernzugriff auf Maschinen und Anlagen ist üblicherweise nicht dauerhaft nötig und kann bei Bedarf genutzt werden, um Sicherheitsrisiken sowie Kosten zu reduzieren. Das gilt insbesondere für Fälle, in denen der Fernzugriff auf volumengesteuerten Preisstrukturen basiert, wie zum Beispiel Mobilfunk. Des Weiteren möchten Maschinenbetreiber die Hersteller davon abhalten, auf sämtliche Anwendungen auf ihrem lokalen Netzwerkgerät zugreifen zu können. Sie begrenzen den Zugriff auf relevante Anwendungen. Mit der Cloud-Lösung können dezentrale Verbindungen erstellt oder angenommen werden. Außerdem lassen sich Regeln für Dienste und Anwendungen, wie HTTPS oder Telnet, erstellen, indem der Zugriff zum Beispiel auf bestimmte Personen begrenzt wird. Cloudbasierte Fernzugriffslösungen erstellen ausgehende Verbindungen über den Ausgangs-Service-Port 443 (normalerweise für sicheren Webseiten-zugang über SSL reserviert), um auf dezentrale Geräte zuzugreifen. IT-Abteilungen haben damit keine Probleme – cloudbasierte Fernzugriffslösungen können also harmonisch mit den IT-Richtlinien von Maschinenbetreibern arbeiten.

Drittens: Flexibilität und Skalierbarkeit. Die Client-Software ist nicht auf eine spezifische Hardware-Plattform begrenzt. Außerdem erstellen cloudbasierte Fernzugriffslösungen einen transparenten Tunnel, der den Client mit den dezentralen Maschinen so verbindet, als wären sie im selben Netzwerk. Unabhängig von der Art des Geräts, auf das zugegriffen wird, beispielsweise eine Siemens SPS oder ein Rockwell Controller, und unabhängig vom Protokoll, das zur Datenerfassung oder Programmierung genutzt wird, zum Beispiel ein L2 Broadcast-Packet oder ein L3 IP-Packet, können Maschinenhersteller mit eigenen Software-Werkzeugen derart Daten dezentral erfassen oder Geräte dezentral programmieren, als würden sie direkt daneben sitzen. Und noch ein Vorteil: Netzwerkadministratoren können zur Erweiterung dezentraler Netzwerke ihre Geräte einfach hinzufügen oder entfernen sowie Client-Accounts und -Zertifikate verwalten. aru