Produkt

Lösungen

Ressourcen

Team

Wie Edge Devices nicht zur Sicherheitslücke werden

Deniz Saner

Deniz Saner

|

01.06.2023

01.06.2023

|

Wiki

Wiki

|

10

10

Minuten Lesezeit

Minuten Lesezeit

Es freut uns, Sie wieder begrüßen zu dürfen! Da wir bereits bei Blogpost 5 angekommen sind, beginnen wir zunächst mit einer kurzen Zusammenfassung der bisherigen Beiträge:

  1. OPC-UA ist kein Standard, auf den man zählen kann - Wenn man Maschinendaten erfassen möchte, muss man Steuerungen und Peripheriegeräte direkt anschließen

  2. Heutzutage wird durch Punkt-zu-Punkt Verbindungen ein unübersichtliches, fragiles Netz an Datenintegrationen geschaffen. IIoT-Plattformen wie die ENLYZE Data Platform hingegen zeichnen Produktionsdaten auf und machen sie für Systeme zugänglich. Außerdem ist die Integration neuer Datenquellen spielerisch einfach.

  3. Um skalierbare Applikationen und Workflows auf Maschinen- und Produktionsdaten zu bauen, bedarf es einer Harmonisierung der Daten - so können Systeme geschrieben werden, die nicht jedes Detail der Anlagensteuerung kennen müssen. 

  4. Der Prozess der Harmonisierung von Anlagendaten kann sehr mühselig und zeitaufwendig sein. Die ENLZYE Data Platform hilft durch das Modul Variable Selection, Daten von sämtlichen Steuerungen einheitlich zu durchsuchen, zu visualisieren und im letzten Schritt zu harmonisieren.

Doch wie verbindet man die OT-Welt mit der IT-Welt? Die Antwort lautet Edge Devices - kleine, leistungsstarke Industrie-Computer, die für den Dauerbetrieb ausgelegt sind und auf der Edge Daten aus Anlagen und On-Premise Systemen aufzeichnen. Heute beschäftigen wir uns damit, worauf es bei der Auswahl von Edge Devices ankommt und wie man gewährleistet, dass sie die digitale Transformation ermöglichen, ohne zur Sicherheitslücke und zum trojanischen Pferd im eigenen Netzwerk zu werden.

Übersicht Blogreihe Konnektivität & Maschinendaten:

  1. OPC UA: Segen oder Fluch für Industrie 4.0?

  2. Digitalisierungs-Dilemma: Für die Daten arbeiten oder mit den Daten arbeiten

  3. Von Euromap, Datenblöcken und harmonisierten Daten

  4. Datenharmonisierung, oder: Wie heißt mein Durchsatz?

  5. Wie Edge Devices nicht zur Sicherheitslücke werden

  6. Keine geschlossenen Systeme mehr

  7. Mit ENLYZE und Grafana bereit für alle Herausforderungen in der Produktion

  8. Der Schlüssel zu KI in der Produktion

Lektion #5: Edge devices sind nicht “nur Hardware”

Viele produzierende Unternehmen, welche sich bereits mit Edge Devices zur Digitalisierung der Fertigung beschäftigen, bewerten Edge Devices als reines Hardwareprodukt. So werden uns oftmals in der Anbahnungsphase typische Fragen über die Hardwarespezifikationen des ENLYZE Spark gestellt:

  • Wie viele CPU Kerne hat das Gerät?

  • Wie viel Arbeitsspeicher steht mir zur Verfügung?

  • Welche Kapazität hat die Festplatte?

Aus unserer Sicht ist jedoch für die Auswahl eines Edge Devices der Gesamtkontext deutlich relevanter, um eine zukunftssichere Entscheidung treffen zu können. Die Einführung von Edge Devices lässt sich deutlich beschleunigen, wenn sie zusammen mit ihrer IT einige Fragen vorab klären und festhalten. Im Folgenden teilen wir die Fragen, die wir von jeder Kunden-IT gestellt bekommen. Gleichzeitig beleuchten wir unser System und die Sicherheitsmaßnahmen, welche selbst die sicherheitsaffinste IT unserer Kunden überzeugen. Wir hoffen, dass dieser Beitrag Denkanstöße liefert, die Ihre Digitalisierungs-Initiative beschleunigt.

🕸️ Wie wird das Edge Device vernetzt? 

 Damit Edge Devices in der Fertigung wertschöpfend eingesetzt werden können, müssen Daten aus Maschinensteuerungen und Produktionssystemen wie ERP (Enterprise Resource Planning), MES (Manufacturing Execution Systems) und BDE (Betriebsdatenerfassung) erfasst und an andere Systeme weitergegeben werden. Diese Systeme laufen sowohl On-Premise als auch in der Cloud.

In der Regel sind Edge-Devices dabei in zwei Netzwerken eingebunden:

  1. Das Maschinennetzwerk fasst sämtliche Anlagen und Peripheriegeräte zusammen und wird als isolierte demilitarisierte Zone (DMZ) betrieben

  2. Ein zweites Netzwerk (Netz 2), das Zugang zum Internet und den genannten Produktionssystemen bietet.

Damit das Edge Device nicht zur Netzwerkbrücke wird und somit die DMZ aushebelt, ist hier unbedingt darauf zu achten, dass es nicht als Router konfiguriert ist. Andernfalls können sämtliche Geräte in Netz 2 mit den Anlagen im Maschinennetzwerk kommunizieren. 

Unser Edge Device, der ENLYZE SPARK, ist mit drei getrennten Ethernet-Anschlüssen ausgestattet. Dies ermöglicht es, mit einem Gerät gleichzeitig Maschinen- als auch Produktionsdaten aus MES, ERP und BDE zu erfassen, selbst wenn diese sich in getrennten Netzen befinden. Zudem ist kein Routing über den SPARK möglich, sodass die DMZ weiter intakt bleibt und kein Gerät außerhalb des Maschinennetzwerks mit den Anlagen kommunizieren kann. 

Im Falle eines Problems kann über den dritten Ethernet-Anschluss ein Diagnoseserver bereitgestellt werden. Dieser ermöglicht es auch Personen ohne tiefe IT-Kenntnisse, eine erste Diagnose zu erhalten und sich damit an uns oder die IT-Abteilung zu wenden.

🥏 Wie update ich meine Geräte und die darauf laufende Software?

Durch die zunehmende Vernetzung aller Bereiche produzierender Unternehmen ist die Strategie, Geräte vom Netzwerk und Internet zu trennen und keine Updates zu installieren, nicht länger tragbar.

Dies trifft ebenfalls auf Edge Devices in der Produktion zu. Täglich werden zuvor unbekannte Sicherheitslücken, sogenannte “Zero-Days” veröffentlicht, die ein enormes Risiko für Unternehmen darstellen. Ohne einen Mechanismus für Updates muss man sich zwischen der Gefahr einer Ransomware-Attacke und einer stagnierenden Digitalisierung entscheiden.

Auch auf der Anwendungsebene ist eine sichere und reproduzierbare Methode zur Aktualisierung von Software erforderlich. Die Zeiten, in denen Software spezifiziert, implementiert, getestet und dann nie wieder modifiziert wurde, sind Geschichte. Anstelle des traditionellen Wasserfallmodells hat sich ein iterativer Ansatz durchgesetzt, der schnelles Lernen und die Fähigkeit zur Anpassung priorisiert. Dieser Ansatz funktioniert jedoch nur, wenn ein Update der auf dem Edge-Device laufenden Software, auch "Deployment" genannt, einfach durchgeführt werden kann.

Unser Edge-Device, der ENLYZE SPARK, wird als Teil unseres Managed Service regelmäßig sowohl auf Betriebssystem- als auch auf Applikationsebene aktualisiert. Dies geschieht über Over-The-Air-Updates, also über das Internet, wodurch unseren Kunden keine Kosten für Vor-Ort-Termine und Personal entstehen.

Jedes Over-The-Air-Update ist kryptografisch signiert, um die Authentizität zu gewährleisten und das Risiko einer Kompromittierung des Softwareupdates durch DNS Spoofing oder nachträgliche Modifikationen zu minimieren.

Um das Risiko von Defekten durch ein Update zu verringern, verwendet der ENLYZE SPARK A/B-Partitionen für Updates: Das Gerät startet neu und bootet in eine andere Partition, in der das Update zuvor installiert wurde. Wenn alle Systemtests erfolgreich abgeschlossen sind, wird der vorherige Stand verworfen. Bei Fehlern bootet das Gerät in den vorherigen Stand und verwirft das Update. Dank dieses Mechanismus haben wir bisher noch kein einziges Gerät im Einsatz verloren.

🤔 Welches Betriebssystem lasse ich auf den Edge Devices laufen?

Die Entscheidung für das richtige Betriebssystem bei Edge-Devices in der produzierenden Industrie kann eine Herausforderung darstellen: Viele Unternehmen arbeiten hauptsächlich mit Windows und verfügen über entsprechendes Know-how. Andererseits hat sich Linux seit geraumer Zeit als Betriebssystem für Server etabliert - sogar Azure hat sich vor einigen Jahren vom ausschließlichen Windows Server Modell verabschiedet.

In Bezug auf moderne Tools zur Verwaltung von (verteilten) Servern wird Windows oft nur rudimentär oder gar nicht berücksichtigt. Unternehmen sind dann auf teure Software angewiesen, die oftmals nicht den Funktionsumfang von Open-Source-Tools erreicht. Da Microsoft selbst in einigen Bereichen verstärkt auf Linux setzt und die moderne Server-Entwicklung vorrangig auf Linux stattfindet, spielt auch die Attraktivität als Arbeitgeber eine Rolle bei der Wahl des Betriebssystems.

Unser Edge-Device, der ENLYZE SPARK, basiert auf einer eigenen Linux-Distribution, die auf dem Yocto Project aufsetzt. Diese enthält nur die notwendigsten Pakete und Treiber, um die potenzielle Angriffsfläche zu minimieren. In Kombination mit dem zuvor erwähnten Update-Mechanismus bildet das SPARK OS eine Infrastruktur, die unseren Engineers ermöglicht, kritische Sicherheitsupdates innerhalb von weniger als 24 Stunden auf mehr als 100 Geräte im Feld auszurollen und die auf dem SPARK laufende Software kontinuierlich weiterzuentwickeln und im Feld zu aktualisieren. Darüber hinaus ermöglicht diese Struktur eine schnelle Migration auf andere Edge-Devices, falls unerwartete Lieferschwierigkeiten auftreten sollten.

👷 Wie warte ich meine Geräte im Feld?

Das Warten von Edge Devices unterscheidet sich maßgeblich gegenüber Software, die in der Cloud läuft. Während man sich bei Letzterer im Zweifelsfall über SSH direkt Zugriff auf die Instanz einloggen und auf Fehlersuche begeben kann, sind Edge Devices in der Netzwerkinfrastruktur eingebettet und mit gutem Grund nicht über eine öffentliche IP ansprechbar

Während man bei Letzterer im Notfall über SSH direkten Zugang zur Instanz erhalten und Fehler beheben kann, sind Edge-Devices fest in die Netzwerkinfrastruktur eingebettet und aus Sicherheitsgründen nicht über eine öffentliche IP-Adresse erreichbar.

Somit gestaltet sich die Fehlersuche etwas aufwendiger: Im Zweifelsfall muss man an einen Standort fahren, die richtige Werkshalle finden und eine Leiter organisieren, da das Gerät oben an einem Kabelkanal angebracht ist. Anschließend verbindet man sich in 5 Meter Höhe mit dem Gerät und beginnt unter lautem Maschinenlärm mit der Fehlersuche. 

Um unseren Kunden und Mitarbeitenden dies zu ersparen, verfügt der ENLYZE SPARK über einen SSH Remote-Zugriff. Dieser spart unseren Kunden 90% der Supportkosten. Der Zugang wird durch ein Wireguard VPN ermöglicht, in dem sich unsere Geräte befinden. Dank strikter Firewallregeln wird jede Kommunikation unterbunden - nur der Remote Zugriff, das Empfangen von Konfigurationsänderungen und das Senden von Daten ist erlaubt.

Weiterhin wurden zusätzlich interne Sicherheitsmaßnahmen implementiert, um den Remote-Zugriff zu schützen. Nur eine begrenzte Anzahl von Systemadministratoren hat Zugang zu den für den Remote-Zugriff benötigten Schlüsseln, die zusätzlich durch ein Hardware Encryption Modul geschützt sind.

🔐 Wie authentifiziere und autorisiere ich Geräte gegenüber anderen Services?

Um die Möglichkeiten einer digitalen Produktion voll auszuschöpfen, müssen Edge-Devices unweigerlich mit anderen Services und Anwendungen interagieren: Maschinendaten werden an einen MQTT oder AMQP Broker gesendet, ein anderer Service liefert Vorhersagen auf Basis eines AI-Modells und noch ein anderer Service überwacht die Temperatur aller Edge-Devices. Alle diese Dienste laufen in der Cloud und ermöglichen so einen umfassenden Überblick über die gesamte Produktion über verschiedene Standorte hinweg.

Angesichts dieser Vielzahl von Verbindungspunkten stellt sich die Frage: Wie authentifizieren und autorisieren sich Edge-Devices gegenüber diesen Services? Wenn man Services von Drittanbietern nutzt, ist der Mechanismus vorgegeben: Bei Google Cloud IoT Core authentifiziert sich ein Gerät, indem es ein JWT (JSON Web Token) erzeugt und dieses mit seinem privaten Schlüssel signiert. Microsoft Azure's IoT Hub bietet neben einem ähnlichen Mechanismus auf Basis von X.509-Zertifikaten auch die Nutzung eines Trusted Platform Modules und symmetrischer Schlüssel an.

Der ENLYZE SPARK folgt einem ähnlichen, zweistufigen Prozess, der auf asymmetrischer Verschlüsselung mit ED25519-Kurven beruht:

  1. SPARK initiiert einen Authentifizierung-Prozess und teilt seine ID mit

  2. Server generiert eine zufällige Zeichenfolge

  3. SPARK signiert die zufällige Zeichenfolge mit dem privaten Schlüssel

  4. SPARK schickt die signierte Zeichenfolge an den Server

  5. Server validiert die Signatur mit dem öffentlichen Schlüssel des SPARK

  6. Server übergibt ein JWT an den SPARK

Um die Angriffsfläche in unserem System zu minimieren, ist die Topologie und der Autorisierungs-Mechanismus der Datenpipeline so konzipiert, dass ein SPARK nur Daten für die Datenquellen zurückmelden kann, die ihm zugeordnet sind. Dies stellt sicher, dass ein SPARK nicht einfach Daten im Namen anderer Geräte ins System bringen kann.

☁️ Wie bringe ich Daten sicher in die Cloud?

Seit der Corona-Pandemie erleben wir einen stetigen Trend zur Migration von On-Premise-Systemen in die Cloud. Services wie Microsoft Teams, PowerBI und Qlik sind mittlerweile in der Fertigungsindustrie weitverbreitet.

Um auch diese Services mit Produktionsdaten anzureichern, müssen diese Daten sicher und skalierbar in die Cloud übertragen werden. Glücklicherweise haben Ereignisse wie die Snowden-Enthüllungen den Übergang zu verschlüsselten Verbindungen erheblich beschleunigt. Das bedeutet, jede Verbindung zu Services - egal ob eigene oder von Drittanbietern - sollte immer über TLS (Transport Layer Security) erfolgen. Andernfalls können Daten leicht abgefangen und mitgelesen werden.

Obwohl die Einrichtung dieser Verschlüsselung einen kleinen zusätzlichen Aufwand bedeutet, fallen dank der kostenlosen TLS-Zertifikate von Let's Encrypt keine Kosten für Sie an.

Der ENLYZE SPARK, verschlüsselt sämtliche Kommunikation mit TLS und sendet die Daten durch den oben beschriebenen verschlüsselten VPN-Tunnel. So können wir sicherstellen, dass Ihre Produktionsdaten immer sicher sind, egal ob sie in der Cloud oder lokal gespeichert werden.

Auch wenn diese Fragestellungen nur bedingt etwas mit dem physischen Edge-Device zu tun haben, sind diese oft relevanter als die Frage nach der Hardware an sich. Wenn Sie diese Fragen mit Ihrer IT gemeinsam beantworten können, sind Sie bereits auf dem richtigen Weg zur digitalen Fertigung. Wir hoffen, dass es nicht zu technisch war und sie trotzdem dabei etwas gelernt haben. Falls Ihnen beim Lesen Fragen gekommen sind, oder Sie Anregungen für weitere Artikel haben, schreiben Sie uns gerne: hello@enlyze.com