5 đề xuất hàng đầu cho Người dùng cuối khi chọn và triển khai giải pháp Truy cập từ xa
bởi Horst Lange, Xavier Cardeña và Vivek Mano | Ngày 30 tháng 4 năm 2020
Tiếp cận máy móc từ xa mang lại lợi thế rõ ràng cho sản xuất. Theo ARC, 63% công việc bảo trì máy móc là để kiểm tra định kỳ hoặc họ phát hiện ra rằng đơn giản là không có vấn đề gì. Hơn nữa, 30% hoặc nhiều hơn các sửa chữa này có thể được thực hiện từ xa bằng cách sửa đổi các thông số qua Internet hoặc với sự trợ giúp nhỏ của người tại chỗ. Xem xét rằng thời gian ngừng hoạt động ngoài kế hoạch có thể lên đến 500k € / giờ, truy cập từ xa mang lại khoản tiết kiệm rất lớn cho OEM và chủ sở hữu tài sản.
Source/Nguồn từ: HMS Industrial Networks AB
An ninh mạng cho các hệ thống điều khiển công nghiệp
Có những khác biệt quan trọng giữa cách thức hoạt động của Hệ thống điều khiển công nghiệp (ICS) so với hệ thống Công nghệ thông tin (CNTT).
ICS đã được thiết kế để hiệu quả cho việc truyền dữ liệu tốc độ cao và cho các quy trình xác định, nhưng không phải để bảo mật. Tính sẵn có là điều quan trọng hàng đầu khi nói đến ICS. Ngược lại điều đó với các hệ thống CNTT, vốn ưu tiên bảo mật và bí mật hơn tất cả, ít tập trung hơn vào thuyết xác định. Hơn nữa, trong khi phân tích rủi ro cho CNTT sẽ xem xét tác động đối với khả năng mất dữ liệu hoặc thất bại trong hoạt động kinh doanh, Hệ thống kiểm soát công nghiệp xem xét trước hết rủi ro về việc mất dữ liệu, thiết bị hoặc mất mát sản phẩm.
Dưới đây là các khuyến nghị của chúng tôi mà người dùng cuối và chủ sở hữu nội dung nên thực thi khi lựa chọn và triển khai một giải pháp truy cập từ xa mạnh mẽ, có thể mở rộng và an toàn.
1. Thực thi kiểm soát nhận dạng và xác thực
CUNG CẤP XÁC NHẬN VÀ XÁC THỰC DUY NHẤT CHO MỖI NGƯỜI DÙNG
Mọi người dùng phải có một nhận dạng và xác thực duy nhất. Trong trường hợp quyền truy cập của người dùng cần bị thu hồi (ví dụ: vì rời khỏi công ty), bạn có thể thực hiện điều đó trực tiếp trên tài khoản.
THAY ĐỔI MẬT KHẨU KHẮC PHỤC KHI CẤU HÌNH THIẾT BỊ LẦN ĐẦU TIÊN
Mật khẩu mặc định đã được biết đến bởi cộng đồng tự động hóa công nghiệp, chúng có thể dễ dàng tìm thấy trên internet hoặc bất kỳ sách hướng dẫn nào. Đừng quên thay đổi mật khẩu của thiết bị / ứng dụng khi định cấu hình nó lần đầu tiên.
SỬ DỤNG XÁC THỰC ĐA YẾU TỐ MÀ BAO GIỜ CÓ THỂ
Xác thực đa yếu tố nên được coi là một trong những phương pháp hay nhất trong việc truy cập từ xa vào các máy công nghiệp vì nó cung cấp một lớp bảo mật bổ sung.
2. Cho phép Kiểm soát Truy cập và Quản lý Kết nối
QUYỀN KHÁC BIỆT CỦA MỖI NGƯỜI DÙNG CÁ NHÂN
Việc quản lý tập trung các quyền truy cập máy ở cấp máy chủ cung cấp một lớp bảo mật bổ sung cho việc quản lý quyền của người dùng. Mọi người dùng phải thuộc một nhóm đã được chỉ định vai trò (quyền) để truy cập vào mọi bộ định tuyến hoặc nhóm của họ.
Hệ thống sẽ cung cấp khả năng hỗ trợ quản lý tất cả các tài khoản của người dùng được ủy quyền, bao gồm thêm, kích hoạt, sửa đổi, vô hiệu hóa và xóa tài khoản.
CÁC KẾT NỐI VÀ THAY ĐỔI PHẢI CÓ THỂ ĐƯỢC KIỂM ĐỊNH
Hệ thống phải có khả năng ghi lại các sự kiện về kiểm soát truy cập, lỗi, hệ điều hành, hệ thống kiểm soát, sao lưu và khôi phục, thay đổi cấu hình, hoạt động do thám tiềm năng và nhật ký kiểm tra. Hồ sơ đánh giá riêng lẻ phải bao gồm dấu thời gian, nguồn, danh mục, loại, ID sự kiện và kết quả sự kiện.
XIN PHÉP / CHẤM DỨT KẾT NỐI TRUY CẬP TỪ XA
Các nhà cung cấp thường sẽ yêu cầu quyền truy cập từ xa vì hai lý do: hỗ trợ vận hành khẩn cấp và bảo trì hệ thống. Thông thường có thể lên lịch bảo trì hệ thống và có thể thiết lập và giám sát các giao thức cho các kết nối truy cập từ xa.
Do đó, để cung cấp khả năng kiểm soát và bảo mật bổ sung, VPN và / hoặc quyền truy cập internet phải được bật / tắt thông qua tín hiệu cơ học, chẳng hạn như công tắc phím. Điều này cho phép chủ sở hữu nội dung vô hiệu hóa kết nối từ xa của nhà cung cấp cho đến khi được yêu cầu. Sau khi hoàn thành nhiệm vụ, chủ sở hữu nội dung có thể tắt kết nối từ xa của nhà cung cấp một lần nữa.
3. Tất cả các kết nối phải được bảo mật và mã hóa
HỖ TRỢ VPN LÀ MỘT PHƯƠNG PHÁP TỐT NHẤT
Nhân viên hỗ trợ từ xa kết nối qua Internet phải sử dụng giao thức được mã hóa, chẳng hạn như chạy máy khách kết nối VPN, máy chủ ứng dụng hoặc truy cập HTTP an toàn và xác thực bằng cơ chế mạnh, chẳng hạn như lược đồ xác thực đa yếu tố dựa trên mã thông báo.
4. Thiết kế một kiến trúc truy cập từ xa thích hợp bên trong cơ sở của bạn
CÁC CỤM MÁY NÊN CHỈ TRUY CẬP VÀO MÁY CỦA HỌ, KHÔNG PHẢI VÀO MẠNG MÁY
Nhà cung cấp máy chỉ nên tiếp cận các máy do mình phụ trách để hỗ trợ và bảo trì trong nhà máy. Vì vậy, hệ thống phải có thể cấu hình để tách biệt phân đoạn hoặc vùng mạng máy với phần còn lại của mạng.
TRÁNH SỬ DỤNG THIẾT BỊ ĐIỀU KHIỂN (HMI, PC, PLC…) LÀM TRANG CHỦ VPN ĐỂ KẾT NỐI TỪ XA
Sử dụng bất kỳ thiết bị nào là một phần của điều khiển máy (chẳng hạn như PC, HMI hoặc PLC) làm máy chủ VPN có thể làm giảm tài nguyên của nó và do đó hiệu suất của nó cho nhiệm vụ chính của nó, đó là chính điều khiển. Để đảm bảo tính khả dụng của hệ thống điều khiển, nó cũng phải cung cấp khả năng hoạt động ở chế độ suy giảm trong sự kiện DoS. Do đó, một bộ định tuyến bên ngoài sẽ hoạt động như một thiết bị bảo vệ ranh giới để lọc một số loại gói tin nhằm bảo vệ hệ thống điều khiển không bị ảnh hưởng trực tiếp bởi các sự kiện DoS, từ đó tránh mọi cuộc tấn công từ bên ngoài ảnh hưởng trực tiếp đến hệ thống điều khiển và dừng máy.
CHỈ CHO PHÉP CÁC KẾT NỐI NGOÀI RA TỪ CÁC KHU VỰC TIN TƯỞNG ĐẾN KHU VỰC KHÔNG TIN TƯỞNG
Không có cổng tường lửa gửi đến nào được mở hoặc tiếp xúc với Internet và không cần địa chỉ IP Internet tĩnh.
Bộ định tuyến công nghiệp phải bắt đầu kết nối điểm-điểm đường hầm VPN an toàn gửi đi với một tài khoản cụ thể trên đám mây. Đường hầm này được xác thực và mã hóa bằng HTTPs, đi qua mạng công ty và thông qua tường lửa (chỉ dành cho gửi đi).
5. Chọn một giải pháp có thể bảo trì với tầm nhìn về tương lai
HÃY LƯU Ý ĐẾN NGÀY VỚI PHIÊN BẢN PHẦN MỀM MỚI NHẤT VÀ BẢN CẬP NHẬT BẢN BẢO MẬT
Theo khuyến nghị của nhà sản xuất thiết bị. Hơn nữa, bạn có thể được ICS-CERT (Hệ thống điều khiển mạng khẩn cấp về hệ thống điều khiển công nghiệp) thông báo về các lỗ hổng được tìm thấy trong thiết bị tự động hóa công nghiệp và nhận các khuyến nghị về các bản vá bắt buộc.
Các hệ thống có trong giải pháp truy cập từ xa (bộ định tuyến và dịch vụ đám mây) không phải lúc nào cũng quan trọng và hầu hết thời gian đều bị ngắt kết nối. Do đó, không cần thiết phải tuân theo các chính sách cụ thể cho việc nâng cấp hệ thống khác với các chính sách được nhà sản xuất khuyến nghị. Chủ sở hữu nội dung nên chuẩn hóa và duy trì cách thức và thời điểm nhận bản vá bảo mật mới nhất.
TIỆN ÍCH CAO CỦA DỊCH VỤ TRUY CẬP TỪ XA
Bất cứ khi nào cần hỗ trợ truy cập từ xa để hỗ trợ vận hành khẩn cấp, dịch vụ từ xa trở nên quan trọng đối với tính khả dụng của máy. Do đó, nhà cung cấp dịch vụ của quyền truy cập phải đảm bảo dịch vụ có tính khả dụng cao của dịch vụ đám mây với SLA (Thỏa thuận mức dịch vụ) và SLA này phải được củng cố bằng một số hành động và mục tiêu kiểm soát.
Đây chỉ là một số khuyến nghị của chúng tôi dành cho tất cả các công ty đang tìm cách tiêu chuẩn hóa giải pháp kết nối từ xa.
Nếu bạn muốn tìm hiểu thêm, Mạng công nghiệp HMS đã tạo một hướng dẫn tất cả trong một với cuốn sách Truy cập từ xa an toàn dành cho người giả của chúng tôi, mà bạn có thể tải xuống bên dưới:
Đăng ký tải xuống tại đây: link
