Die zur Datenerfassung verwendeten Lösungen verfügen meist über unterschiedliche Schnittstellen und unterstützen verschiedene Kommunikationsprotokolle. Darüber hinaus sind bei den Regeln der IT-Firewalls Ausnahmen einzustellen, damit jedes der Systeme die einzelnen Gegenstellen erreichen kann. Dadurch werden die eingesetzten Systeme unübersichtlich und sind schwer zu administrieren und die Gefahr eines Cyberangriffs steigt. Außerdem bedingt die Verschiedenartigkeit der Lösungen eine hohe Fachkompetenz der Mitarbeitenden, um die Systeme zu parametrieren und zu warten. Für diese Aufgabe kann es notwendig sein, externe Hilfe in Anspruch zu nehmen. Zu diesem Zweck muss eine einheitliche und sichere Remote-Verbindung zur Gegenstelle eingerichtet werden. Zur Unterstützung der Anwender bietet Phoenix Contact eine Secure Edge Box an, die die aufgeführten Herausforderungen löst.
Kontrolle von VPN-Verbindungen
In jedem Unternehmen sollte die Absicherung der Produktion vor Angriffen und Sabotage oberste Priorität haben. Die Regelung des ein- und ausgehenden Datenverkehrs sowie die Aufteilung des Netzwerks in kleine Bereiche (Netzwerksegmentierung) erschwert das Infizieren und Ausbreiten
von Schadsoftware oder unterbindet es bestenfalls. Diese Aufgabe wird von der Secure Edge Box übernommen. Ein
industrieller Firewall-Router – die mGuard-Firewall – separiert dazu das unterlagerte Netzwerk von der übrigen Fertigung. Zudem lässt sich der ein- und ausgehende Datenverkehr durch Firewall-Regeln limitieren. Der Anwender kann die Regeln entweder über eine Weboberfläche direkt im Gerät eintragen oder zentral – auch für mehrere mGuard-Firewalls in Gruppen – mit dem Tool mGuard Device Manager verwalten und übertragen. Alle Geräte im separierten Bereich sind bei Bedarf über eine VPN-Verbindung erreichbar. Der Aufbau der VPN-Verbindung wird direkt über einen Schalter an der Secure Edge Box gesteuert und überwacht. Auf diese Weise haben die Mitarbeitenden in der Produktion stets die Kontrolle darüber, ob sich jemand mit dem Bereich, der Maschine oder Anlage remote verbindet. Zur Überwachung kommt ebenfalls eine
auf der Oberseite der Box angebrachte Signalleuchte zum Einsatz, die den Status der VPN-Verbindungseinstellung optisch anzeigt.
Zusätzliche Security-Einstellungen
An der Vorderseite der Box befindet sich ein zweiter Schalter, der den DMZ-Port (Demilitarized Zone) des Firewall-Routers steuert. Über diesen Port wird dem Servicetechniker vor Ort der Zugang zu bestimmten Geräten des Bereichs gewährt. Über das Subnetz des DMZ-Ports sind lediglich die Geräte erreichbar, auf die der Servicetechniker Zugriff haben muss. Die beiden Schalter werden direkt über die digitalen Eingänge der mGuard-Firewall erfasst, sodass die gesamte Konfiguration in nur einem Gerät stattfindet. Ein weiterer digitaler Eingang am Firewall-Router dient der Abfrage des Türschalters. Sollte die Schaltschranktür geöffnet werden und so eine potenzielle Gefahr der Manipulation vor Ort bestehen, kann die mGuard-Firewall einen Alarm an einen konfigurierbaren Empfänger senden.
Zur Vernetzung in diesem Bereich wird ein Managed Switch mit 16 Ports aus der leistungsstarken Baureihe FL mGuard 2000 genutzt. Bei der Konfiguration der Switches lassen sich zusätzliche Security-Einstellungen vornehmen. Diese erstrecken sich von der Benutzerverwaltung mit einstellbarer Passwortkomplexität über detaillierte Port-Zugangskonfigurationen bis zur Authentifizierung an einem Radius- (Remote Authentication Dial-In User Service) oder LDAP-Server (Lightweight Directory Access Protocol).
Integrierter Edge-PC
Der in der Secure Edge Box verbaute Edge-PC mit der PLCnext Runtime kann über den PLCnext Store erweitert werden und viele Aufgaben übernehmen. Beim PLCnext Store handelt es sich um den digitalen Marktplatz des offenen Ecosystems PLCnext Technology, von dem sich die Anwender Apps und Funktionsbausteine auf die PLCnext-Steuerungen herunterladen können. Durch die Verwendung des Edge-PCs lassen sich zwei Ansätze realisieren. Zum einen ist es möglich, eine rein lokale Datenerfassung mit Visualisierung und Anomalieerkennung zu implementieren. Auf diese Weise werden zum Beispiel Energiedaten oder analoge Sensordaten über MQTT oder OPC UA an den Edge-PC übertragen. Der Anwender kann die Daten anschließend in einer Datenbank ablegen und sich mit der Open-Source-Anwendung Grafana übersichtlich, hierarchisch und zielgruppengerecht darstellen lassen.
Im zweiten Ansatz werden die Daten an eine online gehostete Cloud weitergeleitet. In diesem Fall normalisiert der Edge-PC die Daten, verdichtet sie und speichert sie zwischen, falls die Online-Verbindung nicht zur Verfügung steht. Durch den Einsatz des grafischen Entwicklungstools Node-Red kann der Anwender darüber hinaus auf zahlreiche Open-Source-Bibliotheken zugreifen, um die Daten zwischen diesen Schritten zu bearbeiten. Somit ist eine Kommunikation mit fast allen Systemen umsetzbar.
Zur Erhöhung der Verfügbarkeit der Daten sind beide Ansätze parallel nutzbar, sodass der Anwender auch bei einer nicht vorhandenen Online-Verbindung an die Daten gelangen kann. Über den PLCnext Store lassen sich auf dem Edge-PC weitere Apps für die Erkennung von Datenanomalien installieren. Erlernte Signalfolgen werden von der Software überwacht und entsprechende Meldungen generiert. Außerdem ist ein regelnder Eingriff in den Prozess möglich.
Vorgefertigte Schaltschranklösung
Die Secure Edge Box kann als vorgefertigte Schaltschranklösung bestellt werden. Neben der CE-Kennzeichnung erfüllt sie die Norm UL508A. Aufgrund des Platzangebots lässt sich die Box funktional erweitern, etwa um zusätzliche Switches oder andere Komponenten. Die Geräte gibt der Anwender einfach bei der Beauftragung mit an. Der Hauptschalter und die Bedienelemente für die Steuerung des VPN-Tunnels und des DMZ-Ports befinden sich auf der Vorderseite der Box. Die Signalsäule, die eine aktive VPN-Verbindung anzeigt, ist an der Oberseite des Schaltschranks montiert. Über die Unterseite können bis zu 60 Leitungen über ein Kabeleinführungssystem in die Box geführt werden. Diese muss der Anwender lediglich vor Ort mit Spannung und Netzwerk versorgen.
Halle 9, Stand F40
Phoenix Contact GmbH & Co. KG, Blomberg
Autor: Frank Brockhagen
Senior Project Manager Factory Automation,
Phoenix Contact Electronics
Hier finden Sie mehr über:
