使用云技术保护远程连接

移动技术已经发展到触及现代生活的许多方面。人们期望并要求以数字方式访问几乎所有基于技术的东西，通常是通过移动设备。由于这种期望，现代设备被设计为内置这种连接。

然而，有一些应用，如远程和移动监控的工业控制应用，来得有点晚。从历史上看，工业自动化由于其特殊需求而落后于最新的消费技术。自动化硬件和软件平台必须连续运行数年或数十年。任何故障都会对昂贵的设备和产品产生直接的负面影响。因此，这些平台通常在终端用户的站点上保持一定程度的隔离。

这些严格的要求是工业自动化平台的主要关注点。任何形式的远程访问充其量都是次要的考虑因素，并且通常被视为危害网络安全的潜在方式。尽管商业网络、个人电脑和互联网云技术使自动化平台的访问变得更加容易，但这些方面都加剧了人们对网络安全的担忧。

如今，始终连接的最终用户需要从他们的自动化平台远程访问，因为它可以通过减少停机时间来增加价值。他们可以可视化一个系统的性能，更有效地操作和远程诊断问题。建立安全的远程连接需要在硬件、软件和网络的许多层面上仔细关注。

坚实的云基础

一些拥有强大信息技术(IT)技能的终端用户可以创建和维护他们自己的远程连接解决方案，以实现工厂车间操作技术(OT)方面的操作。如果执行得当，这些方法可以提供令人满意的结果。通常，这项工作包括建立一个虚拟专用网(VPN)，以便互联网连接的设备可以通过站点防火墙进行通信，并达到预期的OT目标。

由于需要在IT和OT组之间进行协调，虚拟专用网络(VPN)的建立和维护可能很困难，而且成本很高。即使有VPN，也必须有移动应用程序或其他软件供最终用户远程连接。除非最终用户拥有所有所需的专业硬件、软件和必要的经验，否则这项任务可能具有挑战性。

更令人不安的是，关于如何对自制的远程连接技术进行初步和长期测试，以确保良好的网络安全存在的讨论。适当的安全管理模型是基于信息的机密性、完整性和可用性(CIA)这三要素。许多最终用户可能无法创建和维护这样的安全模型。

由于这些原因，许多最终用户正在转向已建立的基于云的解决方案，以实现具有所需安全性的远程连接。基于云的平台已经专门用于远程连接任务。供应商可以提供规模经济和其他技术优势。

分布式资源

在解决安全性问题之前，重要的是要了解云软件与自制配置相比可以提供的技术特性。

基于云的软件可以提供的一个显著区别是改进了可用性，因为它们使用的服务器位于处理其他关键计算和数据存储活动的相同类型的数据中心。这种可扩展的体系结构可以真正达到全球规模，并通过冗余提供改进的可用性。位于数据中心的VPN服务器网络可以使用低延迟的最佳服务器。如果连接失败，它还允许其他服务器接管。一些云服务可能使用现代计算架构，如Kubernetes集群，优化微服务的操作和管理。Kubernetes是一款开源软件，用于自动化部署、扩展和管理容器化应用程序。

大多数云解决方案还为关键计算过程提供应用程序编程接口(API)服务，这为程序连接提供了一致的方式。对于工业物联网(IIoT)应用程序，通常支持一种称为消息队列遥测传输(MQTT)的协议。MQTT是工业物联网通信的理想选择，因为它与传输层安全性(TLS)配对时既高效又安全。API和MQTT特性允许云软件提供比基本连接更多的功能，因为这些技术允许通过云存储和访问数据。

任何工业云解决方案还必须适合处理三种类型的数据库:

• 关系:例如配置信息
• 非关系:例如事件、告警和日志
• 时间序列:例如不断到达带有时间戳的模拟过程数据。

每个数据库都具有对工业应用程序很重要的特定特征。只要安全得到保证，结合这三者的云解决方案是非常合适的。

需要解决的五个网络安全问题

不幸的是，缺乏网络安全是一个复杂的话题，经常出现在新闻中。知道了这一点，许多最终用户理所当然地关心如何确保任何内部开发的远程连接解决方案的安全性。

任何远程连接或基于云的解决方案提供商的最佳实践都是持续遵守全面的信息安全管理系统(ISMS)，遵循ISO 27001标准规定的要求，并接受合格的第三方审核。

有五个首要问题必须解决:

1. 加密的连接:所有与云服务之间的连接都必须使用TLS 1.2或更高版本的HTTPS加密，以防止未经授权的访问。
2. 集中监控、记录和分析:关键事件和异常的自动检测帮助供应商识别和应对任何性能问题或意外活动。
3. 漏洞管理:正在进行的第三方审计应该在漏洞被利用之前及早发现漏洞或弱点。
4. 访问控制:任何基于云的平台都需要开发人员的访问权限，但它应该控制在有限数量的人，并具有强大的访问密钥和彻底的监控。
5. 软件开发生命周期:软件变更应该始终经过同行评审，遵循严格的版本管理系统，并使用手动和自动化的方法进行测试。

如果最终用户没有准备好执行这些活动，他们应该考虑使用符合这些ISMS指令的公司提供的基于云的软件。

本地安全

即使是最好的基于云计算的软件也可能受到内部部署安全性薄弱的威胁。不幸的是，制造站点的大多数OT技术在设计时都没有考虑到安全性，而且许多技术很少更新。除非采取预防措施，否则将这些遗留技术连接到新的基于云的平台可能会导致麻烦。

最基本的步骤是确保机器的局域网(LAN)与广域网(WAN)和internet隔离，使用带有正确配置的防火墙的路由器。默认情况下，这将阻止两者之间的所有通信，拒绝在WAN上发起的任何通信到达LAN，除非配置为这样做。

然而，lan生成到WAN或internet的可信出站通信通常是可以接受的。这是OT系统与IT云平台集成而不涉及更复杂的IT解决方案的首选方式。任何OT/IT远程连接解决方案都需要与站点安全访问限制相协调。

另一点是，许多OT业务位于互联网连接可能不太理想的地方。对于这些情况，终端用户可能希望寻找能够从首选互联网连接故障转移到4G移动网络的路由器。对于具有数据记录的应用程序，还建议路由器一次缓冲数据数天，直到连接恢复。

浏览器和应用程序安全性

查看了站点条件和云需求之后，最后一个远程连接步骤是最终用户界面。这可以是基于浏览器的应用程序，也可以是基于移动设备的应用程序。不幸的是，这个接口可能成为外部攻击者的主要目标。

正如大多数用户从他们的个人电子邮件、银行和其他基于计算机的账户中所知道的那样，登录安全是至关重要的。除了唯一的长密码外，用户还应该考虑使用允许双因素身份验证(2FA)的系统作为额外的保护层。大多数情况下，用户在登录时打开移动设备上的另一个身份验证应用程序，以获得一次性密码。

基于云的连接系统的管理员必须仔细分配和控制用户权限。根据常识，用户应该被授予足够的权限来执行他们的任务，而不是更多。这将最小化成功的攻击者对系统造成的影响。

最后一点是，当应用程序可用时，它们对终端用户来说比网页浏览器访问更方便。这是因为它们针对移动屏幕尺寸进行了预配置，并进行了定制，以提供所需的最典型信息和功能，同时对最终用户的专业开发工作要求更低。

自信的云连接

远程监控和控制，特别是通过移动设备，被认为是许多工业自动化用户必须具备的功能。一些用户可能会开发自己的连接软件，但网络安全风险很大，需要大量的努力来缓解。

这是许多用户发现基于云的远程连接和数据记录平台是理想答案的主要原因之一。最好的云平台提供比自制系统更好的技术解决方案，比如冗余服务器和备份数据连接。它们遵循最新的行业安全标准，经过持续审核，并提供移动应用程序，帮助最终用户快速运行，在整个生命周期中只需要最少的维护。

乔纳森·格里菲思是AutomationDirect公司工业通信和电源的产品经理。克里斯·瓦夫拉编辑，制作编辑，控制工程， CFE传媒，cvavra@cfemedia.com．

更多的答案

关键词:网络安全，云访问，远程连接

移动和远程连接正变得越来越流行，但它们往往缺乏适当的网络安全工具。

适当的保安管理是基于信息的保密性、完整性和可用性(CIA)的三位一体。

良好的云远程连接提供强大的技术解决方案，并遵循最新的网络安全标准。

考虑一下这个

什么应用程序将从基于云的远程连接中获益最多，为什么?

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。