LinkedIn Logo YouTube Logo
ANZEIGE
Cybersecurity

Zero Trust auf Feldebene macht Sensoren sicher

ERP-Systeme, digitale Zwillinge und Predictive Maintenance Algorithmen benötigen ständig aktuelle Sensordaten. Eine neue, aber bereits bewährte Möglichkeit für direkte Sensoranbindung sind smarte Microserver, die sicher verschlüsselt über Single Pair Ethernet direkt mit der IT in der Cloud kommunizieren können. Eine Software von Perinet bietet hierfür eine Schnittstelle, mit der einfach Zero-Trust Prinzipien auf dieser Kommunikationsebene anwendbar sind.

PKI2go bietet durch seine Fähigkeiten zum Erstellen und Signieren eigener Root-, Host- und Client-Zertifikate die Möglichkeit, eigene lokale Zertifizierungsstellen (Certificate Authorities, CA) zu erstellen. Dabei übernehmen die einzelnen Zertifikate die folgenden Funktionen:

• Root-Zertifikat: Zertifikat, das die Root-CA (Zertifizierungsstelle) identifiziert, der ein Host (periNODE- oder periMICA-Container) vertraut, wenn mTLS (mutual TLS) aktiviert ist.

• Host-Zertifikat: ein eindeutiges Zertifikat, das der Server-Host (periNODE oder periMICA-Container) verwendet, um sich bei der Kommunikation mit einem Client (z.B. einem Webbrowser-Client) zu authentisieren. Es enthält den Hostnamen und sollte aus Konsistenzgründen von derselben Root-CA ausgestellt werden. Dieses Zertifikat beweist die Originalität bzw. Identität eines Gerätes.

• Client-Zertifikat: Zertifikat, das von einem Client (periNODE, periMICA-Container, Web-Browser-Client) verwendet wird, um sich bei der Kommunikation mit einem Server (z.B. MQTT-Broker) zu authentisieren. Darüber hinaus können sich Benutzer mit bestimmten Benutzerrollen und entsprechenden Client-Zertifikaten registrieren und Administratoren können diesen Mechanismus nutzen, um bestimmten Benutzern unterschiedliche Berechtigungsstufen zu gewähren.

Wenn sich jeder lokale Netzwerkteilnehmer erfolgreich authentisiert hat, kann eine gegenseitige mTLS-Verbindung auf der Grundlage der lokalen PKI aufgebaut werden. Jeder Netzwerkteilnehmer ist dabei nur zu den Operationen berechtigt, die durch die Fähigkeiten seines Client-Zertifikats vorgegeben sind.

 Mit dem Starter Kit Plus lässt sich ohne Vorkenntnisse einfach eine verteilte Beispielanwendung konfigurieren, bei der virtuelle und physische Einheiten über SPE kommunizieren.
Mit dem Starter Kit Plus lässt sich ohne Vorkenntnisse einfach eine verteilte Beispielanwendung konfigurieren, bei der virtuelle und physische Einheiten über SPE kommunizieren.Bild: Perinet GmbH

Benutzer und Benutzerrollen

Um eine Zugriffskontrolle durch Client-Zertifikate zu ermöglichen, unterstützen periNODE-Geräte und periMICA-Container derzeit die folgenden Benutzerrollen:

  • Admin: Erlaubt alle Operationen, einschließlich Firmware-Update, Sicherheitseinstellungen und Änderungen von Konfigurationen.
  • Super: Erlaubt nur bestimmte Konfigurationseinstellungen und Lesezugriff, Firmware-Update und Sicherheitseinstellungen sind nicht möglich.
  • Reader: Nur Lesezugriff möglich.

PKI2go-Container werden standardmäßig mit einem ersten Benutzernamen ausgeliefert. Weitere Benutzer können einfach erzeugt werden. Nach Auswahl der gewünschten Benutzerrollen, werden die Client-Zertifikate automatisch erzeugt und heruntergeladen.

Starterkits: Auch ohne Spezialkenntnisse sofort loslegen

Mit dem Starter Kit Plus lässt sich ohne Vorkenntnisse ganz einfach eine verteilte Beispielanwendung konfigurieren, bei der virtuelle (periMICA-Container) und physische (periNODEs) Einheiten über SPE kommunizieren. Abstandsmetriken werden kontinuierlich mit dem periNODE Distance erfasst, an dem ein Ultraschallsensor (0-10V) angebracht ist. Ein Abstand von weniger als 100mm aktiviert den Schütz über den periNODE GPIO. Die mit dem periMICA-Container DistanceControl gezeigte Beispiel-Python-Anwendung entscheidet, ob der Schütz ein- oder ausgeschaltet wird. Dabei können nur autorisierte Clients auf die Daten zugreifen, wenn das richtige Client-Zertifikat vorgelegt wird. Alle anderen Zugriffe werden nach dem Zero-Trust-Prinzip blockiert. Nutzer des Starter Kit Plus lernen, wie sie ohne eigene Software auf alle Entitäten zugreifen können. Der PKI2go-Container auf dem im Kit enthaltenen periMICA Edge-Computer bietet dabei eine benutzerfreundliche Schnittstelle zur Verwaltung der Zertifizierungsstelle, die die Schlüssel und Zertifikate erstellt und an die Hosts und Clients ausliefert.

Weitere Funktionen bzw. Software-Container enthalten einen MQTT-Broker zur Verteilung von Sensor-/Aktuator-Metriken, eine Grafana-basierte Weboberfläche zur grafischen Darstellung von Ergebnissen, eine Beispielanwendung zur Abstandsmessung und einen allgemeinen Debian Allzweck-Anwendungscontainer.

So wird Sensorkommunikation richtig sicher

Das Besondere an der patentierten Sicherheitslösung ist, dass PKI2go unabhängig vom Netzwerk-Setup lokal und mit praktisch beliebig vielen PKI-Instanzen ganz einfach aufgesetzt, betrieben und gewartet werden kann. So kann beispielsweise für jede Maschine bzw. Anlage eine eigene PKI oder auch getrennte PKIs für Anlagensteuerung und vorausschauende Wartung aufgesetzt werden. Dies erhöht weiter die Sicherheit gegen Cyberangriffe. Dabei können sich die beteiligten Sensoren gegenseitig und auch gegenüber weiteren Systemen, wie etwa in der IT, ganz ohne Passwörter selbstständig identifizieren und authentisieren. Wegen der fortschreitenden Miniaturisierung ist die komplette für die Sicherheit benötigte kryptografische Infrastruktur in standardisierte Microserver integrierbar, die so klein sind, dass sie in Sensorkabel-Anschlussstecker passen. Damit lässt sich jeder Sensor smart machen und auch Altanlagen können ganz einfach für sichere Kommunikation nachgerüstet werden.

Seiten: 1 2 3Auf einer Seite lesen

Das könnte Sie auch Interessieren

Weitere Beiträge

Damit es nicht zum großen Knall kommt

Können explosionsfähige Gemische in einem Unternehmen entstehen, die nur einen Funken brauchen, um eine Explosion auszulösen, müssen Unternehmen eine Gefährdungsbeurteilung und ein Explosionsschutzdokument erstellen. Die Gefährdungsbeurteilung und das Explosionsschutzdokument müssen stets auf dem aktuellen Stand gehalten werden. Nicht immer ist die Expertise dafür im Unternehmen vorhanden. Hier kann ein erfahrener, externer Partner unterstützen.

mehr lesen
Bild: Danisense A/S
Bild: Danisense A/S
Frühwarnsystem für Isolationsfehler

Frühwarnsystem für Isolationsfehler

Trotz modernster elektrischer Sicherheitssysteme gibt es immer wieder Berichte über Gebäudebrände. Eine der häufigsten Ursachen ist ein Fehlerstrom, der aufgrund eines Isolationsfehlers zwischen dem Leiter und der Erde fließt. Da viele Isolationsfehler zu langsam ansteigenden Fehlerströmen führen, kann ein Differenzstrommonitor als Frühwarnsystem eingesetzt werden.

mehr lesen