O documento discute soluções de acesso remoto para equipamentos industriais. Apresenta a empresa Baumier Automation e suas soluções para acesso remoto seguro, incluindo switches, firewalls e gerenciamento remoto. Explica como a solução permite acesso remoto transparente aos equipamentos industriais sem necessidade de alterações na infraestrutura de TI ou firewall corporativo.
Soluções de Acesso Remoto para Equipamentos Industriais
1. ProIndústria 2019
22-23 outubro - Fórum de Negócios e Educação para a Indústria Digital
Thiago Lombardi
Baumier Automation
Engenheiro de Aplicação
Engenharia da Computação
SOLUÇÕES DE ACESSO REMOTO PARA
EQUIPAMENTOS INDUSTRIAIS
2. Quem somos
• A BAUMIER é um distribuidor autorizado para o Brasil, de produtos e soluções
de comunicação para redes industriais
• Fundada em 2005
• Distribuição de produtos líderes de mercado em seus segmentos
• Equipe técnica com 20 anos de experiência no mercado de automação
• Profissionais treinados e certificados em Ethernet Industrial
• Experiência com introdução de novas tecnologias e produtos
• Participação ativa na instalação de soluções de Ethernet Industrial no Brasil
• Garantia e Suporte Técnico local
• Consultoria Técnica
• Comissionamento / Configuração
• Treinamento
3. Soluções
Switches - Wireless
- Celular Industrial
Firewall - Gateways
- Rede CAN
Gerenciamento
Remoto
Terminal Server Gerenciamento
de rede
I/O Remoto Conversor de Mídia Computador Industrial
4. 4
O que o termo “remoto” quer dizer ?
Pensemos no termo “remoto” não só como algo
“distante”, mas também algo “difícil de acessar”
5. Acesse o equipamento em qualquer lugar
Use sua ferramenta regular de configuração de PLC
(TIA Portal, RS Logix etc…)
Acesso Remoto
6. Que valores são agregados com o Acesso Remoto Seguro?
• Habilidade para operadores usarem um software SCADA ou de diagnóstico como se
estivessem on-site – a solução deve ser transparente!
• Diagnóstico remoto permite menores tempos de resposta para falhas e facilita a
manutenção preventiva
• Aumento da produtividade quando especialistas estão sempre disponíveis e
programação remota é uma opção
Economiza tempo, reduz custos, aumenta a produtividade
7. 7
Implementando Acesso Remoto de forma segura e simples
• Necessidade de extensivo suporte do departamento de TI
• Segurança se torna uma preocupação. O acesso remoto não pode representar
vulnerabilidade
• Fazer alterações em firewall corporativo é complexo e consome tempo
• O gerenciamento de endereços IPs para previnir conflitos é difícil e propenso a erros
• VPNs são complicadas para configurar e gerenciar
E se isso puder ser simplificado?
9. 9
Valor para Fabricantes de Máquina & Integradores de Sistema
• Possibilidade de adicionar valor aos contratos de serviço
• Manutenção regular prolongará a vida útil dos equipamentos, reduzindo assim os
custos de garantia
• Custo de viagens reduzido
• Utilização mais eficiente de recursos, por meio de atendimento de clientes regionais,
nacionais ou globais de forma simultânea.Uso eficiente do tempo!
• Melhor serviço para o cliente
Supervisão, diagnósticos e programação por meio
do escritório do fornecedor
10. 10
Valor para Usuários Finais
• Tempo de parada reduzido com o acesso on-demand para localização de falhas ou
programação – como ter um especialista disponível a qualquer hora!
• Melhoria da produtividade com acesso e controle de equipamento para plantas remotas
• Capacidade de soluções de valor agregado, como por exemplo logging remoto de
dados para manutenção preventiva ou preditiva
Supervisão, diagnósticos, programação, localização de falhas
além da opção de solução de valor agregado a partir de
qualquer localização
11. A demanda de Serviço:
3 Categorias – a mesma solução
Permite redução instantânea dos custos dos Serviços Reativos/Corretivos
Serviços Reativos/Corretivos (acesso remoto)
Serviço Preventivo (capacidade de monitoramento)
Serviço Preditivo (precisa de análise do
processo)
Custo
Source: Harbor Research, Aberdeen Group, Forrester etc.
Paralelamente fornece infraestrutura para serviços de Preventiva/Preditiva
Modelo de Serviço
13. Solução Segura de Acesso Remoto
• Desenvolvido para ambientes industriais
• Mais do que uma solução “office” dentro de uma “Caixa industrial”
• Mínima necessidade de auxílio da TI
• Utilização mais eficiente de recursos, por meio de atendimento de clientes regionais,
nacionais ou globais de forma simultânea
• Melhor serviço para o cliente
• Segurança end-to-end
14. Benefícios do gerenciamento remoto de
dispositivos
Economia de tempo
• Reduz e otimiza viagens ao campo (agendadas e de emergência)
Melhoria na qualidade do serviço
• Novos e melhores serviços – maior lucratividade
Proteção do meio ambiente
• Redução de viagens (carros, etc.); monitora possíveis fontes de poluição
Segurança dos técnicos
• Assaltos são frequentes durante a visita em locais afastados ou
durante a noite
Economia de dinheiro
• Aplicável a todos os ítens acima
15. E os Recursos?
Acesso remoto necessita de conexão de rede (internet) entre o
equipamento e o computador que fará o acesso remoto.
Isso implica em necessidade de criação de uma rede de acesso.
Preciso de uma rede celular para isso?
Posso usar a infra estrutura de rede existente (*) ou
Uma rede celular.
Mas se for o caso de uma rede celular, estamos preparados para
isso?
16. E os “problemas” da Internet móvel?
Internet
O Problema: Operadoras normalmente
oferecem: IP Público dinâmico
17. Questões com IP privado ou IP
público dinâmico
Device Host
192.168.1.1
192.168.1.1
192.168.127.1
Como resolver essa questão?
1. SIM card com IP fixo
2. Serviços de VPN/Firewall
3. DDNS
4. ...
18. Antes de selecionar a solução de comunicação industrial que poderá ser crítica tanto a nível
estratégico como operacional para o negócio, o decisor tem que levar em conta uma série de
preocupações e questões:
A solução precisa ser desenhada especificamente para a Automação industrial
A solução precisa ser testada e endossada por fabricantes de máquinas e fabricantes de PLCs
A solução precisa ser SEGURA
A solução precisa ser fácil de se aplicar e se manter
A solução precisa atender os padrões de proteção (Safety)
A solução precisa ser escalável
A solução precisa ser completamente suportada e também não dependente do fabricante
A solução deve ajudar a cumprir todas as obrigações para os serviços das máquinas
instaladas
A solução deve recuperar seu investimento pela economia no custo de manutenção
TOMADA DE DECISÃO
19. Resolvendo problemas: Conexões de Saída (Outgoing)
• As mesmas aplicações serão usadas!
• Os mesmos endereços IPs serão usados!
COMPLETAMENTE TRANSPARENTE
20. Acesso Remoto via cloud – Solução em Detalhes
GateManager
Administrator SiteManager
Embedded
EXTENDED
SiteManager
Embedded
BASIC
SiteManager hardware
LAN/WiFi/3G/4G
LinkManager Mobile
Operator / user
LinkManager
Technician or Programmer
Log server
SiteManager
EasyLog Master
GateManager
Cloud or own server
INTERNET
1º
2º
2º
3º
21. Cyber SECURITY É PRIORIDADE #1
Certificado de Segurança
ISA/IEC 62443 (Antigo ISA 99)
NIST (National Institute of Standards and Technology)
BSI (German federal office for information security)
ISECOM (Institute for Security and Open
Methodologies)
Conformidade com Industria 4.0
RAMI4.0 (Reference Architecture Model Industrie)
IEC/PAS 62443-3 (Security for Industrial Process
Measurement and control and system security)
Autenticação robusta (Três Fatores de Autenticação)
Certificado x.509
Senha
SMS
22. Tomada de Decisão
Preciso fazer alguma alteração na minha infra-estrutura de IT?
Alterações não são necessárias. O Gateway só precisa de acesso à Internet de maneira similar a qualquer
PC na rede. Se você pode usar o “Google” você pode usar o Gateway!
Quão Segura é a solução?
Para a planta industrial:
•Conexão AES criptografada.
•Configuração para conexão com apenas alguns dispositivos específicos.
•Certificado/chave TLS para aumentar a segurança para suas instalações e usuários.
Para a rede office/corporativa
•Um firewall stateful inspection entre a porta Uplink que é usada para acesso a internet e a porta
Device que se conecta à rede com os equipamentos industriais.
•Pode ser configurado para conectar com portal via um Web Proxy Seguro, de forma que o
departamento de IT pode controlar e monitorar o acesso.
•O departamento de IT pode limitar o acesso à internet baseado nos endereços IPs ou MACs dos
Gateways ou até tê-los conectados a uma outra porta para distinguir entre o tráfego do gateway e dos
outros equipamentos de TI.
23. Quão Segura é a solução?
Lado do Cliente Remoto:
• O software cliente usa 3 fatores de segurança (certificados X509; User name & password,
SMS pin code (se desejado))
• Só é possivel acessar os dispositivos assinalados pelo Administrador no portal
• Toda a comunicação entre o cliente e o portal é completamente criptografada
O que significa segurança end-to-end?
• A solução é protegida contra ataques “homem do meio” :
• A conexão é baseada em TLS.
• Cada portal possui um único certificado/chave TLS ao qual o gateway se associa
(conhecido como “Trust-on-First-use).
• Para remover a associação entre um gateway e o portal de administração, você precisará
explicitamente reconfigurar as informações do portal dentro do gateway.
• Uma vez que o “homem do meio” não pode fazer isso simplesmente interceptando a
conexão, ele não pode direcionar a conexão do gateway para outro portal de
administração, mesmo se tivesse um.
Tomada de Decisão
24. MAN-IN-THE-MIDDLE
• Forma de ataque em que os dados trocados entre duas partes, são de
alguma forma interceptados, registrados e possivelmente alterados.
• O man-in-the-middle pode decidir retransmitir entre os legítimos
participantes os dados inalterados, com alterações ou bloquear parte das
informações e até mesmo redirecionar essa informação
• Como os participantes legítimos da comunicação não percebem que os
dados estão adulterados, acabam fornecendo informações e executando
instruções por ordem do atacante (MITM)
25. Cenários
Quais são os possíveis cenários?
Transparente
WLAN
LTE
Obs. Em qualquer das topologias, os
dispositivos industriais não têm acesso direto à
Internet - não possuem default gateway!
31. Não só das 08:00 às 18:00h..O que aconteceria se
houvesse um problema na rede, mas você não estivesse
conectado à rede de sua empresa?
Talvez você esteja:
Em casa
Em uma outra usina ou planta
Numa viagem de negócios
Em férias
Como você pode acessar seu servidor com o software de
gerenciamento de rede para iniciar o troubleshooting
imediatamente?
Acesso Remoto a um Software de Gerenciamento de Rede
33. Acesso à Internet Via WLAN Corporativa
Rede Industrial Internet Acesso RemotoRede Corporativa
Servidor com software NMS
Cliente NMS
Seu PC Cliente
34. Rede Industrial Internet Acesso RemotoRede Corporativa
Servidor com software NMS
Cliente NMS
Acesso à Internet Via WLAN Corporativa
Seu PC Cliente
35. Acesso à Internet sem Acesso à WLAN Corporativa
Rede Industrial Internet Acesso RemotoRede Corporativa
Servidor com software NMS
Cliente NMS
Seu PC Cliente
36. Rede Industrial Internet Acesso RemotoRede Corporativa
GateManager Server
Servidor com software NMS
Cliente NMS
GateManager Server
1
37. Rede Industrial Internet Acesso RemotoRede Corporativa
GateManager Server
3G / 4G
Cliente NMS
www.gateManagerServer.com ou 200.168.xx.yy
SiteManager
2
38. Rede Industrial Internet Acesso RemotoRede Corporativa
Cliente NMS
Com
LinkManager
GateManager Server
3G / 4G
LinkManager Client
3
39. Rede Industrial Internet Acesso RemotoRede Corporativa
GateManager Server
3G / 4G
Cliente NMS
Com
LinkManager
Conexão de Saída do SiteManager para o GateManager
40. 3G / 4G
Rede Industrial Internet Acesso RemotoRede Corporativa
GateManager Server
Servidor com software NMS
Cliente NMS
Com
LinkManager
Conexão de Saída do LinkManager para o GateManager
41. 3G / 4G
Rede Industrial Internet Acesso RemotoRede Corporativa
GateManager Server
Servidor com software NMS
Cliente NMS
Com
LinkManager
Acesso Remoto Seguro com Sucesso
42. Sem necessidade de VPN
Sem alterações no firewall corporativo
Sem risco de segurança
Sem risco para a proteção do operador (Safety)
100% de controle pelo administrador da rede industrial
Realmente é simples!