Con l’avvento di Industria4.0 e dell’IoT industriale, c’è un crescente interesse per collegare sistemi di controllo ed automazione di macchine ed impianti al Cloud, nell’industria come nelle utility.

Le Aziende possono quindi ottenere informazioni dettagliate sui propri processi e possono fare analisi su piattaforme IoT in Cloud e utilizzare i risultati per migliorare le performance.

Uno dei metodi per le connessioni di macchinari al cloud è quello di utilizzare OPC UA per le comunicazioni all’interno dell’impianto e un gateway MQTT per inviare i propri dati al Cloud. Sebbene questa combinazione fornisca alcune funzionalità intrinseche di sicurezza, potrebbe non soddisfare tutte le esigenze di security.

Per spiegare il perché, esaminiamo prima un tipico scenario di gateway IoT di base e poi uno scenario evoluto che aumenta sostanzialmente la security dell’impianto.

Scenario tipico

Un tipico gateway IoT combina due tipi di comunicazioni per lo scambio di dati: in-plant e plant-to-cloud. Diciamo subito che OPC UA è spesso consigliato per comunicazioni sicure per applicazioni di Industria 4.0 e Industrial IoT.

Questo perché OPC UA offre una security multilevel, incluse autenticazione e autorizzazione a livello di applicazione, nonché crittografia e integrità dei dati tramite l’uso di certificati a livello di trasporto.

Per le connessioni fuori dall’impianto OPC UA non è sicuro sempre sicuro poichè richiede l’apertura di una porta del firewall per consentire a un client esterno di connettersi all’impianto. E’ vero che è possibile utilizzare dispositivi con DPI (Deep-Packet-Inspection) ed altre regole di firewalling per una protezione “ad-hoc”, ma anche che implementare tali tecniche può non essere semplice (ed anche costoso).

Per questi ed altri motivi per le connessioni dall’impianto al Cloud, viene spesso utilizzato MQTT.

MQTT è un protocollo utile per un gateway IoT perché supportato da molti servizi cloud come Microsoft Azure, Google Cloud e Amazon IoT Core, ecc. Con MQTT è possibile effettuare una connessione in uscita dall’impianto al servizio cloud senza aprire alcuna porta del firewall in ingresso: il che è essenziale per la sicurezza dell’impianto.

Ecco allora perchè una soluzione di gateway software IoT come “DataHub IoT Gateway” di Skkynet può offrire una connettività sicura all’interno dell’impianto tramite la sua interfaccia OPC UA ed al tempo stesso una connessione sicura in uscita al cloud tramite MQTT.

Un gateway software IoT deve essere compatibile e supportare tutte le funzionalità di sicurezza OPC UA, inoltre, supportando la connessione in uscita sicura di MQTT, dovrebbe supportare un livello di trasporto sicuro, con certificato SSL. Con questa combinazione si può avere un percorso dati ragionevolmente sicuro dalla macchina in fabbrica al cloud.

Però c’è uno svantaggio: un tipico gateway IoT che invia i dati OPC UA al cloud ha bisogno di una connessione diretta a Internet. Se le policy di security dell’Azienda non consentono una connessione ad Internet diretta dall’impianto, è necessario pensare qualcosa di più sicuro

Connessione Daisy Chain

Per una connessione IoT più sicura, a volte si sceglie di utilizzare un computer isolato, un Edge o Comunication-server, all’esterno della rete dell’impianto, posto nella DMZ (De-Militarized Zone) tra rete OT e rete IT/Enterprise (secondo quando contenuto nello standard ISA/IEC62443). Si potrebbe anche scegliere di inviare un flusso di dati dalla rete OT ad un server IT, attraverso la DMZ, per poi convogliare i dati verso il cloud.

In effetti, sistemi di produzione altamente sicuri normalmente non hanno una connessione diretta a Internet e quindi devono convogliare il traffico verso il cloud attraverso l’IT o una DMZ. In ogni caso si richiede un’architettura multi-hop, nota anche come “daisy chain”. In una connessione daisy chain, ogni hop deve ritrasmettere in modo affidabile tutti i dati in ingresso, monitorando anche i client a valle di eventuali errori nelle connessioni di rete in qualsiasi punto della catena.

Sfortunatamente, né OPC-UA né MQTT sono stati progettati per questo compito e per fornire “as-is” queste funzioni.

Scenario avanzato

Uno scenario innovativo e migliorato prevede che l’intero set di dati risieda in ogni nodo e sia possibile dare l’accesso a quei dati a tutti i clienti qualificati ad utilizzarli. Questo permetterebbe anche al reparto IT un pieno accesso ai dati, anche di quelli che vengono direttamente trasmessi al servizio cloud.

Questo scenario avanzato può essere implementato utilizzando un prodotto middleware come DataHub di Skkynet, installato in ogni nodo che debba trasmettere e/o consultare tali dati. DataHub è in grado di eseguire il tunneling dei dati tra un nodo all’interno dell’impianto e un server in DMZ o dell’IT senza aprire alcuna porta del firewall in ingresso sull’impianto. Un secondo DataHub, installato sulla DMZ o sul server IT, può quindi trasmettere i dati al servizio MQTT per convogliare i dati al Cloud.

Entrando nello specifico, la connessione DataHub-to-DataHub utilizza il DataHub Transfer Protocol (DHTP), che invia e riceve dati in tempo reale utilizzando TCP su una LAN, WAN o Internet.

La connessione OPC UA al DataHub dell’impianto è un singolo hop. E anche la connessione MQTT da DataHub al servizio cloud è un singolo hop. Il protocollo DHTP gestisce le connessioni daisy-chain, rispecchiando l’intero set di dati e lo stato della connessione ad ogni nodo. DataHub consente l’accesso a tali dati da parte di Client abilitati, oltre a trasmetterli al nodo successivo della catena, mantenendo così la coerenza dei dati.

La Quality of Service del protocollo DHTP assicura che qualsiasi client o punto intermedio della catena sarà coerente con la sorgente originale dei dati, anche se alcuni dati/eventi devono essere eliminati per consentire la trasmissione con una larghezza di banda limitata. Se una connessione di rete viene persa, DataHub aggiornerà automaticamente la QoS dei dati per tutti i punti dati correlati per garantire che ogni client della catena sia immediatamente consapevole di tale perdita di connessione.

Il risultato è che con DataHub ed il suo protocollo DHTP è possibile configurare una connessione gateway OPC-UA-MQTT in modo sicuro attraverso una DMZ, via IT o un altro nodo Internet verso il Cloud, cosa non sempre possibile con la maggior parte dei prodotti gateway IoT presenti sul mercato che potrebbero essere indicati quindi solo nel tipico scenario di base da OPC UA a MQTT.

Questo potrebbe andare bene per i sistemi IoT consumer e non critici, ma le applicazioni industriali IIoT richiedono più security, affidabilità e resilienza.

In conclusione: il middleware DataHub di Skkynet è una soluzione seplice, sicura e robusta per chi deve inviare i dati al cloud da macchinari ed impianti nell’industria come nelle utility.

SCARICA IL WHITE PAPER

Fonte.