Con l’avvento di Industria4.0 e dell’IIoT, c’è un crescente interesse per collegare sistemi di controllo ed automazione di macchine ed impianti al Cloud, nell’industria come nelle utility.
Le Aziende possono quindi ottenere informazioni dettagliate sui propri processi e possono fare analisi su piattaforme IoT in Cloud e utilizzare i risultati per migliorare le performance.
Uno dei metodi per le connessioni di macchinari al cloud è quello di utilizzare OPC UA per le comunicazioni all’interno dell’impianto e un gateway MQTT per inviare i propri dati al Cloud. Sebbene questa combinazione fornisca alcune funzionalità intrinseche di sicurezza, potrebbe non soddisfare tutte le esigenze di security. Per spiegare il perché, esaminiamo prima un tipico scenario di gateway IoT di base e poi uno scenario evoluto che aumenta sostanzialmente la security dell’impianto.
Scenario tipico
Un tipico gateway IIoT combina due tipi di comunicazioni per lo scambio di dati: In-Plant e Plant-to-Cloud. Diciamo subito che OPC-UA è spesso consigliato per comunicazioni sicure per applicazioni di Industria 4.0 e Industrial IoT. (attenzione: OPC-UA è diverso da OPC-DA, ne è la sua evoluzione).
Questo perché OPC-UA offre una security multilevel, incluse autenticazione e autorizzazione a livello di applicazione, nonché crittografia e integrità dei dati tramite l’uso di certificati a livello di trasporto.
Per le connessioni fuori dall’impianto OPC-UA non è proprio sempre sicuro poichè richiede l’apertura di una porta del firewall per consentire a un Client esterno di connettersi all’impianto. E’ vero che è possibile utilizzare dispositivi con DPI (Deep-Packet-Inspection) ed altre regole di firewalling per una protezione “ad-hoc”, ma anche che implementare tali tecniche non è sempre semplice (e può essere anche costoso).
Per questi ed altri motivi per le connessioni dall’impianto al Cloud, a volte viene utilizzato MQTT.
MQTT è un protocollo utile per un gateway IoT perché supportato da molti servizi Cloud come Microsoft Azure, Google Cloud e Amazon IoT Core, ecc. Con MQTT è possibile effettuare una connessione in uscita dall’impianto al servizio cloud senza aprire alcuna porta del firewall in ingresso: il che è essenziale per la sicurezza dell’impianto.
Ecco allora perchè una soluzione di gateway software IoT come “DataHub IoT Gateway” di Skkynet può offrire una connettività sicura all’interno dell’impianto tramite la sua interfaccia OPC UA ed al tempo stesso una connessione sicura in uscita al Cloud tramite MQTT.
Un gateway software IIoT deve essere compatibile e supportare tutte le funzionalità di sicurezza OPC-UA, inoltre, supportando la connessione in uscita sicura di MQTT, dovrebbe supportare un livello di trasporto sicuro, con certificato SSL. Con questa combinazione si può avere un percorso dati ragionevolmente più sicuro dalla macchina in fabbrica alla applicazione in Cloud.
Però c’è uno svantaggio: un tipico gateway IIoT che invia i dati OPC-UA al Cloud ha bisogno di una connessione diretta a Internet (e di una DMZ!). Se le policy di security dell’Azienda non consentono una connessione ad Internet dall’impianto, è necessario pensare qualcosa di più sicuro.
Connessione Daisy Chain
Per una connessione IIoT più sicura, a volte si sceglie di utilizzare un computer isolato, un Edge o Comunication-Server, all’esterno della rete dell’impianto, posto nella DMZ (De-Militarized Zone) tra rete OT e rete IT/Enterprise (secondo quando contenuto nello standard ISA/IEC62443).
Si potrebbe anche scegliere di inviare un flusso di dati dalla rete OT ad un server IT, attraverso la DMZ, per poi convogliare i dati verso il Cloud.
In effetti, sistemi di produzione altamente sicuri normalmente non hanno una connessione diretta a Internet e quindi devono convogliare il traffico verso il cloud attraverso l’IT o una DMZ. In ogni caso si richiede un’architettura multi-hop, nota anche come “daisy chain”.
In una connessione daisy chain, ogni hop deve ritrasmettere in modo affidabile tutti i dati in ingresso, monitorando anche i client a valle di eventuali errori nelle connessioni di rete in qualsiasi punto della catena.
Sfortunatamente, né OPC-UA né MQTT sono stati progettati per questo compito e per fornire “as-is” queste funzioni.
Scenario avanzato
Uno scenario innovativo e migliorato prevede che l’intero set di dati risieda in ogni nodo e sia possibile dare l’accesso a quei dati a tutti i Client qualificati ad utilizzarli. Questo permetterebbe anche al reparto IT un pieno accesso ai dati, anche di quelli che vengono direttamente trasmessi al servizio in Cloud.
Questo scenario avanzato può essere implementato utilizzando un prodotto middleware come DataHub di Skkynet, installato in ogni nodo che debba trasmettere e/o consultare tali dati. DataHub è in grado di eseguire il tunneling dei dati tra un nodo all’interno della rete dell’impianto e un server in DMZ o dell’IT senza aprire alcuna porta del firewall in ingresso verso l’impianto. Un secondo DataHub, installato nella DMZ o su un server IT, può quindi trasmettere i dati via MQTT per convogliare i dati al Cloud.
Entrando nello specifico, la connessione DataHub-to-DataHub utilizza il DataHub Transfer Protocol (DHTP), che invia e riceve dati in tempo reale utilizzando TCP su una LAN, WAN o Internet.
La connessione OPC-UA al DataHub dell’impianto è un singolo hop. E anche la connessione MQTT da DataHub al servizio in Cloud è un singolo hop. Il protocollo DHTP gestisce le connessioni daisy-chain, rispecchiando l’intero set di dati e lo stato della connessione ad ogni nodo.
DataHub consente l’accesso a tali dati da parte di Client abilitati, oltre a trasmetterli al nodo successivo della catena, mantenendo così la coerenza dei dati.
DATAHUB connessioni OT-IT sicure
Scarica il white paper!
CLICCA QUI
La Quality of Service del protocollo DHTP assicura che qualsiasi Client o punto intermedio della catena sarà coerente con la sorgente originale dei dati, ed anche se alcuni dati/eventi devono essere eliminati per consentire la trasmissione con una larghezza di banda limitata. Se una connessione di rete viene persa, DataHub aggiornerà automaticamente la QoS dei dati per tutti i punti dati correlati per garantire che ogni Client della catena sia immediatamente consapevole di tale perdita di connessione.
Il risultato è che con DataHub ed il suo protocollo DHTP è possibile configurare una connessione gateway OPC-UA/MQTT in modo sicuro attraverso una DMZ, via IT o un altro nodo Internet verso il Cloud, cosa non sempre possibile con la maggior parte dei prodotti gateway IoT presenti sul mercato che potrebbero essere indicati quindi solo nel tipico scenario di base da OPC-UA a MQTT.
Questo potrebbe andare bene per i sistemi IoT consumer e non critici, ma le applicazioni industriali IIoT richiedono più security, affidabilità, real-time e resilienza.
In conclusione: il middleware DataHub di Skkynet è una soluzione semplice, sicura e robusta per chi deve inviare i dati al Cloud da macchinari ed impianti nell’industria come nelle utility.