Efektywne sieci automatyki

Projektowanie efektywnie działającej sieci automatyki jest zadaniem trudnym i to nie tyle z powodu trudności doboru elementów i fizycznego ich połączenia – co z powodu ilości aplikacji i usług, które będą w jej ramach wykorzystywane.

Na fizyczną część sieci składają się: routery, switche, firewalle zazwyczaj skonfigurowane w redundantnej strukturze drzewiastej. Drzewo takie zbudowane jest z bardzo wydajnych redundantnych switchy centralnych, redundantnych switchy rozmieszczonych w różnych lokalizacjach i budynkach firmy oraz switchy dostępowych dla poszczególnych obszarów lub pięter budynku.

Przewodnik dla systemów SCADA i bezpieczeństwa przemysłowych systemów sterowania („Guide to Supervisory Control and Data Acquisition, SCADA and Industrial Control Systems Security”), wydany przez NIST (National Institute of Standards and Technology), dostarcza wzorców budowy sieci automatyki i właściwego wykorzystania w nich zapór ogniowych i routerów. Jednakże zaprojektowanie efektywnej sieci automatyki wymaga również wiedzy o strukturze sieci logicznych, konfigurowanych programowo, tworzonych przez wykorzystywane w firmie programy i serwery. Ich struktura może wpływać na strukturę części fizycznej projektowanej sieci.

Sieci logiczne definiują i umożliwiają usługi m.in.: autoryzacji, wymiany danych, ochrony antywirusowej, uaktualniania wersji systemów operacyjnych i używanych aplikacji, usługi DNS (systemu nazw domenowych), poczty elektronicznej, serwerów drukarek, administrowania routerami i switchami czy aktywacji systemu Microsoft Vista. Zakres wielu z tych usług nie odzwierciedla fizycznej, drzewiastej budowy sieci.

Dostęp przez zaporę ogniową

Jedną z najbardziejistotnych (programowych) usług sieciowych są usługi uwierzytelniania i autoryzacji. Wykorzystują one usługi katalogowe, bazujące na protokole LDAP (Lightweight Directory Access Protocol) czy AD (Active Directory) – do autoryzacji i określenia praw użytkownika systemu. Sieci autoryzacyjne są zbudowane z hierarchicznie zreplikowanych baz usług AD bądź z sieci zaufanych serwerów LDAP z zreplikowanymi serwerami po obu stronach zapory ogniowej (firewalla). Błędy w budowie sieci mogą spowodować nadmierny ruch wywołany kopiowaniem baz autoryzacyjnych, co może być przyczyną ograniczenia przepustowości sieci.

Sieć współdzielonych danych definiowana jest przez aplikacje i serwery wykorzystywane do wymiany danych. Wymiana ta może odbywać się poprzez prostą wymianę: plików, wiadomości o transakcjach czy operacjach bazodanowych. Współdzielenie danych pomiędzy różnymi działami przedsiębiorstwa, tak jak np. pomiędzy halami przemysłowymi a biurami kontroli produkcji mieszczącymi się nierzadko w oddzielnym budynku, często wymaga udostępnienia dodatkowych portów w zaporze ogniowej. Jednymi z usług, które bezpośrednio wpływają na fizyczną budowę sieci, są usługi akwizycji i archiwizowania danych. Historiany często gromadzą dane z obszarów przedsiębiorstwa o ograniczonym dostępie i udostępniają je w mniej zabezpieczonych, bardziej otwartych obszarach przedsiębiorstwa. Ograniczają tym samym dostęp w czasie rzeczywistym poprzez zapory ogniowe do chronionych obszarów przedsiębiorstwa. Oczywiście taka replikacja danych może również ograniczyć przepustowość sieci, co należy wziąć pod uwagę podczas jej projektowania.

Wpływ sieci logicznych

Sieci serwerówantywirusowych i serwerów aktualizujących oprogramowanie są następnymi dwoma sieciami programowo logicznymi, które istnieją po obu stronach firewalli. Szczęśliwie mają one niewielki wpływ na obciążenie sieci, wymagają jednak dodatkowych kanałów w zaporach ogniowych. Następne kanały w zaporach ogniowych wymagane będą w przypadku wykorzystywania OPC-UA (Unified Architecture) czy też bezpiecznych połączeń wykorzystujących certyfikaty standardu X509 lub klucze publiczne.

Większość przemysłowych sieci komunikacyjnych zawiera również lokalne serwery DNS połączone z serwerami korporacyjnymi. Rozwiązanie takie pozwala na lokalną pracę w sytuacjach, gdy komunikacja z siecią korporacyjną jest zakłócona. Połączenia takie wymagają jednak dodatkowych kanałów dostępu poprzez firewall. Podobnie, planując użycie systemu Microsoft Vista, nie należy zapominać o połączeniu jego lokalnych serwerów aktywacyjnych z korporacyjnymi serwerami aktywacji.

Ostatecznie, kończąc temat sieci logicznych, nie można zapomnieć o przekraczających zapory ogniowe serwerach pocztowych czy też o umożliwiających drukowanie dokumentów poza chronioną strefą serwerach drukarek. Administratorom sieci z kolei należy zapewnić możliwość konfiguracji routerów i switchy z obu stron zapór ogniowych. Podczas projektowania sieci bazującej na protokole Ethernet TCP/IP pod uwagę muszą być więc wzięte wszystkie sieci logiczne wykorzystujące daną sieć fizyczną. Zaprojektowanie programowych sieci automatyki przed finalizacją projektowania sieci fizycznej pomoże przyspieszyć proces wdrożenia systemu oraz pozwoli wydatnie zwiększyć jego bezpieczeństwo.

ce


Autor felietonu jest prezesem firmy
konsultingowej, zajmującej się przemysłowymi
rozwiązaniami z zakresu IT.

Artykuł pod redakcją dra inż. Pawła Dworaka