Nachrüstung in bestehenden Anlagen möglich
Einzelne Firewall-Produkte und -Technologien sind der geschilderten Aufgabenstellung nicht gewachsen. Systeme für die Cyber-Sicherheit müssen kontinuierlich kontrolliert und dokumentiert werden. Entsprechende Security-Richtlinien sollen zudem das Bewusstsein der Mitarbeiter schärfen. Mit ISA99 und NIST, aber auch der Namur-Anforderung NA 115 stehen geeignete Standards und Richtlinien für die Planung und Implementierung von Cyber-Sicherheit zur Verfügung. Daher müssen die Geräte so ausgewählt werden, dass die Anforderungen der Normen erfüllt sind. Die Lösungen müssen ferner für die Verwendung in industriellen Prozessumgebungen zertifiziert sein. Projektmanager und Endanwender fordern darüber hinaus eine einfache Konfiguration und Handhabung der Firewall-Produkte. Phoenix Contact bietet mit den Geräten der Produktfamilie FL mGuard deswegen Security Appliances, die speziell für derartige Anforderungen konzipiert worden sind. Die Geräte arbeiten als Stateful Inspection Firewall und unterstützen das Filtern der ein- und ausgehenden Verbindungen durch einen benutzerdefinierten Regelsatz. Auf Basis verschlüsselter VPN lassen sich sichere und vertrauliche Verbindungen einrichten. Außerdem überwachen die Security Appliances die Integrität der Industrie-PCs, um Malware-Angriffe abzuwehren. Sie können sowohl in neue Industrieumgebungen eingebunden, als auch bequem in vorhandenen Produktionsanlagen nachgerüstet werden. Ein solch dezentraler Sicherheitsansatz schützt nicht nur die Endpunkte, sondern eröffnet ferner große Freiheit beim Netzwerk-Design.
Effiziente Zuweisung von Benutzerrechten
Ein zentrales Management-System gestaltet die Bereitstellung der dezentralen mGuard-Geräte sowie die Zuweisung von Benutzerrechten effizient. Die intuitiv bedienbare Software sichert die Prozesse mit geringem Aufwand ab. Herkömmliche Firewalls sind nicht in der Lage, das OPC-Protokoll zu schützen. Das kann gravierende Folgen haben. Dort, wo OPC Classic nicht eingesetzt wird, ist eine Reglementierung des Netzwerkverkehrs mit einer Firewall nicht möglich. So entstehen kritische Sicherheitslücken. Phoenix Contact hat dieses Problem erkannt. Die industriellen Security Appliances mGuard können ab der Firmware-Version 8.1 um die OPC-Inspector-Funktion ergänzt werden. Die kostenpflichtige Software-Erweiterung ermöglicht eine zuverlässige, abgesicherte OPC-Kommunikation auf höchstem Sicherheitsniveau, da sie den OPC-Datenverkehr analysiert, versteht und entsprechend erlaubt. Speziell für OPC Classic werden folgende Funktionen unterstützt:
- Deep Packet Inspection für OPC Classic
- Defence in Depth
- Segmentierung durch NAT (Network Address Translation).
Mit der neuen Funktion Conditional Firewall lassen sich vordefinierte situationsbasierte Firewall-Regelsätze einfach durch externe Aktionen – vom Mausklick über Auf-/Abbau einer VPN-Verbindung bis zur eingehenden SMS bei Mobilfunk-Varianten – aktivieren. Der Anwender kann hier zwischen Regelsätzen für unterschiedliche Betriebsbedingungen wie die Zulassung oder Sperrung verschiedener Verbindungen für die Fertigung oder Wartung wählen.