TESİS VE MAKİNELER İÇİN Servis Erişimi Sağlamak

👤Alpay Samen, Phoenix Contact,Elektronik & Haberleşme Mühendisi, Endüstri Yönetimi ve Otomasyon

ERİŞİM GÜVENLİĞİ SORUNUNU NASIL AŞABİLİRİZ?
Üretim ağlarında yer alan tesis ve makinelerin çoğu Endüstri 4.0 veya diğer adıyla "Endüstriyel Nesnelerin İnterneti" öncü projesi kapsamında daha şimdiden bir ağ içinde birleştirildi. Veri ve servis tutarlılığını güvence altına almak için, bunun neticesinde üretim ağları şirket çapında ağlara (ofis sistemlerine) ve sonra internete bağlandı. Bu biçimde bağlanan üretim ağlarının sayısı gelecekte de artmaya devam edecek.

Şekil 1: Güvenlik araçları bağımsız üretim hücrelerini korur ve servis ağ bölgelerini olanaklı kılar. 🔍Bu türlü bir gelişim, bir dizi iş olanağı açtığı halde, operatörler için karmaşık biçimde ağ içinde bir araya getirilmiş tesis ve makinelerin erişim güvenliğini sağlamak, endüstride ICS (Endüstriyel Kumanda Sistemi) güvenliği olarak bilinen, BT güvenliği anlamında büyük zorluklar çıkartır. Üretimle alakalı veri akışları, tanımlı bir hacme azaltılır ve makine ve tesisler, ISA99 ve IEC 62443 standartlarıyla uyumlu derinlemesine savunma prensibi uyarınca bir güvenlik mimarisi oluşturmak gibi, bilinen en iyi pratikler uygulamalarıyla sürekli olarak korunur. Bu sırada, bu tür sistemlere bakım ve programlama erişiminin sürmesini sağlamak kendi başına ve kendi içinde bir işi temsil eder.

TELEFON ÇEVİRMEYLE ERİŞİLEN BİRİMLER ÖNEMLİ BİR GÜVENLİK RİSKİ OLUŞTURMAKTADIR
BT güvenliği alanında kullanılan 'soğan' yaklaşımındaki gibi, güvenlik mimarisinde derinlemesine savunma konseptini uygulamak için birbirinden erişim sınırlamalarıyla ayrılan birkaç güvenlik katmanı oluşturmak gerekir. En dış katman internete bağlıdır ve bu nedenle en güvenliksiz katmanı temsil eder. Bu katmanlara 'güven katmanları' da denir; güven seviyesi her bir ağ katmanında artar. Bunun anlamı, 'ağ soğanının' kalbi özelikle yüksek koruma gerektiren sistemlerden oluşmasıdır, üretim ağlarında bu sistemler makineler, tesisler ve onların bileşenleridir. Bu sistemler şeffaf NAT (ağ adres çevirici) üzerinden alt-ağlar oluşturarak, maskeleme yaparak ve sadece zorunlu veri akışlarının geçmesine izin veren erişim sınırlamaları koyarak korunur.

Servis ve bakım görevlerini yerine getirmek için işletici şirkette çalışan ilgili personel ve makine üreticisinin dış servis teknisyenleri, özel koruma altındaki bu ağ alanlarına erişebilmelidir. Geçmişte bu personel kendi birimlerinden bu birimlere telefon hattı üzerinden numara çevirerek erişebiliyordu. Ancak, telefon ağına bağlı doğrudan erişilebilir bu birimler önemli bir güvenlik riski oluşturmaktadır. Çünkü çeviren kişi ağın tamamına ulaşabilir ve buna bağlı sistemlere erişim için genellikle hiçbir yetkilendirme sürecinden geçmesi gerekmez. Bugünlerde bu eski teknolojik düzen genellikle popüler bir sistem olan VPN uzaktan bakım erişimiyle değiştirilmiştir.

BİR SERVİS AĞI OLUŞTURMAKŞekil 2: Servis bağlantıları için bir transfer noktası olarak hizmet vermek üzere bir servis ağı bölgesi oluşturmak bunların güvenli bir biçimde sınırlandırılmasını ve izlenmesini olanaklı kılar.🔍 
Tarif edilen çözümler, erişim için yetkilendirilmiş kimselerin kimlik bilgilerinin doğrulanmasına ve kriptolu veri haberleşmesine olanak verir. Ancak, erişim hakkına sahip bireylerin, koruma altındaki ağa serbest erişimi hala söz konusudur. Dahası kriptolama işlemi makine işleticilerinin veriler hakkında bir fikir yürütebilmesine engel olarak veri üzerindeki kontrollerini yitirmesine yol açar. Bunun sonucunda zarara neden olan etkinlikler, nedenlerine kadar izlenemez. Bu konsept sonucunda ortaya çıkan başka bir sorun da makine üreticisinin kendi tercih ettiği uzaktan erişim sistemiyle bağlanmak istemesidir. Bunun sonucunda heterojen, yönetilemez BT manzaraları ortaya çıkar. Üstelik VPN uzaktan bakım erişimi işletmenin servis teknisyenleri için, yönetilen, kimlik doğrulamalı bir erişim sağlama sorununu çözmez.

Eğer şirket içi servis personeline tesis ve makinelere kapsamlı bir erişim verilirse, bunun sonucunda güvenlik derecesi ciddi oranda düşer. Bu yüzden, ilgili erişimler sadece gerekli minimum düzeye göre ayarlanmalıdır. Bunun yollarından birisi, ayrı, izole bir ağ bölgesi (bir servis iletişim ağı) kurmak ve servis bağlantılarını burada yürütmek veya yönlendirmektir. BT sektöründe bu tür bir ağ bölgesine askersizleştirilmiş bölge denir.

TÜM SERVİS BAĞLANTILARI ÜZERİNDE DENETİM
Phoenix Contact tarafından sunulan FL mGuard ürün serisindeki güvenlik araçları endüstriyel uygulamalara uygundur ve ayrı üretim hücrelerini korur. Dahası servis iletişim ağı bölgeleri oluşturmaya olanak verirler. (Şekil 1) ICS güvenliğine göre sistematik olarak düzenlendikleri için bu cihazlar tam da burada tarif edilen görevleri yerine getirmek için gereken fonksiyonları sağlar. Servis iletişim ağı ideal olarak üretim iletişim ağı düzeyinde konumlandırılır. Her iki ağ da güvenlik araçları yardımıyla birbirinden ayrılır ve izole tutulur.

Şekil 4: Phoenix Contact aynı zamanda güvenlik konularında analiz ve danışmanlık hizmeti de sunmaktadır.🔍FL mGuard ürünleri aynı zamanda üretim hücrelerinin bağımsız ağları olarak da rol üstlenir. (Şekil 2) Bu ağlar VPN bağlantılarıyla servis iletişim ağına şeffaf bir biçimde entegre edilir. VPN'i baz alan ilgili servis bağlantıları üretim hücrelerinin üzerine kurulabilir ve onlardan ayrılabilir. Entegre dijital G/Ç'larla güvenlik araçlarını kumanda eden bir anahtar bu amaçla kullanılabilir. Alternatif olarak makine işletmenleri iç iletişim ağı olaylarını haber veren bir HMI cihazı kullanabilir. Bu yöntem işleticilere olası servi bağlantılarını kumanda etme olanağı verilir. VPN bağlantılarındaki güvenlik duvarı kuralları yetki verilen servis erişimini belirler.
Eğer VPN bağlantısının iç ağda kullanımı yasaklanmışsa, GRE (Genel Yönlendirme Kapsülü) tünel fonksiyonu ve koşullu güvenlik duvarı (ya da değiştirilebilir güvenlik duvarı kural dizileri) aynı fonksiyonları sunar.

DİNAMİK GÜVENLİK DUVARI AKTİVASYON KURALLARININ ETKİNLEŞTİRİLMESİ
Makine üreticisinin dış görev servis teknisyenleri servis ağ bölgesine VPN üzerinden bağlanır (Şekil 3). Phoenix Contact, bu uygulama için de FL mGuard Güvenli VPN İstemcisiyle veya FL mGuard Smart2 VPN ile doğru çözümleri sunar. Makine operatörünün teknisyenleri de VPN bağlantısı veya doğrudan ağ erişimiyle bağlantı sağlayabilir. Tüm erişim, ilgili teknisyenin güvenlik duvarında kimliğinin doğrulanmasıyla güvenlik araçları yapılandırılabilir. Bu proses, tanımlı kullanıcılar için dinamik güvenlik duvarı kurallarını etkinleştirme olasılığına kapı açar. Bu kurallar kimlik doğrulama için kullanılan IP adreslerine uygulanır. Böylelikle her teknisyenin yalnızca belirli erişime yetkisi olur, bu da birden çok düzeye sahip bir güvenlik konsepti oluşturulabilir demektir. Eğer operatör, makine üreticisi tarafından tercih edilen VPN çözümlerini kabul ederse, ilgili uç cihazlar servis ağ bölgesine konumlandırılmalıdır.

Tesis ve makinelere servis erişimi sağlamanın operatörler için önemli avantajları vardır, ancak bu, aynı zamanda erişim güvenliği anlamında büyük zorlukları da beraberinde getirir. Doğru stratejiler ve özel teknolojiler operatörlere bu zorluklarla başa çıkma olanağı verir ve böylelikle hem bakım maliyetlerini düşürür hem de kesintisiz çalışmayı iyileştirir.

Kavramları Düzgün Bir Biçimde Uygulamak

Phoenix Contact ICS güvenliği uzmanları, müşterilere mevcut altyapıları ve bunlara ait bileşenleri analiz etme ve değerlendirme olanağı verir. Sistemleri korumak ve güvenli erişim seçenekleri sunmak için çeşitli yaklaşımlar geliştirir. Tüm sistemlerin çalışmaya devam etmesi ve birbiriyle uyumlu bir biçimde etkileşim kurması için uzmanların konseptleri düzgün bir biçimde uygulaması önemlidir. Sonuçta güvenlik statik bir konsept değildir; sürekli bir biçimde uygulanması gerekir. Kullanıcıdan, sistem idarecisine ve güvenlikle sorumlu görevlilere varana kadar tüm bireyler aynı seviyede bilgi sahibi olmalıdır. Phoenix Contact, bu amaçla eğitimler ve seminerler sunmakta ve güvenlik konseptlerinin şirketlerde uygulandığı ve kullanıldığı metotları düzenli bir biçimde inceleyebilmektedir (Şekil 4). Bu öneriler tüm sektörlere uygulanır ve şimdi ve gelecekteki siber güvenlik konularını kapsar.