Comunicazione sicura di macchine e impianti

Connessione di sistemi critici con l’Intranet - isolamento con il microwall

La segmentazione di singole unità funzionali in azienda è una tecnica comune per incrementare la sicurezza della rete. Qui i router firewall monitorano e controllano la comunicazione tra i singoli segmenti. In funzione della grandezza dell’azienda e delle unità le necessarie regole firewall possono diventare rapidamente caotiche. Per questo il microwall si applica il più vicino possibile all’impianto a rischio e genera un’isola facilmente visibile nella rete attorno alla rispettiva unità funzionale.

A protezione dell’impianto stesso, ma anche della restante rete e dei dati al suo interno, si possono utilizzare regole filtro sotto forma di whitelist che permettono solo comunicazione espressamente autorizzata tra l’isola e la rete circostante. La serie di regole filtro necessaria per la protezione dell’isola si riduce in genere notevolmente ad una misura più limitata.

Qui trovate altre informazioni più specifiche:

• firewall, segmentazione e isolamento
• Esempio di applicazione: Isolamento di una fresa CNC

Accesso da remoto sicuro con terminale VPN direttamente sull’impianto

Per la comunicazione con partner di comunicazione esterni come i tecnici dell’assistenza di una macchina o i dipendenti in home office si utilizza un tunnel VPN. Utilizzando VPN WireGuard si stabilisce una connessione protetta e autenticata tra unità isolata e partner di connessione affidabile, attraverso cui è possibile inviare e ricevere pacchetti di dati. L’Intranet circostante viene esclusa dalla connessione e non risulta più raggiungibile per il partner della comunicazione e per eventuali hacker dell’unità segmentata.

Le parti coinvolte

Le isole della rete sono piccole sottoreti che si trovano all’interno di una rete superiore. In questo modo in azienda vengono separate singole aree per funzioni. In caso di dubbio dunque potenziali hacker e software nocivi non sono in grado di raggiungere la rete aziendale generale. Tuttavia quanti più utenti contiene una rete, tanto più ampie e complesse sono le regole filtro necessarie nel firewall. Per questo motivo può avere senso isolare singoli impianti o addirittura singole macchine o computer che comunicano al di là dell’Intranet anche in Internet.

In alcuni campi d’applicazione l’interlocutore di comunicazione di macchine, impianti o computer non si trova nella stessa rete dell’unità stessa. Questo è sempre il caso in cui si debbano fare manutenzioni da remoto su macchine, dove impianti senza operatori possono essere operati in luoghi poco accessibili o vengono raccolti dati macchina dall’esterno. In tali casi viene stabilita necessariamente una connessione tramite Internet. Anche se il partner di comunicazione è conosciuto e autenticato, i dati possono essere intercettati e letti da terzi lungo la via di collegamento. Per evitarlo e collegare in sicurezza i due partecipanti alla comunicazione, viene utilizzato il tunnel VPN.

La via dall’interlocutore di comunicazione esterno fino al punto interessato in azienda passa oltre a Internet in genere anche per l’Intranet dell’azienda. Qui sono collegate molte altre unità alla rete: PC dei dipendenti, macchine, impianti, server, firewall o altri segmenti di rete. Il tunnel VPN condotto senza vuoti fino all’isola della rete aumenta la sicurezza dei dati trasportati, ma evita anche qualsiasi accesso a tutti gli altri partecipanti alla rete. Il passaggio deve essere garantito attraverso tutti i firewall e router sul percorso Intranet.

La soluzione: Il microwall VPN

Con le sue due interfacce di rete il microwall VPN isola parti di una rete in un segmento separato e le collega all’Intranet utilizzando regole firewall configurate autonomamente . Come terminale VPN a margine dell’isola della rete, il microwall può stabilire anche un collegamento criptato con un interlocutore di comunicazione al di fuori dell’azienda. A tal scopo l’interlocutore deve installare solo il rispettivo software WireGuard e autenticarsi opportunamente. Una volta stabilita la connessione i due interlocutori comunicano come se si trovassero nella stessa rete.