כיצד לממש רשתות רגישות לזמן ומאובטחות עבור IIoT באמצעות מתגי Ethernet מנוהלים

האינטרנט של דברים התעשייתי (IIoT‏) זקוק לחיבוריות מאובטחת, בזמן-אמת ועם רוחב-פס גבוה עבור התקנים שונים. רשתות IIoT באוטומציה של Industry 4.0, ניהול מים, עיבוד נפט וגז, תחבורה, ניהול תשתית רשת החשמל, ויישומים קריטיים דומים זקוקות גם כן לדרך יעילה וגמישה לספק חשמל להתקנים, והן זקוקות לפתרון חיבוריות עם צפיפות נקודות-חיבור גבוהה לתמיכה במספר גדול של התקנים במקום מינימלי. מתגי Ethernet מנוהלים של הדור-הבא יכולים לספק את הצרכים הללו ועוד הרבה.

מתגי Ethernet מנוהלים ניתנים להגדרה ולבקרה מרחוק, המפשטות את הפריסה והעדכונים של הרשת. הם מאפשרים מגוון רחב של ארכיטקטורות רשת כמו טופולוגיות כוכב וקו עם פעולה יתירה, כולל תאימות ל-IEC 62439-1, הישימה על רשתות אוטומציה בעלות זמינות גבוהה. הם תומכים בתקני IEEE 802.1 עבור Time Sensitive Networking‏ (TSN‏) ו-IEEE 802.3 עבור Power over Ethernet‏ (PoE‏) ו-+PoE‏.

מתגים אלו זמינים עם הרשאה לתוכנית ISSecure‏ עבור מערכות אוטומציה ובקרה מן-המדף המבוססות על סדרת התקנים של International Society of Automation‏/ International Electrotechnical Institute‏ (ISA/IEC‏) 62443‏. ניתן להגדיר תצורות עם שילובים של חריצי 10/100BASE TX / RJ45 עבור חיברורי נחושת, וחריצי סיבים אופטיים נתקעים עם גורם-צורה קטן (SFP‏) עם שלוש-מהירויות ניתנות-לכוונון של Mb/sec‏ 100‏ (Mb/s‏), Gb/sec‏ 1‏ (Gb/s‏) ו-Gb‏ 2.5‏.

מאמר זה פותח במבט קצר על המעבר מפירמידת האוטומציה של Industry 3.0‏ לעמוד האוטומציה של Industry 4.0‏, ממשיך וסוקר מספר אפשרויות לפריסת רשתות עבור העברת תעבורה דחופה ולא-דחופה, ובוחן את שיקולי ההתאמה והמימוש של TSN‏. לאחר מכן הוא בוחן כיצד PoE ו-+PoE יכולים לפשט את הספקת-הכוח לחיישנים, בקרים והתקנים אחרים ב-IIoT, ומציג את חשיבות האבטחה, כולל הרשאת ISSecure ומאפייני אבטחה מתקדמים כמו רשימות בקרת גישה (ACL) והגנה מפני מניעת-שירות (DoS‏) במהירות המקסימלית האפשרית (Wire-Speed‏). המאמר מסיים בתיאור היתרונות של שימוש במתגי Ethernet‏ מנוהלים ומציג מספר דוגמאות למתגים מנוהלים BOBCAT‏ של Hirschmann‏.

מפירמידה לעמוד

המעבר מארכיטקטורת מפעל פירמידה של Industry 3.0 לארכיטקטורת העמודים של Industry 4.0 הוא הכוח המניע מאחורי הפיתוח של TSN. הפירמידה הפרידה את פונקציות המפעל להירארכיה מרצפת הייצור לפונקציות בקרה וניהול מרכזיות. תקשורת בזמן-אמת נחוצה בעיקר ברמה הנמוכה ביותר של רצפת הייצור, שבה נתוני חיישנים מבקרים את תהליכי הייצור. כל זה משתנה ב-Industry 4.0‏.

עמוד האוטומציה של Industry 4.0 מקטין את מספר הרמות מארבע לשתיים: רמת השטח ועמוד השדרה של המפעל. רמת השטח כוללת מספר גדל והולך של חיישנים ומגוון הולך וגדל של בקרים. כמה בקרים יורדים לרמת השטח מרמת הבקרה/בקר הלוגיקה הניתן-לתכנות (PLC) של הפירמידה. במקביל, פונקציות אחרות שבעבר היו ברמת הבקרה/PLC עוברות לעמוד השדרה של המפעל, והופכות ל-PLC וירטואליים ביחד עם מערכת ביצוע ייצור (MES), פונקציות בקרת פיקוח וקליטת נתונים (SCADA‏) ותכנון משאבים ארגוניים (ERP‏).

שכבת החיבוריות קושרת את רמות השטח ועמוד השדרה. שכבת החיבוריות והרשתות ברמת-השטח חייבות לספק תקשורת במהירות גבוהה עם שיהוי נמוך ולהיות מסוגלות לשאת צירופים של תעבורה בעדיפות-נמוכה ותעבורה קריטית-בזמן. רשתות TSN תומכות בדרישה זו על ידי הפעלת תעבורת רשת דטרמיניסטית בזמן-אמת (DetNet‏) על גבי רשתות Ethernet סטנדרטיות (איור 1).

איור 1‏: המעבר מפירמידת האוטומציה לעמוד האוטומציה דורש חיבוריות עם יכולת TSN‏. (מקור התמונה: Belden‏)

שלוש תצורות TSN

תקן IEEE 802.1 Ethernet מפרט שלוש תצורות עבור TSN: מרכזית, מבוזרת (נקרא גם מבוזר במלואו), ותצורה היברידית עם רשת מרכזית ומשתמשים מבוזרים. בכל מקרה, התצורה היא אוטומטית ביותר כדי לפשט את פריסות ה-TSN ומתחילה בזיהוי פונקציות ה-TSN הנתמכות ברשת והפעלת הפונקציונליות הדרושה. בשלב זה, ההתקן המשדר המדבר יכול לשלוח פרטים על זרם הנתונים שישודר. שלוש הגישות הן שונות באופן הטיפול בדרישות ההתקן ובזרם הנתונים ברשת.

בתצורה הממורכזת, המדברים והמאזינים מתקשרים באמצעות התקן הלוגיקה של תצורת המשתמש המרכזית (CUC‏). ה-CUC יוצר את דרישות זרם הנתונים על סמך מידע המדבר והמאזין ושולח אותם להתקן תצורת הרשת המרכזית (CNC‏). ה-CNC קובע את חלון הזמן עבור זרם הנתונים הבא על בסיס גורמים כמו טופולוגיית הרשת וזמינות המשאבים, ושולח את פרטי התצורה הנדרשים למתגים (איור 2).

איור 2: ארכיטקטורת TSN מרכזית משתמשת ב-CUC כדי להתחבר עם המדבר והמאזין וב-CNC כדי לשלוח את פרטי התצורה למתגים. (מקור התמונה: Belden)

בתצורה המבוזרת אין צורך ב-CUC ו-CNC, ודרישות ההתקן מופצות דרך הרשת על סמך הפרטים שבתוך כל התקן. בתצורה ההיברידית, ה-CNC משמש לתצורת TSN, והתקני המדבר והמאזין חולקים את הדרישות שלהם דרך הרשת (איור 3). הגישות המרכזית וההיברידית מאפשרות להגדיר (לנהל) את מתגי הרשת באופן מרכזי.

איור 3: דוגמאות לתצורות TSN מבוזרת (למעלה) והיברידית (למטה). (מקור התמונה: Belden)

PoE‏ ו-+PoE‏

Power over Ethernet‏ (PoE‏) הוא השלמה מצוינת ל-TSN בעמוד האוטומציה של Industry 4.0. אחד הכוחות המניעים ב-Industry 4.0 הוא ה-IIoT המורכב מחיישנים, מפעילים ובקרים רבים. PoE פותח כדי להתמודד עם האתגרים של הזנת התקני IIoT בכל מפעל או מתקן אחר.

PoE תומך בהעברה בו-זמנית של נתונים במהירות גבוהה (כולל TSN) והספקת-כוח על כבל רשת יחיד. לדוגמה, ניתן לפלג מתח של VDC‏ 48‏ עד 100 מטר דרך כבל CAT 5/5e‏ באמצעות PoE. בנוסף לפישוט התקנות הרשת, PoE מפשט את המימוש של ספק-כוח אל-פסק ומקורות הספקת-כוח יתירים ויכול לשפר את האמינות של תהליכים וציוד תעשייתיים.

PoE משתמש בשני סוגים של התקנים: ציוד מיקור הספק (PSE) המזריק הספק על הרשת, והתקנים מוזנים (PDs) המחלצים ומשתמשים בהספק. ישנם שני סוגים של PoE. PoE בסיסי יכול לספק עד מקסימום של W‏ 15.4‏ ל-PD‏. +PoE הוא פיתוח מאוחר יותר היכול לספק עד W‏ 30‏ ל-PD.

אבטחת הרשת

ISA‏ ו-IEC‏ פיתחו שורה של תקנים עבור מערכות אוטומציה ובקרה תעשייתית (IACS‏). סדרת ISA/IEC 62443 כוללת ארבעה פרקים. פרק 4 מיועד עבור ספקי התקנים. התקנים מורשי IEC 62443-4-2 נבדקים באופן עצמאי והם מאובטחים-עוד-מהתכנון, כולל פרקטיקות מומלצות עבור אבטחת סייבר. שני כלים חשובים לאבטחת IACS הם רשימות בקרת גישה (ACL) והגנה מפני התקפות מניעת שירות (DoS). בשני המקרים קיימות מספר גישות עבור מהנדסי הרשת.

ACLs‏ משמשים כדי לאפשר או למנוע מתעבורה להיכנס או לצאת מממשקי הרשת. היתרון בשימוש ב-ACL הוא שהם פועלים במהירות הרשת ואינם משפיעים על תפוקת הנתונים, שיקול חשוב ביישומי TSN. ה-HiOS‏ של Hirschmann‏ מחלקים את ה-ACLs‏ לשלוש קטגוריות:

ל-ACL בסיסי עבור תעבורת TCP/IP יש מספר מינימלי של אפשרויות תצורה עבור הגדרת כללי הרשאה, כגון "התקן A יכול לתקשר רק עם קבוצת התקנים זו", או "התקן A יכול לשלוח סוגים ספציפיים של פרטים להתקן B בלבד," או "התקן A לא יכול לתקשר עם התקן B‏." השימוש ב-ACL בסיסי יכול לפשט ולהאיץ את הפריסה.

ACLs מתקדמים עבור תעבורת TCP/IP זמינים גם כן, והם מעניקים בקרה גרנולרית יותר. ניתן להתיר או לדחות תעבורה על סמך העדיפות שלה, דגלונים המוגדרים בכותרות וקריטריונים אחרים. כללים מסוימים ניתן ליישם רק בשעות מסוימות של היום. ניתן לשקף את התעבורה לנקודת-חיבור אחרת לצורך ניטור או ניתוח. ניתן לאלץ סוגים ספציפיים של תעבורה לנקודת-חיבור מוגדרת ללא קשר ליעדו המקורי.

כמה התקני IACS אינם משתמשים ב-TCP/IP, ו-HiOS מאפשר גם להגדיר ACL ברמת מסגרת Ethernet על סמך כתובת בקרת גישה למדיה (MAC). ACLs ברמת MAC אלה יכולים לאפשר סינון על סמך מגוון של קריטריונים, כולל סוג התעבורה, השעה ביום, כתובת ה-MAC המקורי או היעד וכן הלאה (איור 4).

איור 4‏: ACLs‏ ברמת-MAC בהם ניתן להשתמש בהתקנים שאינם משתמשים ב-TCP/IP. (מקור התמונה: Belden)

בעוד שאת התצורה של ACLs‏ חייבים להגדיר מראש, הגנת DoS ממומשת לרוב בתוך התקנים ומופעלת אוטומטית. היא יכולה להתמודד עם התקפות TCP/IP‏, TCP/UDP‏ ופרוטוקול הודעות בקרת אינטרנט (ICMP‏) מהדורות הקודמים. עבור מקרי TCP/IP ו-TCP/UDP, התקפות DoS לובשות צורות שונות הקשורות לחבילת הפרוטוקולים, כלומר שליחת מנות (Packets‏) שאינן תואמות לתקן אל ההתקן המותקף. לחלופין, ניתן לשלוח מנות נתונים לכתובת ה-IP של ההתקן המותקף, הגורמות ללולאה אינסופית של מענים. מתגי Ethernet יכולים להגן על עצמם, ויכולים להגן על התקנים מהדורות הקודמים שברשת על ידי סינון אוטומטי של מנות נתונים זדוניות.

מתקפת DoS נפוצה נוספת מגיעה דרך פינג ICMP‏. פינגים נועדו לזהות זמינות התקנים וזמני תגובה ברשת, אך ניתן להשתמש בהם גם עבור התקפות DoS. לדוגמה, התוקף יכול לשלוח פינג עם מטען גדול דיו כדי לגרום לגלישה של החוצץ בהתקן המקבל אשר בתורה גורמת לקריסת חבילת הפרוטוקולים. מתגי ה-Ethernet המנוהלים של היום יכולים להגן על עצמם באופן אוטומטי מפני התקפות DoS מבוססות-ICMP‏.

מתגים מנוהלים

מתגי Ethernet מנוהלים BOBCAT של Hirschmann תומכים ב-TSN וכוללים יכולות רוחב-פס מורחב על ידי התאמת ה-SFPs‏ בין Gb/s‏ 1‏ עד Gb‏ 2.5‏ מבלי לשנות את המתג. יש להם צפיפות נקודות-חיבור גבוהה עם עד 24 נקודות-חיבור ביחידה אחת, וקיימות אפשרויות נקודות-חיבור קישור-מעלה SFP או נחושת (איור 5). מאפיינים אחרים כוללים:

• הרשאות ISASecure CSA‏ / IEC 62443-4-2‏, כולל ACLs‏ ומניעת DoS‏ אוטומטית
• תמיכה בעד W‏ 240‏ על פני 8‏ נקודות-חיבור +PoE/PoE ללא שיתוף עומס
• תחום טמפרטורות סטנדרטי של סביבת הפעולה של C‏°‏0‏ עד 60°C‏+ ודגמים הפועלים בתחום טמפרטורות מורחב של 40°C- עד 70°C+
• דגמים עם הרשאת ISA12.12.01‏ לשימוש במקומות מסוכנים

איור 5: מתגי Ethernet מנוהלים BOBCAT הזמינים במגוון של תצורות. (מקור התמונה: Hirschmann‏)

דוגמאות של מתגי BOBCAT‏ של Hirschmann‏ כוללות:

• BRS20-4TX‏ עם ארבע נקודות-חיבור RJ45‏ / ‎10/100 BASE TX‏ בדירוג עבור טמפרטורות סביבה של C‏°‏0‏ עד 60°C‏+
• BRS20-4TX/2FX‏ עם ארבע נקודות-חיבור RJ45‏ / ‎10/100 BASE TX‏ ושתי נקודות-חיבור סיבים אופטיים Mbit/s‏ 100‏, בדירוג עבור טמפרטורות סביבה של C‏°‏0‏ עד 60°C‏+
• BRS20-4TX/2SFP-EEC-HL‏ עם ארבע נקודות-חיבור RJ45‏ / ‎10/100 BASE TX‏ ושתי נקודות-חיבור סיבים אופטיים Mbit/s‏ 100‏, בדירוג עבור טמפרטורות סביבה של 40°C- עד 70°C+ והרשאת ISA12.12.01‏ לשימוש במקומות מסוכנים
• BRS20-4TX/2SFP-HL‏ עם ארבע נקודות-חיבור RJ45‏ / ‎10/100 BASE TX‏ ושתי נקודות-חיבור סיבים אופטיים Mbit/s‏ 100‏, בדירוג עבור טמפרטורות סביבה של C‏°‏0‏ עד 60°C‏+ והרשאת ISA12.12.01‏ לשימוש במקומות מסוכנים
• BRS30-12TX‏ עם ארבע נקודות-חיבור RJ45‏ / ‎10/100 BASE TX‏ וארבע נקודות-חיבור סיבים אופטיים Mbit/s‏ 100‏, בדירוג עבור טמפרטורות סביבה של C‏°‏0‏ עד 60°C‏+
• BRS30-16TX/4SFP‏ עם ארבע נקודות-חיבור RJ45‏ / ‎10/100 BASE TX‏ וארבע נקודות-חיבור סיבים אופטיים Mbit/s‏ 100‏, בדירוג עבור טמפרטורות סביבה של C‏°‏0‏ עד 60°C‏+

סיכום

קיימים מתגי Ethernet מנוהלים התומכים ב-TSN‏, PoE‏ ו-+PoE‏, מעניקים רמות גבוהות של אבטחת סייבר ומספקים חיבוריות עם רוחב-פס גבוה הדרושה עבור IIoT ומבנה רשתות עמוד Industry 4.0. מתגים אלה הם קלים להגדרת התצורה, בעלי צפיפות נקודות-חיבור גבוהה, בעלי יכולות תחומי טמפרטורות פעולה מורחבים והם זמינים בגרסות מורשות עבור ISA12.12.01 לשימוש במקומות מסוכנים.