macmon NAC für Betriebssicherheit in der Industrie
Michael Reinholz | 15 November, 2023
Was ist Factory 4.0? Darunter versteht man eine neue Interpretation von industriellen Standards und Anwendungsgebieten in der Fertigung, in der einfachen Produktion sowie Prozessen, die zuvor analog über Industrial-Ethernet-Protokolle abgewickelt worden. Mit der Digitalisierung ergeben sich neben zahlreichen Potenzialen auch neue Einstiegpunkte für Hacker. Um die Factory 4.0 zu schützen hat macmon NAC das Konzept der Factory of ZTNA entwickelt: der Zero Trust-Ansatz in der Fabrik. Robotik, Mechanik und Protokollierung wurden zuvor über analoge Wege mithilfe von komplexen Verkabelungen realisiert. Diese Prozesse sollen mit der technologischen Entwicklung vereinfacht, modernisiert und kostengünstiger werden.
NAC – essenzieller Baustein für Sicherheit von Industrieanlagen
Netzwerksicherheit wird für die Industrie im Rahmen der IT-OT-Konvergenz ein immer wichtigeres Thema. Eine moderne Network Access Control-Lösung ist ein Schlüsselelement bei der Umsetzung von Sicherheitskonzepten im industriellen Umfeld. Wichtig ist hier Netzwerkübersicht, Steuerung und Sicherheit. Network Access Control stellt einen wichtigen Baustein in einem Gesamt-Sicherheitskonzept wie ZTNA dar. macmon NAC ergänzt bestehende Cybersicherheitsrichtlinien. Auch bei analogen Strukturen kann die NAC-Lösung mit dem Netzwerk kommunizieren, und zwar mit den Kontrollorganen. Mit macmon NAC können Security-Zones zur Überwachung analoger Netzwerke eingerichtet werden, beispielsweise mithilfe von Profit-Protokollen. Tritt durch einen Produktionsmitarbeiter oder aber einen Angriff von innen ein unbekanntes Gerät in der Sicherheitszone auf, wird dies durch die NAC-Lösung ersichtlich. Die Gefährdung ist auf die Zone beschränkt, kann nicht auf das Gesamtnetzwerk übergehen und isoliert behandelt werden.
macmon NAC kann als virtuelle oder Hardware Appliance implementiert werden, so wie es besser für die Infrastruktur des Kundenunternehmens geeignet ist. In Zeiten der Factory 4.0 empfiehlt sich in der Regel die virtuelle Appliance, da sie Flexibilität und Sicherheit bietet. Mithilfe der Virtualisierung können die Bausteine für eine sichere Umgebung in eine DMZ gegeben werden, die einen Schutz von innen und außen gewährleisten. DMZ, kurz für demilitarisierte Zone, beschreibt ein Computernetz mit kontrollierten, sicheren Zugriffsoptionen auf angebundene Server.
macmon NAC bietet mehr Granularität als herkömmliche Firewalls-Ansätze. Durch Zuweisung von Berechtigungen anhand der Authentifizierungsstufe lassen sich eine Vielzahl von Architekturen anwenden. Durch unsere Advanced Security können zusätzliche Eigenschaften von Endgeräten dazu beitragen.
Mit macmon NAC Scalability kann ein Redundanz-Prinzip implementiert werden, was den Ausfall geschäftskritischer Prozesse unterbindet und eine Hochverfügbarkeit gewährleistet. So kann Betriebssicherheit auch im Falle eines Angriffes oder technischen Versagens sichergestellt werden.
Abwicklung eines NAC-Projekts in der Industrie
Übersicht
macmon NAC kommuniziert mit der Infrastruktur in Ihrem Unternehmen und liest die darin befindlichen Werte aus. Die Lösung kann dann nachvollziehen, wo sich Ihre Assets und Steuerungssysteme befinden. Dabei greift die Lösung auf verschiedene Management-Protokolle zurück, über welche die Switche ausgelesen werden können. macmon NAC bietet eine flexible Ansicht und ein übersichtliches Monitoring-Tool. Darin können Produktionslinien und -strecken abgebildet werden.
Individuell anpassbares Dashboard
- Anzeige aller Aktivitäten und Bewegungen im Netzwerk
- Direkter Zugriff auf alle Funktionen und Menüs
- Endgeräte
- Benutzer
- Netzwerk
- Richtlinien
- Berichte
- Past Viewer
- Skalierbarkeit
- Statistiken
- Status
- Einstellungen
Topologie & Berichtswesen
- Grafische Übersicht aller Netzwerkgeräte
- Live-Bestandsmangement aller Endgeräte
- Umfassende Berichterstattung über Überwachungsdaten
- Umfangreiche Analysedaten
Network Access Control
Im zweiten Schritt entscheiden Sie als Betreiber der Anlage und Inhaber der Produktionssicherheit, inwieweit NAC für Sie anwendbar ist. Das Tool ist flexibel und kann sich den Gegebenheiten jeder Umgebung anpassen, sodass Sie wieder Herr Ihres Netzwerks werden.
NAC-Richtlinien
- Automatische Regel-Engine mit NAC-Richtlinien
- Einsortierung von Endgeräten in Gruppen
- Parallele Einführung von Sicherheitszonen
- Integrierte NAC-Regeln decken 95 Prozent der Anwendungsfälle ab
- Benachrichtigungen bei Sicherheitsereignissen
Access Control
- Einfache Umsetzung von VLAN-Konzepten und Sicherheitszonen
- Zugriffsverweigerung für unbekannte Geräte
- Zugriff über verschiedenste Identitätsquellen möglich
- 802.1X
- Industrielle Standards
Compliance
Die Compliance ist ein optionaler Schritt. Hier können nicht konforme Geräte ausgeschlossen, in einen gesicherten Netzwerkbereich verschoben oder eine Benachrichtigung an einen verantwortlichen Mitarbeiter versendet werden. Die Netzwerksicherheit kann in Zusammenarbeit mit anderen Sicherheitslösungen, die bereits im Einsatz sind, weiter erhöht werden. Diese lassen sich mithilfe der REST-API einfach und schnell integrieren.
Spezielle Anwendungsfälle von macmon NAC für die Industrie
OT-Netzwerke sind anders aufgebaut als IT-Netzwerke. Daher ergeben sich im industriellen Umfeld besondere Anwendungsfälle für Network Access Control.
Der Wartungsmodus
Der Wartungsmodus ist eine Funktion für das Ersetzen defekter Hardware oder Pflege der bestehenden Geräte im kontrollierten Umfeld. Im industriellen Bereich liegen in den meisten Fällen statische Netzwerke vor, denn Veränderungen im laufenden Betrieb innerhalb einer geschlossenen Sicherheitseinheit sind nicht gewünscht. Anhand der Protokollierung lässt sich mit macmon NAC erkennen, wenn ein Endgerät nicht mehr in Betrieb ist. Um dieses zu ersetzen, erlaubt der Wartungsmodus einen temporären Wechsel vom statischen zum veränderbaren Betrieb. Das ist zum Beispiel dann notwendig, wenn eine Anlage oder ein sonstiges Endgerät in einer Sicherheitszone gewartet, gänzlich erneuert oder umgebaut werden muss. Ein gänzlich statisches Netzwerk würde ein neues Gerät nicht zulassen. Mithilfe des Wartungsmodus haben der Anlagenführer und das Montagepersonal eine flexible Möglichkeit, eine Maschine auszutauschen und dann zurück in den Produktionsmodus zurückzukehren.
Flache Netzwerksegmentierung
Die Netzwerksegmentierung durch Firewalls ist komplex und kann nicht ohne Unterbrechung durchgeführt werden. Hinzu kommt, dass sich die meisten OT-Netzwerke historisch und praxisbezogen entwickelt haben. Eine nachträgliche Segmentierung eines flachen, gewachsenen Netzes wäre auf diese Weise ohne eine grundlegende Neugestaltung kaum möglich. Mithilfe von macmon NAC kann eine Segmentierung an der Netzwerkgrenze erfolgen, ohne die Topologie zu verändern.
Im Rahmen der itsa 2023, der Fachmesse mit Kongress rund um das Thema Informationssicherheit in Nürnberg, hat unser Experte für Network Access Control und ZTNA Michael Reinholz einen Vortrag über Anwendungsfälle von NAC im industriellen Umfeld gehalten. Dieser Artikel lehnt an diesen Beitrag an. Michael Reinholz ist seit 2021 Presales Engineer bei macmon secure.