移动HMI远程访问的两种实现方式:无需VPN的路由器和云托管VPN
本文图片来源:CEChina
作者 | Daymon
在移动人机界面(HMI)的远程访问和连接中如何寻求更多的网络安全性。
在许多工业自动化应用中移动人机界面(HMI)访问都是必需的。目前有两种常用的方法——无需VPN的标准路由器和由云托管的VPN 路由器,来实现与路由器和虚拟专用网(VPN)的这种连接。
第一个是标准路由器,尽管它安全性不高,但很多现有的移动HMI 应用仍在使用,甚至有一些较新的应用也在使用。一个主要的优势是它的成本低廉,但是并不建议使用此方法,因为在防火墙中启用端口转发时,它会将网络暴露给外部威胁,因此会带来重大的网络安全风险。
另外一个方法是采用云托管的VPN 路由器,通过创建从本地VPN 路由器到互联网的云托管VPN 路由器的加密连接,简化了信息技术(IT)的复杂性。远程用户可以通过云托管的VPN 路由器安全地访问本地组件和系统。这不仅降低了网络安全风险,也简化了配置和维护。
本文中没有考虑使用传统VPN 路由器实现的第三种类型的路由器连接, 是因为它涉及打开入站连接并产生类似于标准路由器所面临的的复杂性和风险。
标准路由器
许多工业应用都采用标准路由器和防火墙用于保护公司和工厂网络,这要求用户手动配置和管理所有路由和防火墙设置。这种类型的路由器通常没有VPN 来加密数据,但会在防火墙中创建端口用于转发,以供远程用户访问工厂网络中的特定应用程序和组件。
大多数HMI 用户都希望进行远程和本地访问。将便携式计算机通常连接到HMI 网页服务器,以监视数据并更改设置点和其它参数,或者使用编程软件连接到HMI 进行故障排除或程序变更。
要使用标准路由器进行远程连接,通常将端口转发配置为允许访问HMI 或运行远程访问软件的本地PC。本地PC 为远程用户提供了运行HMI 编程软件的能力。
HMI 移动应用程序还需要端口转发,以便远程用户可以访问本地HMI 来控制或查看数据。这些应用程序通常提供与基于浏览器的远程访问相同的功能,只是通过应用程序而非浏览器进行访问。
这种方法的主要问题是在移动应用以及基于PC 的应用程序中的与端口转发相关的安全风险。黑客很容易确定在防火墙上打开了哪些端口,并可通过路由器访问公司或工厂网络。
在公司或工厂网络中,虽然端口转发非常高效和有用,但在因特网和公司内网接口上使用此功能极其危险。制造企业应避免在新装置中使用这种路由器方法,而应将现有的标准路由器装置转换为更安全的连接,例如云托管的VPN路由器。
云托管的VPN路由器
云托管的VPN 可通过简单的设置和网络配置提供安全的连接。典型的云托管VPN 选项,包括本地VPN 路由器、云托管VPN 服务器、VPN 客户端和相互连接的自动化组件(图1)。
▎图1 :A u t o m a t i o nD i r e c t 公司的StrideLinx 云托管 VPN可为笔记本电脑、智能手机和平板电脑上托管的移动HMI 应用程序提供安全连接。
在本地路由器(位于工厂/ 控制网络)和VPN 客户端(安装在用户便携式电脑或移动设备上的软件)分别连接到云托管VPN 服务器后,将建立安全连接。本地路由器在启动时立即建立此连接,但VPN 客户端仅在收到远程用户的验证请求时连接。一旦两个连接都建立起来,通过此VPN 通道的所有数据都是安全的。
大多数云托管的VPN 每月为基本运营提供免费的带宽分配,如果在此限值之外还需要数据访问,可以申请额外的高级带宽计划。例如, 一款产品每月提供5GB 的免费VPN 数据交换,可能足以满足大多数故障排除、监控和编程的需求。
当本地路由器通过标准开放端口(例如HTTPS)经由出站连接,启动与服务器的通信时,就会降低安全风险。这通常可以避免对公司IT 防火墙的更改,并且可以满足IT 安全性的考虑。为了增强信心,用户可以寻找具有行业认证的信息安全管理系统(例如ISO/IEC27001 :2013)的云托管VPN。这表明供应商已实施了全面的安全计划和控制措施。
云托管VPN 的另一个优势是路由器配置简单。由于是将安全的本地路由器连接到预定义的云服务器,因此该路由器预先配置了复杂的VPN 网络设置,从而允许非IT 人员进行安装。所需要做的,就是了解连接到局域网的自动化组件的IP 地址,以及因特网服务提供商(ISP)或企业范围的网络路由器(不是云托管的VPN路由器)是动态还是静态提供IP地址。
其它高级选项可能包括云数据记录和报警通知,提供HMI 功能的子集,并且比自定义编程更易于使用。这些服务允许用户在其移动设备或便携式电脑上,记录系统数据并接收自定义的严重警报,从而在需要时提供方便的、基于网页系统性能的历史记录。
基于移动应用程序的远程访问
越来越多地移动应用程序开始支持工业HMI 和可编程逻辑控制器(PLC)组件。通过监视和控制功能,用户可以随时随地进行远程访问。为了安全地访问工业设备,移动设备还必须使用VPN 技术来加密从移动设备到工厂网络的数据。如果没有移动VPN,将需要打开工厂的防火墙端口,从而创建与标准路由器类似的场景,并使工厂网络容易受到网络攻击。
使用托管的VPN 可为笔记本电脑和移动设备提供安全的VPN 连接。后者通过完全支持VPN 的移动应用程序完成。通过移动VPN 应用安全地连接到工厂网络后,就可以打开第三方HMI或PLC 应用,并将其连接到本地HMI 和PLC 组件,该移动用户虚拟出现在现场,就像真的在现场一样。
一些路由器也可以为托管的VPN 提供笔记本电脑和移动设备的连接。苹果iOS 和谷歌安卓移动设备应用程序,为用户提供了安全的工厂网络连接。一些云托管的VPN 供应商还提供对基于云的数据记录软件的应用程序的访问,以及用于配置自定义仪表板以进行远程查看的小部件(图2)。
▎图2 :与安全的StrideLinx VPN 路由器一起使用时,Automation Direct 的C-more HMI移动应用程序可以安全运行。它还适用于谷歌安卓系统。
这种内置的云日志记录,对于原始设备制造商(OEM)特别有用,很多OEM 厂商在全球数百个地点安装了数千台机器,每个机器都有多个用户。OEM 将为每台机器提供一个VPN 路由器,预先配置记录数据,并包含用于在移动应用程序上进行远程查看的自定义仪表板。除了在智能手机或平板电脑上安装应用程序外,OEM 客户无需进行其它配置、安装或维护远程访问软件。
为了更广泛地访问仪表板,远程用户可以使用托管VPN 供应商提供的移动VPN,通过应用程序访问本地HMI 和PLC。与供应商的VPN 路由器一起使用时,某些移动HMI 软件可以更安全地工作。PC 也可以从本地安全地访问本地设备,以进行编程、监视或故障排除。
关键概念:
■ 移动HMI 访问的选项包括标准路由器和基于云的VPN 路由器连接。
■ 移动HMI 访问需要考虑安全性。
■ 简化访问选项具有优势。
思考一下:
更多的移动HMI访问,可以帮助您更好地完成工作吗?