Skip to main content

AI • 物聯網 • 網路邊緣

利用彈性防火牆保護工業物聯網

在 IT 的世界裡,防火牆是保護敏感網路最有效的工具之一。企業防火牆作為敏感內部網路與網際網路之間的守門人,套用預先定義的安全規則來防止未經授權的外部流量接觸公司裝置,同時保護那些裝置上的資料避免外洩。大家已十分瞭解傳統防火牆。IT 部門一般購買現成的防火牆設備,然後對企業網路的所有裝置套用全域適用的規則。另一方面,工業物聯網需要的防火牆則是複雜許多。主要原因是他們所要保護的裝置類型。在 IT 中,網路上大多數系統皆具備某種程度的裝置上防護,例如防毒軟體,即使惡意程式碼成功破解防火牆的防護,仍能阻止程式碼執行。企業系統所執行的作業系統 (OS) 只要發現漏洞,亦可用最新的軟體修補程式更新。於是,防火牆管理員可以實行基準層級的安全措施,允許各種各樣的企業裝置存取網際網路。但是許多工業裝置執行已無安全修補程式支援的舊作業系統 (OS)。即使部分系統使用新版作業系統,也經常凍結他們的軟體以確保平台穩定性。此外,大多數工業系統的資源均十分有限,且無法執行本機防毒技術。工業網路防火牆因此能為許多這類系統提供完整的安全堆疊。因為系統之間各有不同的安全要求,工業防火牆通常由單一生產設施或設備專用而不是由整個組織使用,而且針對其特定需求調整。工業防火牆由熟悉防火牆所保護的系統之操作工程師或服務技術人員部署及維護,而且所支援的連接埠和 IP 位址數量比其企業防火牆更少。這些因素導致設計工業防火牆設備時必須滿足若干獨特要求,包括:

  • 靈活彈性,可滿足各種系統的安全要求
  • 簡單明瞭,好讓熟悉工業系統的操作技術人員可以部署和維護防火牆
  • 持久耐用,經受得住嚴酷的環境考驗,例如廠房或是大型機械內部
  • 可靠度,可在延長的工業週期下有效地運作
  • 成本,以便使用多個防火牆來保護工業網路上的所有裝置

由於每個工業防火牆皆是少數裝置所專用,所以也不需要可以提供最高資料傳輸量和運算效能的網路處理器。相反的,支援工業防火牆設備的處理器應強調其經實證的技術和廣泛的市場採用率,能夠滿足上述各項要求。

搭載 Intel Atom® 處理器的彈性工業防火牆

Intel Atom® 處理器 E3800 是單核心至四核心的系統單晶片系列產品,在工業環境中已有部署,而且其效能足以滿足大多數工業防火牆設備的要求。處理器也內建一組硬體加速器,支援進階的安全功能,若正確使用可以大幅減少工業防火牆設備設計的複雜度。其一,Intel® Advanced Encryption Standard – New Instructions (Intel® AES-NI) 提升了硬體區塊的大批加密、解密和認證作業的效能,而該硬體區塊在主要 CPU 核心之外獨立運作。這是工業防火牆的重要功能,它能補足網路處理器的主要功能,同時讓處理器釋出資源處理其他任務。工業防火牆設計師若要利用 Intel AES-NI 所提供額外的處理器資源,方法之一是透過 Intel® 虛擬化技術,這項能力允許多個虛擬機器 (VM) 在同一個多核心處理器上同時執行並維持接近原生的效能。同樣重要的是,這些虛擬機器始終安全地區隔開來,所以工業防火牆設計可以有各種不同可能性。例如,在獨立安全裝置上的虛擬機器執行的防火牆功能可以與其他服務分開,例如安全檔案傳輸通訊協定 (SFTP) 伺服器,此伺服器讓舊的工業系統不需要增加硬體即可連接網際網路。作為替代方案,與現有機械整合的工業防火牆還可以把安全應用程式與控制功能分隔開,確保技術人員在維修子系統時不會影響其他系統。在這兩種技術滿足了工業防火牆設備對靈活彈性與簡單明瞭的要求之同時,Intel Atom 處理器 E3800 的設計也能經受得住嚴酷的工業環境。系統單晶片也提供極多種不同溫度的版本,能夠應付 -40 ºC 至 110 ºC 之間的運作,而且 3 至 10 W 的低熱設計功耗 (TDP) 降低了風扇散熱的需求,而風扇散熱可能造成工業環境的可靠性問題。

彈性工業防火牆的解決方案架構

為了協助發展可自訂的工業防火牆,OEM 將搭載 E3800 且利用前述多項功能的解決方案引進市場。比如,TQ-Group 的 MBox-V 就是一款彈性、被動式冷卻的盒型電腦,可部署為桌上型裝置或是使用 DIN 滑軌安裝直接與機櫃整合(圖 1)。所有裝置的內部電子零件均採用符合標準的包覆方式,協助其經受住工廠廠房常見的濕度、氣體、髒污和其他刺激源。

圖 1. TQ-Group 的 MBox-V 支援彈性的工業防火牆。(資料來源:TQ-Group

按照預設,MBox-V 在 100 mm x 100 mm x 23 mm 硬體套件中包含了 2 個 Gigabit 乙太網路連接埠、2 個 USB 連接埠以及 2 個 Mini DisplayPorts。但是整個系統都可以設定,而且透過內部的 Mini PCIe 附加介面卡可以整合更多介面卡和功能。系統亦支援選用的可信任平台模組來加強安全防護。從軟體角度而言,使用基於 IP 表格以及 Linux 強化版本的標準工業防火牆堆疊即可預先載入 MBox-V。TQ-Group 定期執行的滲透測試會迅速揭露堆疊中任何漏洞,以便及時傳送修補程式。TQ 的堆疊產品也支援通訊協定轉換(FTP 轉 SFTP)、網路介面、憑證和金鑰管理;以及「隱形模式」操作,它僅允許白名單上的連接埠和 IP 位址之間建立通訊路徑。稽核與錯誤記錄讓功能更加完整。MBox-V 不但支援其他功能例如進階封包過濾、入侵偵測/預防以及閘道服務,它也允許使用者上傳自己自訂的防火牆軟體。據 TQ-Group 指出,數家安全公司已經在使用 MBox-V 作為其工業防火牆設計的起點,並在軟體中以它為基礎建置更多功能。

靈活彈性且學習容易

所有類型的網路防火牆都有一個目標:防範敏感網路和裝置上的惡意活動。但是其連接的工業網路和裝置具有獨特的安全要求,必須使用彈性、可靠且耐用的防火牆設備。MBox-V 這一類解決方案藉由工業工程師和 IT 人員所熟悉的架構來滿足這些需求。這些小小的盒型電腦是實行安全工業物聯網的極佳方法,學習相當容易。

作者簡介

Brandon is a long-time contributor to insight.tech going back to its days as Embedded Innovator, with more than a decade of high-tech journalism and media experience in previous roles as Editor-in-Chief of electronics engineering publication Embedded Computing Design, co-host of the Embedded Insiders podcast, and co-chair of live and virtual events such as Industrial IoT University at Sensors Expo and the IoT Device Security Conference. Brandon currently serves as marketing officer for electronic hardware standards organization, PICMG, where he helps evangelize the use of open standards-based technology. Brandon’s coverage focuses on artificial intelligence and machine learning, the Internet of Things, cybersecurity, embedded processors, edge computing, prototyping kits, and safety-critical systems, but extends to any topic of interest to the electronic design community. Drop him a line at techielew@gmail.com, DM him on Twitter @techielew, or connect with him on LinkedIn.

Profile Photo of Brandon Lewis