alphaspirit - stock.adobe.com
IT/OT-Konvergenz: Die besten Strategien im Detail
IT/OT-Konvergenz erlaubt Unternehmen eine direktere Steuerung und Überwachung der zwei Systeme. Doch um von den Vorteilen zu profitieren, gilt es, die Unterschiede zu verstehen.
Schon der Begriff IT/OT-Konvergenz klingt durch die Akronyme sperrig und kompliziert. Trotzdem müssen Admins lernen, was es damit auf sich hat, wenn sie keine eigene Technologie für operative Missionen erfinden wollen.
Jeder weiß, dass IT die Abkürzung für Information Technology (Informationstechnologie) ist, beim Akronym OT sieht das aber schon anders aus. OT steht für Operational Technology (Operative Technologie oder Betriebstechnologie). Doch viele wissen immer noch nicht, warum OT nicht das Gleiche ist wie IoT oder warum es sich nicht um eine Unterkategorie von IT handelt.
IT- und OT-Unterschiede bremsen die Integration
Der größte technische Unterschied zwischen IT und OT besteht darin, dass Ersteres sich auf transaktionale Interaktionen zwischen Mensch und Anwendung fokussiert, Letzteres hingegen auf ereignisbasierte Interaktionen zwischen Bedingungen und Prozesssystem.
IT erzeugt Workflows, OT erzeugt Regelkreise. IT konzentriert sich häufig nicht darauf, die Reaktionszeiten auf Bruchteile von Millisekunden zu reduzieren, weil menschliche Prozesse typischerweise Prozessverzögerungen tolerieren. Bei OT ist mitunter sogar ein Regelkreis von 10 Millisekunden lang.
Das zweite Problem der IT/OT-Konvergenz sind unterschiedliche Sicherheitsanforderungen. IT unterstützt menschliche Arbeitskräfte, die menschliche Maßstäbe auf die Aktionen anwenden, die das System durchführt oder empfiehlt. OT reicht Steuerungsbefehle direkt an industrielle Prozesse durch. Sie zu manipulieren, könnte direkte Auswirkungen in der realen Welt haben. Denken Sie etwa an Hackerangriffe auf das Stromnetz.
Wie sich die Gegensätze überwinden lassen
Es gibt drei mögliche Wege, um den besonderen Anforderungen von OT gerecht zu werden. Die erste Möglichkeit ist kaum praktikabel: erstellen Sie dafür ein komplett separates Netzwerk. Die zweite und dritte Option gleichen OT-Unterschiede mithilfe derselben Technologie wie IT-Netzwerke aus. Die zweite erstellt eine OT-Partition, und die dritte priorisiert OT-Traffic innerhalb des IT-Frameworks. Manchmal lassen sich beide unabhängig voneinander anwenden, aber es ist am besten, wenn man beide zusammen nutzt.
Das Partitionieren von IT/OT-Netzwerken bedeutet, jeweils ein separates virtuelles Netzwerk zu erstellen, um den OT-Traffic zu isolieren und die Konnektivität zu verwalten. Admins können OT-Traffic leichter priorisieren, wenn er in einem virtuellen Netzwerk separiert wird.
Ein eigenes IP-Subnetz für den OT-Traffic anzulegen, gehört logischerweise dazu. OT-Anwendungen werden normalerweise innerhalb eines IP-Subnetzes bereitgestellt, wobei jede Komponente eine private IP-Adresse erhält, die sich nicht ins Internet routen lässt. Ausgewählte Komponenten, die externen Zugriff benötigen, können dazu das unternehmenseigene VPN nutzen. Durch die heutigen Container, insbesondere auf Basis von Kubernetes, kann diese Struktur einfach erstellt und verwendet werden.
Organisationen nutzen private IP-Adressen oft nur innerhalb von IP-Subnetzen, aber es ist möglich, sie anwendungsweit zu erstellen, so dass der gesamte OT-Traffic zu einer privaten IP-Adresse geleitet wird. Machen Sie nur Adressen für APIs verfügbar, die von Anwendungen oder Nutzern referenziert werden oder andere APIs referenzieren. Das verbessert die OT-Sicherheit erheblich, selbst wenn die Organisation keine weiteren Schritte unternimmt.
Sensoren und Controller können ebenfalls geschützt werden, wenn sie die gleiche Adresse wie die Anwendungen und Hosts nutzen. Die meisten Interaktionen zwischen Kontrollelementen und OT-Anwendungen finden dann innerhalb des privaten virtuellen Netzwerks statt. Keine der Sensor- und Controller-Adressen muss über das Unternehmens-VPN oder das Internet sichtbar gemacht werden. Diese Maßnahme erstellt eine fast unabhängige OT-Community, die Ressourcen mit IT-Anwendungen teilt, aber von diesen Anwendungen und ihren Nutzern getrennt ist.
Durch die Partitionierung von OT-Netzwerken über Subnetze oder private IP-Adressen werden die Anwendungen auf LAN-Ebene nicht unsichtbar. Für eine größere IT/OT-Isolierung ist es möglich, das LAN zu segmentieren, um eine fast vollständige Trennung zu erreichen.
Zu den virtuellen LAN-Technologien gehören der 802.1Q-Standard und proprietäre VLANs von Anbietern wie Cisco. In jüngerer Zeit ist es dank Software-defined Networking (SDN) möglich geworden, hochflexible VLANs unbegrenzter Anzahl und Größe anzulegen. Mit dem OpenFlow-Standard lassen sich Switches steuern, um explizite VPNs zu erstellen. Unternehmen wie VMware, Juniper und Nokia sehen andere Methoden vor.
VLANs sind der praktikabelste Weg für die LAN-Partitionierung von OT-Hosts und -Anwendungen, weil sich auf diese Weise Anwendungen selbst innerhalb eines Data Centers separieren lassen. Für den Sensor- und Controller-Teil eines OT-Netzwerks ist es gelegentlich einfacher, ein anderes physisches Netzwerk zu nutzen. Verwenden Sie kabelgebundenes Ethernet, Wi-Fi oder eine Kombination von beidem. OT-Sensoren und -Controller finden sich üblicherweise in begrenzten Bereichen, so dass sich die LAN-Partitionierung eventuell leichter durchführen lässt.
IT/OT-Konvergenz erfordert eine Netzwerktrennung
Es mag wie ein Widerspruch in sich klingen, aber Partitionierung ist der zuverlässigste Weg, um IT und OT zu konvergieren, wobei kein System vom anderen weiß.
Falls es nicht möglich ist, OT und IT mit den üblichen Mitteln zu separieren, kann es notwendig sein, beides per Zugriffssteuerung voneinander abzuschotten. Solange OT einen separaten und unterschiedlichen Adressbereich nutzt, können Admins Forwarding-Regeln und Zugriffssteuerungs-Policies erstellen, die kontrollieren, wer oder was auf die OT-Seite zugreifen darf, und sogar den OT-Traffic an möglichen Überlastungspunkten priorisieren.
Das größte Problem bei der IT/OT-Konvergenz liegt in der Schwierigkeit, festzustellen, inwieweit sich beides unterscheidet. Wenn Organisationen OT-Anwendungen einfach wie IT-Anwendungen und OT-Sensoren und -Controller wie menschliche Arbeitskräfte behandeln, müssen sie übliche Praktiken für die zwei durchsetzen. Anders zu handeln, würde permanente Änderungen an Richtlinien und Zugriffssteuerungstabellen erfordern.
Wenn alle OT-Adressen in einen bestimmten Bereich fallen, selbst wenn dieser ein offener Teil des VPNs ist, können andererseits Admins Policies erstellen, um den Traffic zu priorisieren und unberechtigten Zugriff zu verhindern, indem sie einfach die Adressbereiche selbst überprüfen.
Unternehmen wollen kein Geld verschwenden. Falls Admins triftige Gründe für die Integration von IT und OT haben, sollten sie versuchen, die dadurch entstehenden Vorteile nicht durch die Kosten der Integrationsmethoden zunichtezumachen. Wenn Organisationen keinen wirklichen Grund haben, aktuell getrennte Netzwerke zu integrieren, sollten sie warten, bis ein solcher Grund vorliegt und es klare Anforderungen für den Prozess gibt.