Presentación utilizada en las V Jornadas técnicas de telecontrol del ciclo integral del agua, Granada 18-20 de marzo 2015.
Resumen.
En los sistemas modernos de telecontrol cada estación está conectada a un sistema centralizado que permite intercambiar constantemente datos entre las máquinas y hacia las personas. Los sistemas basados en la nube nos ofrecen, entre otras ventajas, la reducción de costes de infraestructura, la fiabilidad y la implementación más rápida de nuevas funcionalidades, lo que facilita la reducción de costes operativos y la mejora en la productividad. Aunque el uso de la nube en aplicaciones SCADA en el sector del agua se nos aparece como revolucionario y positivo, existen retos a superar tales como la seguridad o la sensación de pérdida del control del sistema. Esta ponencia trata de cómo desarrollar eficientes y seguras arquitecturas de telecontrol aprovechando las ventajas que nos ofrece el almacenamiento de los datos históricos en la nube, y abordando conceptos tales como protocolos de comunicaciones seguros, mejores prácticas en arquitecturas, y el acceso a tiempo real a KPIs críticos y datos de proceso vía smartphones y tablets. Mostraremos así mismo un ejemplo práctico basado en la solución de riego inteligente de Logitek en base a una solución tradicional con DNP3 así como en tecnología de SigFox para IoT (Internet of Things).
3. ¿Es la cloud para mí?
¿Sensación de pérdida de control?
¿Seguridad?
4. Recomendaciones
1. Usar VPNs o Secure Sockets Layer (SSL), para encriptar
desde origen a destino
2. Usar protocolos estandar y seguros (DNP3 Secure, OPC
UA)
3. Aplicar estándares de seguridad, por ejemplo IEC62443,
estrategias de defensa en profundidad: habilitar un
sistema de gestión y control de accesos (passwords,
firewalls, diodos de datos, etc…).
4. Soluciones de control redundantes.
5. Firmar buenos acuerdos con el proveedor de cloud,
entender los acuerdos de niveles de servicio (ver
programa STAR de la CSA Security)
6. OpenVPN: Descripción
Open VPN es una red privada virtual basada en código abierto que
permite crear túneles encriptados entre hosts, tanto en configuraciones
punto a punto como en configuraciones multi punto a servidor.
Basado en Open SSL.
Una red VPN puede atravesar el NAT del Router y los Firewalls. Proporciona
3 métodos de autentificación:
– Certificado RSA
– Llave pre compartida SSL/TLS
– Nombre de Usuario y Password
7. OpenVPN: Ventajas
Seguridad
Todo el tráfico de entrada y salida del
Router está encriptado.
Red Común
Todos los participantes pueden
compartir la misma subred, con lo
que es más fácil administrar la red
Reduce los costes y tiempo
de mantenimiento
Si tenemos varios Router en la misma
red, es posible ahorrar tiempo y
dinero al reducir el esfuerzo
requerido a mantenerlos.
Uso de SIM
Los Clientes VPN pueden tener IPs
dinámicas , estáticas, públicas o
privadas
8. OpenVPN
Cliente VPN en RTU.
Servidor VPN en Servidor PC / Mac /
Solaris/Android….
Internet
client
client
client
client
Server
9. OpenVPN
Cliente VPN en RTU.
Servidor VPN en RTU
Internet
client
client
client
client
Server
10. OpenVPN
Cliente VPN en RTU.
Servidor VPN en RTU
Internet
client
client
client
client
Server
11. OpenVPN
Cliente VPN en RTU.
Servidor VPN en Cloud
Internet
client
client
client
client
Server https
https
https
12. Portal de Gestión de Red
WAN/
Internet
Móvil
Red
Ethernet
Ethernet
VPN
OPEN VPN
Client
14. Características DNP3
Gestión por excepción y estampación fecha/hora en origen
• Disminuye tráfico de comunicaciones
• Ahorro energético
• Información en el momento
Almacenamiento Históricos y sincronización horaria
• Alta disponibilidad de los datos, incluso tras perdidas de comunicación.
Interoperabilidad entre fabricantes
• Estándar abierto independiente de fabricantes.
Orientado a la conexión
• Confirmación en las capas de datos y de aplicación
Flexible en arquitecturas
15. DNP3 Secure: Comunicaciones Industriales Seguras
IEC 62351 Parte 1: Retos
Mapeado de los estándares de comunicaciones TC57 a los
estándares de seguridad IEC 62351
IEC 62351 parte 2: Glosario
IEC 62351 parte 3: Profiles Incluyendo TCP/IP
IEC 62351 parte 4: Profiles Incluyendo MMS
IEC 62351 parte 5: IEC 60870-5 & derivados
IEC 62351 parte 6: IEC 61850
IEC 60870-6 TASE.2
IEC 60870-5-104 & DNP3
IEC 60870-5-101 & DNP Serie
IEC 61850 GOOSE, GSE, SMV
IEC 61850 sobre MMS
IEC62351parte7:MIBspara
gestiónderedes
* Diagrama por IEC TC57 WG15
17. Integrar con OPC UA
Plataforma de comunicaciones estándar
Seguridad
Firewall friendly
Autenticación
Autorización
Confidencialidad
Integridad
Auditabilidad
Disponibilidad
Independencia de S.O.
Integra todas las funcionalidades OPC
18. 3. Protección
Internet
Firewall integrado en el equipo
Soporte de SSL , HTTPS
Inhabilitación de servicios y
conexiones
Fuertes controles de acceso
(passwords)
Fácilmente Parcheables (y a tiempo)
Soporte snmp para eventos
22. Por último….IoT con Redes Sigfox
SigFox es una red celular independiente de banda ultra estrecha y de baja
velocidad para pequeños mensajes de muy bajo consumo y con capacidad
para conectar millones de dispositivo
Ideal para monitorizar puntos aislados
Muy bajo consumo eléctrico (300 veces menor que 3G)
Fácil instalación y configuración. No requiere desarrollar infraestructura
privada
No requiere pasarelas (directo del sensor a la cloud)
Muy bajo coste de uso (entre 5 y 20 € dispositivo/año)
Largo alcance
Sistema escalable