Profitieren auch Sie von unserer sicheren Internet Connectivity!
Wie verbindet man embedded Systeme einfach und sicher mit der Cloud?
Sollen die embedded Systeme nur zyklisch Daten in die Cloud schicken (One-Way) ist es einfach: da gibt es Protokolle wie MQTT. Möchte man aber Fernzugriff für Programmierung, Konfiguration, Support, Bedienung und Wartung – dann wird es viel schwieriger. Bestehende Lösungen mit VPN-Tunnel sind komplex und teuer bei der Installation und im Betrieb. Beim Umgang mit vielen Systemen wird das ein großer Kostenfaktor.
iniNet Solutions bietet hier eine Technologie, welche einfach in jedes System integriert werden kann, eine hohe Sicherheit bietet und sehr geringe Kosten verursacht.
SpiderControl VPI Internet Access ist ein patentiertes Konzept für den Internetzugang, das in punkto Einfachheit hinsichtlich Installation und Benutzung kaum zu schlagen ist. Alle Bedienerseiten und Funktionen, die über das HTTP Protokoll benutzt werden können, werden über ein Portal im Internet sichtbar gemacht – und dies bei Wahrung von hohen Sicherheitsstandards.
Dies gilt insbesondere für die embedded Web-Server. OEM-Kunden profitieren vor allem von einer großen Transparenz, die im Internet abgebildet wird.
Technische Informationen
Der VPI-Agent kann direkt auf Ihre SPS oder an ein Gerät im gleichen Netzwerk integriert werden und braucht nur einige Dutzend kB an Code. Der embedded VPI-Agent ist erhältlich für WinCE oder embedded Linux und kann auch auf ein RTOS portiert werden. Die Vorteile dieses Konzeptes sind enorm:
- keine zusätzliche Hardware (z.B. VPN Router) notwendig, alle Komponenten laufen auf der SPS
- keine öffentliche IP Adresse erforderlich, der Agent funktioniert mit jeder Internet-Access Infrastruktur (Prepaid GSM, Public WLAN, …)
- keine Modifikationen an der Firewall nötig, es reicht ein http-Zugriff aufs Internet
- einfachste Installation
- volle Verschlüsselung möglich, etc.
Der Agent ist in der Programmiersprache „C“ geschrieben und kann auch direkt auf kleinen Steuerungen betrieben werden. Somit unterhält ein embedded System selbständig eine Verbindung ins Internet, ohne dass dafür eine feste (und damit kostenpflichtige) IP-Adresse oder ein weiteres Gerät notwendig ist. Die bei DynDns entstehenden Probleme mit einem IP-Adresswechsel entfallen auch komplett. Der embedded Agent integriert zudem eine symmetrische Verschlüsselung, die auch auf kleinen Plattformen wenig Performance braucht. Somit bildet diese Lösung das Optimum in Punkto Hardwareaufwand, laufenden Kosten und Sicherheit.
Im Gegensatz zu einer Anbindung mit DynDns ist die SPS nicht einfach über eine IP Adresse im Internet sichtbar, sondern über ein virtuelles Unterverzeichnis des Portalservers. Dieser Portalserver befindet sich in einer sicheren Zone, kommuniziert nach außen über verschlüsselte Verbindungen und verwaltet Benutzer, Passworte sowie Zugriffsrechte und Profile in einer zentralen Datenbank. Bei Bedarf können im Portal auf einfache Weise gezielt gewisse Funktionen gesperrt werden. Ebenso kann zentral ein Logfile der Benutzerinteraktionen (Audit Trail Funktion) implementiert werden.
Anwendungen
Diese Technologie kann in bestehende Systeme integriert werden. Auf dem embedded System wird der VPI-Agent integriert (wenige kByte Code), welcher mit der VPI-Cloud kommuniziert. Diese Verbindungen können dann transparent von beliebigen Cloud-Applikationen des Kunden benutzt werden.
VPI Internet Agent
Fernzugriff per Internet: VPI Agent für den Internet Fernzugriff in das Intranet
Für die Überwachung und die Steuerung von Geräten ist der Fernzugriff über einen Web-Browser auf einen (embedded) Webserver eines entfernten Systemes eine breit eingesetzte Technologie. Virtual Private Infrastructure (VPI)-Systeme verbinden Remote-Geräte über ein VPI-Portal mit dem Internet. VPI verwendet HTTP vom VPI-Portal zum VPI-Agenten, um mit dem Remote-Gerät zu kommunizieren. Das VPI-Portal leitet die HTTP-Anfragen an den VPI-Agenten weiter, der als Relaisstation fungiert und sie an das VPI-Gerät selbst weiterleitet. Es handelt sich um eine ‘Reverse-Proxy’ Funktion.
Ein VPI-Portal ist eine Kommunikationsplattform, die auf HTTP-Ebene transparent sein muss. Es empfängt Anfragen von VPI-Clients über TCP-Port 80 und leitet sie an VPI-Agenten weiter. Dazu gehört auch die transparente Weiterleitung von Remote Procedure Calls (RPC). Auf die gleiche Weise werden die Antworten der VPI-Agenten an die VPI-Clients weitergeleitet.
Somit ist ein VPI-Portal mehr als nur ein HTTP-Proxy. Es ist die zentrale Verwaltungsplattform für alle Zielgeräte im System. Es führt eine Liste mit den Links aller Zielsysteme aus, auf die er Zugriffsrechte hat. Bei Auswahl eines Ziels wird eine transparente HTTP-Verbindung zum VPI-Agenten aufgebaut.
Da HTTP über URLs eine eigenen Namespace bereitstellt, können verteilte HTTP-Server über Proxy- und Relay-Server organisiert werden, wodurch das zugrunde liegende IP-Adressschema leichter verborgen werden kann. Die Verwaltung eines solchen Konzepts kann daher einfacher und weniger anspruchsvoll sein.
Vorteile
- Der ganze Datenverkehr über das Internet geschieht verschlüsselt (HTTPS).
- Gateway und Firewall: Keine Konfigurationsänderung nötig
- Jeder Benutzer identifiziert sich per Passwort und Benutzernamen
- Die Zugriffsrechte können in einfacher Form vom Endkunden selber verwaltet werden. Der VPI-Agent des Kunden verwaltet und kontrolliert die Zugriffsrechte, somit hat der Kunde immer die genaue Kontrolle darüber, wer wo was machen kann
- Jeder Zugriff kann detailliert protokolliert werden
- Die klar definierte Funktionalität der VPI erlaubt eine wirkungsvolle, automatisierte Ueberwachung gegen Hacker-Attacken
- Der Zugriff wird auf Applikations- statt auf Protokollebene realisiert. Das Freischalten des IP Protokolls für einen externen Benutzer bei einer herkömmlichen Lösung bedingt die Konfiguration umfangreicher Restriktionen, um die Sicherheit zu gewährleisten. Die VPI hingegen implementiert von Anfang an nur die wirklich benötigte Funktionalität und ist daher viel einfacher zu kontrollieren und viel robuster gegenüber Attacken
- Die Verbindung kann vom Gerät aus bei Bedarf erst aktiviert werden
- Die gesamte Verbindung kann jederzeit geschlossen werden, ohne dass der normale Betrieb des Netzwerkes irgendwie tangiert wird
Netzwerktopologie