RTI Connext DDS Secure verstehen

Unser Connext DDS Secure-Produkt stößt auf beispielloses Interesse. Selten sehen wir so viel Nachfrage und Neugier auf ein Produkt. Dies ist besonders ungewöhnlich, da sich das Produkt noch in der Beta-Phase befindet, aber die Kunden dennoch planen, es so schnell wie möglich zu versenden. Ich dachte, ich beantworte ein paar der häufigsten Fragen.

Zunächst spezifiziert der neue DDS-Sicherheitsstandard eine Sicherheitsarchitektur und ein Sicherheitsmodell. Der Beta-Standard wurde im März von OMG verabschiedet. Wir (RTI) führen den Vorsitz im Finalisierungsausschuss; Nächstes Jahr soll es endlich soweit sein. RTI ist der Erste mit der Unterstützung für den neuen Standard. Ich bin mir sicher, dass andere DDS-Anbieter es auch implementieren werden, aber sonst hat noch niemand ein Produkt.

DDS-Sicherheit ist aus mehreren Gründen einzigartig im Middleware-Bereich. Erstens befasst er sich umfassender mit der Sicherheit als andere Standards. Die Spezifikation umfasst Authentifizierung, Zugangskontrolle, Vertraulichkeit, Integrität, Nichtabstreitbarkeit und Protokollierung. Zweitens hat es ein "Plug-in" -Design. Die Spezifikation definiert einen Satz von Standard-Plug-In-Komponenten und eine interoperable Kabelspezifikation. Sie können jedoch Ihre eigenen Algorithmen für die Plugins definieren. Schließlich schützt es DDS-"Themen", nicht Knoten oder Verbindungen. So bietet es eine feinkörnige Kontrolle und kann sich an die einzigartigen Anforderungen des Industrial Internet of Things (IIoT) anpassen. Es ist der erste Sicherheitsstandard, der auf IIoT-Geräte-zu-Gerät- und Gerät-zu-Cloud-Netzwerke abzielt und nicht auf menschen- oder serverzentrierte Architekturen.

Vielleicht macht ein Beispiel dies deutlicher. Betrachten Sie dieses (sehr) einfache System:

DDS-Sicherheit

Hier steht "PMU" für einen Sensor (eine Phasenmesseinheit, üblich in der Leistungsregelung). Die Analysekomponente "CBM" (Zustandsbasierte Wartung) überwacht das System und sucht nach Problemen mit dem Systemzustand. Die einfache Bedienung dieses Systems:Der PMU-Sensor schreibt den Zustand, die Steuerung liest diesen Zustand und schreibt einen Sollwert. Das CBM liest den Zustand und schreibt Alarme. Der Bediener kann das System überwachen.

In DDS lässt sich dieses System einfach als Datenfluss zwischen Themen einrichten. Natürlich spezifiziert DDS Datenraten, Zuverlässigkeitsanforderungen und mehr.

Um dieses System mit Connext DDS Secure abzusichern, würden Sie eine Konfigurationsdatei erstellen, die Folgendes vermittelt:

PMU:State(w)CBM:State(r); Alarme(w)Steuerung:State(r), SetPoint(w)Operator:*(r), Setpoint(w)

Dies sagt einfach, dass PMU nur State schreiben kann. Control kann nur State lesen und SetPoint schreiben. CBM kann nur den Status lesen und Alarme setzen. Und der Bediener kann alles lesen und den SetPoint schreiben (vielleicht um das System auszuschalten). Connext DDS Secure setzt diese sehr logischen Systemeinschränkungen direkt um.

Es ist wirklich so einfach. Natürlich müssen Sie noch Zertifikate und die Konfigurationsdatei verteilen. Aber diese "themenbasierte" Sicherheit ist für IIoT-Systeme viel intuitiver als Designs, die auf dem Sperren von Protokollen oder dem Isolieren von Knoten oder dem Einschränken des Zugriffs basierend auf Benutzerrollen basieren. Connext DDS Secure agiert direkt und einfach auf den Datenfluss selbst.

Wichtig ist, dass unser Connext DDS Secure-Produkt auch keine Änderungen des Anwendungscodes erfordert. Sie konfigurieren es und gehen. Connext DDS Secure bietet praktischen, intuitiven Schutz für bestehende Systeme.

Natürlich ist kein Sicherheitsschutz narrensicher. Die meisten praktischen Sicherheitssysteme kombinieren also Schutz (Schlechtes stoppen) mit Erkennung (Finden und Isolieren von Sicherheitsverletzungen). Dies ist beispielsweise der Grund dafür, dass Ihr Laptop sowohl über eine Firewall (Schutz) als auch über einen Virenscanner (Erkennung) verfügt. Zusammen bieten Schutz und Erkennung viel sicherere Systeme.

DDS ermöglicht als Software "DataBus" auch eine einfache Überwachung. Das haben wir mit PNNL genutzt, um einen „Retrofit“-Sicherheitstest für das Stromnetz durchzuführen, eine alte DNP3-Leitung durch eine sichere DDS-Leitung zu ersetzen und damit einen Schutz zu realisieren. Indem wir den DataBus-Verkehr und den Meta-Verkehrsfluss anzapfen, könnten wir dann eine Skriptfunktion hinzufügen (wir haben eine raffinierte Lua-Komponente). Einfache Skripte könnten dann viele potenzielle Angriffe erkennen, darunter kompromittierte Systeme, Man-in-the-Middle-Angriffe usw.

Ein sicheres industrielles Steuerungssystem mit Connext DDS aufbauen »

DDS ermöglicht es Ihnen also, Schutz (den Standard) mit Erkennung (über den DataBus) zu kombinieren. Beide sind relativ einfach zu implementieren.

Unser Produkt befindet sich derzeit in der Early-Access-Version. Es wird jedoch bereits Brandtests unterzogen. Hier ist eine sehr umfangreiche Testaktivität:

Das USS SECURE Cybersecurity Testbed ist eine Zusammenarbeit zwischen der National Security Agency, Department of Defense Information Assurance Range Quantico, Combat Systems Direction Activity Dam Neck, NSWCDD, NSWC Carderock/Philadelphia, Office of Naval Research, Johns Hopkins University Applied Physics Lab und Real Time Innovations Inc. Der Teststand von USS SECURE ermittelt die beste Kombination von Cyberverteidigungstechnologien, um einen Seekämpfer zu schützen, ohne die termingerechten Leistungsanforderungen in Echtzeit zu beeinträchtigen.

Wie Sie sehen, erwartet unser Sicherheitsprodukt einige wirklich anspruchsvolle Kunden. Wir können Ihnen aus offensichtlichen Gründen nicht viel über diese Tests sagen. Ich kann jedoch sagen, dass ich sehr stolz auf unser Produkt Connext DDS Secure bin. Auf dieser und vielen anderen Seiten erweist es sich als äußerst effektiv.

RTI Connext DDS Secure wird nächstes Jahr allgemein verfügbar sein. Wenn Sie Fragen haben, wenden Sie sich bitte an Ihren lokalen Vertreter...