如何將生產系統安全連接到 AI 引擎?
發布時間:2024-10-12 作者:Xavier Mesrobian
工業人工智能(AI)的未來似乎一片光明。許多初步研究和試點項目表明,通過將生產系統連接到 AI 引擎,可以顯著提高效率并節省成本。但現實是,必須面對一個嚴峻的挑戰。
我們如何確保這些生產系統及其數據的絕對安全?畢竟,大多數 AI 工具都是基于云的。我們需要的是從工廠到在云端運行的 AI 系統的安全和實時連接。
確保工業數據安全的推薦方法是完全的網絡分段。運營技術(OT)系統應與互聯萬和云系統完全隔離。最好使用非軍事區(DMZ)來完成此操作,將生產網絡保持在封閉的防火墻后面。世界各地的政府和行業領導者都同意這種基本的工業網絡安全實踐,NIS2 指令和 NIST CSF 2.0 也要求這樣做。
對工業通信的挑戰
通過 DMZ 將數據從生產環境傳輸到基于云的 AI 系統需要兩個步驟:工廠到 DMZ ;以及從DMZ 到云。但是,OPC-UA 和 MQTT 并非為此類途徑而設計。盡管它們經常用于工業物聯網和工業 4.0 系統,但它們是在 2000 年代初期構思的,遠在人們考慮將工業數據遷移到云之前。
OPC UA 協議本身過于復雜,無法在跨多臺服務器的菊花鏈模式中很好地復制。信息可能會在第一跳丟失。跨 DMZ 傳輸數據所需的同步多跳交互將非常脆弱,可能會導致高延遲。
另一方面,MQTT 可菊花鏈模式連接,但它需要單獨配置鏈中的每個節點,并意識到它是鏈的一部分。MQTT 中的服務質量(QoS)保證無法通過鏈傳播,這使得鏈末端的數據不可靠。因此,MQTT 最好僅用作最后一步,將數據從 DMZ 移動到云。
那么,將 OPC UA 和 MQTT 相結合會怎么樣?將數據安全地從工廠傳輸到 DMZ 是一項挑戰。在該步驟中使用 OPC UA 有一個嚴重的陷阱,因為它需要在生產網絡上打開防火墻。DMZ 上的任何 OPC UA 客戶端都需要通過防火墻連接到工廠中的 OPC UA 服務器。為這種連接打開工廠防火墻的風險太高,大多數安全管理員都不會允許這樣做。
隧道/鏡像技術
由于 OPC-UA 和 MQTT 單獨或一起都不足以通過 DMZ 傳遞數據,因此需要另一種方法,即一種與兩種協議完美集成的方法。具有統一命名空間的安全隧道/鏡像軟件提供了一種解決方案。它可以在兩端建立連接,并沿著 DMZ 支持所需的菊花鏈模式連接傳遞數據。
圖:處理來自OT網絡的數據通過DMZ流向AI云服務。圖片來源:Skkynet
隧道或鏡像連接通常使用兩個軟件組件。第一個組件在生產級別進行必要的連接,以將來自各種行業協議的數據收集到單個統一的命名空間中。然后,它將數據通過隧道傳輸到 DMZ 上運行的第二個組件。
第二個組件將數據轉換為 MQTT,并將其從 DMZ 發送到云中的 AI 服務。隧道/鏡像軟件的鏡像功能使原始數據源、DMZ 和 AI 系統之間的數據保持一致。
防火墻和數據二極管
如前所述,生產系統上的所有入站防火墻端口必須始終保持關閉狀態。隧道/鏡像系統必須能夠建立從生產網絡到 DMZ 的僅出站連接。
此外,一些高安全性的關鍵基礎設施應用需要硬件數據二極管,以確保沒有任何數據包可以從 DMZ 發送回工業網絡。隧道/鏡像系統需要為這些應用程序支持該級別的安全架構。
其他 AI 應用的實施可能需要雙向數據流,以實現無需干預的監督控制或類似數據輸入回生產系統。隧道/鏡像技術應該足夠靈活,以便在需要時支持這一點。
在任何情況下,都不應訪問 AI 系統使用的數據以外的數據。工廠工程技術人員應能完全控制哪些數據可以使用。
總而言之,為了優化生產系統,當今許多公司都在轉向工業 AI。他們面臨的挑戰是如何在不影響安全性的情況下訪問所需的數據。這很困難,但并非不可能。您可以擁有零攻擊面的 OT 網絡,并且仍向基于云的 AI 系統提供數據。安全性由 DMZ 提供。使用精心設計的隧道/鏡像軟件可以通過 DMZ 訪問生產數據。