A HMS Networks cég Ewon márkanév alatt működő biztonságos ipari távelérési rendszer két összetevője:
- Cosy/Flexy gateway készülékek
- Talk2M Felhő
A HMS Networks cég Ewon márkanév alatt működő biztonságos ipari távelérési rendszer biztonságának elemei:
1. Cosy/Flexy és Talk2M felhő közti forgalomban csak belülről kezdeményezett, Outbound-only kapcsolat lehetséges (nem kell portnyitás, kívülről nem kezdeményezhető kapcsolat)
Az üzem hálózatán működő Flexy/Cosy soha nem enged kívülről kezdeményezett, befelé irányuló kapcsolatot, csak kifelé épít titkosított kapcsolatot kizárólag a Talk2M szerverek felé.
Ez azt jelenti:
- nincs port forward
- nincs nyitott 443/1194/500/4500 port
- nincs támadható felület kívülről
- CGNAT mögül is működik
Egy hagyományos VPN-router esetén:
- portokat kell nyitni
- publikus IP kell
- a router maga támadási felület
Ez az egyik legnagyobb különbség.
2. Többrétegű hitelesítés és jogosultságkezelés
A Talk2M és az Ewon eszközök:
- kétfaktoros hitelesítést használnak
- felhasználónkénti jogosultságot kezelnek
- audit logot vezetnek minden kapcsolatról
- IP-szűrést és szerepköröket támogatnak
Egy sima VPN-router általában:
- egyetlen VPN-felhasználót ad a teljes hálózatra
- nincs részletes audit
- nincs finomhangolt hozzáférés PLC-khez, HMI-khez
3. Ipari DMZ és szeparáció (az üzemi hálózat elszigetelése a távoli felhasználótól)
Az üzemi, vállalati szintű, átfogó számítógéphálózatot IT (Information Technology) hálózatnak, míg az egyes gépek körüli, közvetlen vezérlési célú hálózatokat OT (Operation Technology) hálózatnak nevezik.
A Flexy/Cosy úgy van tervezve, hogy:
- a vállalati IT hálózat és az OT hálózat szigorúan el van választva
- a távoli mérnök csak a Cosy/Flexy gateway belső (LAN) oldalán lévő adott PLC-/HMI-hez férjen hozzá (OT hálózat), nem a teljes gyárhoz. A Cosy/Flexy WAN oldalán lévő üzemi (IT) hálózatból nem lát semmit.
Egy hagyományos VPN-router:
- gyakran „full tunnel” hozzáférést ad
- a távoli mérnök látja az egész belső hálózatot
- rossz konfiguráció esetén az OT hálózat teljesen kitárul
4. Beépített ipari biztonsági funkciók
A Flexy/Cosy olyan funkciókat tartalmaz, amelyek egy normál routerben nincsenek:
- tűzfal ipari protokollokra optimalizálva
- DPI (deep packet inspection) bizonyos protokollokra
- automatikus firmware-integritás ellenőrzés
- tanúsítvány alapú kommunikáció
- automatikus biztonsági frissítések
5. Talk2M infrastruktúra – globális, redundáns, auditált
A HMS saját, ipari célú VPN-felhője:
- ISO27001 tanúsított
- globális redundáns szerverpark
- SLA-val biztosított elérhetőség
- folyamatos biztonsági audit
Egy hagyományos VPN-router esetén:
- a cég saját IT-ja üzemelteti a VPN szervert
- nincs ipari SLA
- nincs külső audit
- a biztonság a konfigurációtól függ
6. Megfelel e az Ewon a NIS2-nek?
A NIS2 nem termék-tanúsítvány, hanem szervezeti kiberbiztonsági követelményrendszer. Ezért egyetlen router vagy eszköz sem lehet „NIS2-kompatibilis” önmagában. A kérdés inkább így hangzik:
„Használható-e az Ewon a NIS2 követelményeinek teljesítéséhez?”
Igen, használható. A HMS hivatalos útmutatókat is kiadott arra, hogyan kell az Ewon eszközöket és a Talk2M szolgáltatást NIS2-nek megfelelően konfigurálni.
Miért illeszkedik az Ewon a NIS2 elvárásaihoz?
1. IEC 62443 alapú biztonsági modell
A NIS2 egyik fő hivatkozási pontja az IEC 62443 ipari kiberbiztonsági szabvány. Az Ewon megoldások kifejezetten ehhez igazodnak (hozzáférés-kezelés, naplózás, szeparáció).
2. Erős hitelesítés és MFA
A NIS2 előírja a megfelelő erősségű hitelesítést és a többfaktoros azonosítást. A Talk2M ezt natívan támogatja.
3. Hozzáférés-korlátozás és „least privilege”
A NIS2 megköveteli, hogy minden hozzáférés:
- kontrollált
- naplózott
- minimális jogosultságú legyen
Az Ewon felhasználói és eszközszintű jogosultságkezelést biztosít.
4. Auditálhatóság és naplózás
A NIS2 egyik kulcseleme a részletes naplózás. A Talk2M minden kapcsolatot naplóz, időbélyeggel és felhasználóval.
5. Biztonságos távoli hozzáférés (outbound-only)
A NIS2 megköveteli a támadási felület minimalizálását. Az Ewon outbound-only VPN-t használ, nincs portnyitás, nincs publikus támadási felület.
Tanusítványok: