Heutige Steuerungen verfügen nur über wenige Schutzfunktionen für IT- und Netzwerksicherheit. Security Appliances mit eigener Hardware wären eine Add-on-Lösung. Kostendruck und immer leistungsfähigere Prozessoren führen aber eher zum Wunsch nach Hardwarekonsolidierung. Der IT-Megatrend und Kostensenker Virtualisierung wird daher auch die industrielle Automation erfassen.Mit der Vernetzung von Maschinen und Anlagen ergeben sich neue Möglichkeiten für die IT-Integration von Prozessen und den Tele-Service über Fernverbindungen, aber auch neue Herausforderungen im Bereich der Netzwerksicherheit. Sicherheitslösungen mit eigenständigen Geräten haben zwar den Vorteil einer physischen Trennung von Nutz- und Schutzfunktionen, die einander nicht beeinflussen und mit jeweiligen Kernkompetenzen getrennt entstehen können. Ihr Einsatz scheitert infolge der zusätzlich benötigten Hardware aber häufig an Kostenrestriktionen.
Gleichzeitig ist eine permanente Verbesserung beim Preis-Leistungs-Verhältnis von Prozessoren, Speichern und Peripheriebauteilen zu beobachten. Dies führt zu einer Verlagerung von Hardwarekomponenten auf Softwarefunktionen, begrenzt durch den Zwang zur Modularisierung, ohne die sich technische Risiken nicht beherrschen und Subsysteme verschiedener Zulieferer nicht zusammenführen lassen. Virtualisierung ist der Schlüssel, um die Kostenvorteile weiterer Hardwarekonsolidierung bei gleichzeitiger Modularisierung nutzen zu können. Dies führt zum Konzept virtueller Security Appliances für die industrielle Automation.
 
Virtualisierung in IT und Automation
Die Virtualisierung von Client- und Server-Systemen ist in der Unternehmens-IT heute Stand der Technik. Typischerweise arbeiten die virtuellen Systeme im Netzwerk auf einer Server-Farm. Die Bereitstellung und der koordinierte Betrieb virtueller Maschinen auf einer gemeinsamen Hardware erfolgen dabei durch eine als Hypervisor oder Virtual Machine Monitor bezeichnete Software.
Es gibt zwei Typen von Hypervisoren: Typ-1-Hypervisoren laufen direkt auf der Hardware und koordinieren nur die vorhandenen Hardware-Ressourcen, und Typ-2-Hypervisoren laufen als Applikation in einem Wirtssystem. Die erzielbare Performance sinkt durch die zusätzliche Betriebssystemschicht.
In der Automation und Steuerungstechnik liegen die Anforderungen anders als in der IT. Die hier eingesetzten Systeme arbeiten auf dedizierter Hardware ohne Operatoreingriff. Typischerweise hat mindestens eine Komponente Echtzeitanforderungen. Von den beiden nachfolgend beschriebenen Virtualisierungstechniken kommt daher vorrangig die Paravirtualisierung infrage.
Bei der Hardwarevirtualisierung gaukelt die Technik dem Gastsystem einen vollständig eigenen Computer vor. Das Gastsystem behält seine eigene Zeitscheibenverwaltung. Eine Echtzeitfähigkeit ist dadurch nicht möglich. Das Gastsystem kann abhängig von Plattform und Implementierung zum Teil direkt auf unterliegende Hardwarekomponenten zugreifen. Andere Komponenten simuliert es komplett, was einen sehr komplexen Hypervisor notwendig macht.
Bei der Paravirtualisierung arbeitet das Gastsystem modifiziert, um besser mit dem Hypervisor kooperieren zu können. Zeitscheiben- und Speicherverwaltung lassen sich enger verflechten, dadurch kann ein Echtzeitverhalten möglich werden. Die interne Kommunikation zwischen Gastsystemen oder Gastsystem und Hypervisor erfolgt über spezialisierte Schnittstellen.
Bei dem von Innominate entwickelten Hyper-Secured-Konzept sind die Automatisierungskomponenten – zum Beispiel eine Steuerung und eine Security Appliance – als jeweils eigenständige virtuelle Maschinen nach dem Prinzip der Paravirtualisierung mit einem Typ-1-Hypervisor auf einer Hardware integriert. Dies erschließt der Steuerung alle Vorteile einer vorgeschalteten Security Appliance bei reduzierten Hardwarekosten. Die Steuerung lässt sich auf diese Weise effizient vor unbefugten Zugriffen und Angriffen durch Schadsoftware schützen.
 
Proof of Concept
Mit der Musterimplementierung eines Hyper-Secured-PLCs hat Innominate auf Basis seiner M-Guard-Technik und Komponenten der Partner Wind River und KW-Software die Realisierbarkeit und Tragfähigkeit dieses Konzepts nachgewiesen. Das Vorzeigesystem verbindet eine echtzeitfähige Profinet-Steuerung mit einer Security Appliance als Firewall und Fernwartungslösung. Die Kommunikation zwischen Steuerung und den Komponenten der Profinet-Zelle findet in einem eigenen Ethernet-Netzwerk statt, das keine weitere Verbindung nach außen hat. Dadurch ist die zeitkritische Kommunikation innerhalb der Zelle sichergestellt. Die Kommunikation zwischen Steuerung und Außenwelt für Projektierung und andere Verbindungen ohne Echtzeitanforderung erfolgt durch die Security Appliance hindurch. Die interne Kommunikation zwischen Steuerung und Security Appliance läuft über eine virtuelle Netzwerkschnittstelle.
Als Hardware kam eine industrielle Embedded-PC-Baugruppe auf Basis einer Intel Atom Z530 Single-Core CPU mit 1,6 GHz, 512 MB RAM und zwei Gigabit-Ethernet-Ports zum Einsatz. Der verwendete Wind River Hypervisor vom Typ 1 für echtzeitfähige Paravirtualisierung ist mit etwa 0,5 MByte Codegröße sehr kompakt. Der CPU-Kern wird durch den Hypervisor auf zwei virtuelle Boards abgebildet. Die Zuweisung der Zeitscheiben für die virtuellen Maschinen erfolgt nach einem statischen Modell, sodass ein definiertes Zeitverhalten möglich ist. Die notwendigen Peripheriekomponenten – insbesondere Netzwerkschnittstellen – sind den einzelnen virtuellen Maschinen inklusive I/O-Speicherbereichen und Interrupts direkt und exklusiv zugewiesen. Die Profinet-Steuerung ist in der beispielhaften Installation durch das Laufzeitsystem Proconos von KW-Software unter Vxworks realisiert, dessen Ressourcenbedarf bei rund 1,5 MByte liegt. Die zur Paravirtualisierung notwendigen Eingriffe bleiben für das Laufzeitsystem völlig transparent.
Für die Paravirtualisierung einer M-Guard Security Appliance waren Änderungen am Linux-Kern der M-Guard-Firmware nötig. Die Entwickler passten die Systemkonfiguration an die virtuelle Maschine an und stellten für die x86-Architektur einen Speicherbedarf von 128 MByte ein. Das virtuelle M-Guard stellt einen umfassenden Schutz der Steuerung sicher, da es durch die exklusive Zuweisung der Netzwerkschnittstellen allein mit dem externen Netz in Kontakt kommt. Auch der DoS-Schutz gegen Denial-of-Service Attacken greift aufgrund der direkten Hardwarekontrolle. Im Extremfall ist nur M-Guard überlastet. Aufgrund der vollständigen Trennung hinsichtlich Speicher und Rechenzeit durch den Hypervisor bleibt die Steuerung davon unbeeinträchtigt.

Der Hyper-Secured-PLC-Demonstrator: In der Mitte ist das als Plattform genutzte Evaluation Board auf Basis eines Intel-Atom-Prozessors zu sehen.

Beispielhafte Realisierung einer sicheren Steuerung nach dem Hyper-Secured-Konzept.

LANline.