IT-Sicherheit für Bestandsanlagen – SPRECON Security Gateway

> Anfrage

Allgemeines

Allgemeines

Das SPRECON Security Gateway ist – vereinfacht dargestellt – ein gesicherter, zentraler und spezialisierter Zugriffspunkt für energietechnische Anlagen.

Der gesamte netzwerktechnische Zugriff auf sekundärtechnische Geräte erfolgt dabei über das Gateway. Dieses agiert als „Deny-by-Default“-Firewall, die sämtlichen nicht ausdrücklich erlaubten Datenverkehr blockiert. Durch ein integriertes RBAC-Konzept (Role-Based Access Control) kann zusätzlich eine logische Zugriffssicherung auf alle unterlagerten Geräte umgesetzt werden. Nur korrekt am Gateway authentifizierte Benutzer erhalten über das Netzwerk Zugriff auf die für sie freigegebenen Geräte.

Das ermöglicht unter anderem:

  • die sichere Fernwartung für externe Dienstleister
  • Trennung von Netzwerken und Zuständigkeitsbereichen
  • Analyse sämtlicher Vorgänge (Stichwort Security Monitoring)

Da das Gateway auf netzwerktechnischer Ebene vor zu schützenden Systemen installiert wird, müssen diese sekundärtechnischen Bestandssysteme nicht verändert, rekonfiguriert oder funktionell neu geprüft werden – die Einführung grundlegender Sicherheitsmaßnahmen kann so mit maximaler ökonomischer Effizienz erreicht werden.

Konzept Security Gateway als zentraler Zugriffspunkt eines Netzwerkes

Viele Funktionen in einem Gerät

Anwendungsfälle

Funktionsumfang

Funktionsumfang

Gateway Konzept als Zugriffspunkt für Stationsnetzwerke („Stationszugriff“)

Stationszugriff

Das SPRECON-SG Grundgerät als Zugriffspunkt an der Zonengrenze

  • Interaktive Firewall & Routing:
    • Abschotten der darunterliegenden Anlage
    • Interaktive textuelle Verwaltung von Routen
    • Inklusive NAT (vollständiges Verbergen der darunterliegenden IP-Adressen)
  • Rollenbasierter Zugriff (RBAC)
    • Administratorkonten für Konfiguration des Gateways und Freigabe von Routen
    • Clients: können nur für sie vorgegebene Route nutzen bzw. aktivieren
    • Berechtigungen aller Benutzerkonten sind frei konfigurierbar
  • Integration der RADIUS-Authentifikation (d.h. Benutzer am Gateway werden über zentralen RADIUS-Server authentifiziert)
  • Syslog (Logging zu zentraler Stelle)
  • Zeitsynchronisation mit NTP oder lokale Zeitsetzung
  • Online-Konfiguration über gesichertes Web-Interface (kein Tool)
  • Gesicherte Dateien (Backups, Firmware-Pakete) mit Verschlüsselung und digitaler Signatur, Secure-Boot und signierte Firmware-Images
  • Einfaches Patching (Import v. neuer Firmware)
  • Einfache Installation

Sicherheitsservice-Manager

Sicherheitsservice-Manager

SPRECON-SG Erweiterung um Security-Dienste für moderne Stationsautomatisierungssysteme

Security Gateway als Authentifizierungs-Server

  • Integrierter RADIUS-Server
    • Einfachste Einbindung von SPRECON-E-C/P/T3 Geräten
    • Einbindung beliebiger Fremdgeräte möglich
  • Integrierter LDAP-Server
    • Einbindung von LDAP-Clients
    • Authentifizierung von MS Windows-Benutzerkonten
  • Benutzer können lokal definiert oder von zentralen Stellen repliziert werden
  • Replikation von Benutzern von externene LDAP-Servern oder Active Directory

Security Gateway als Syslog Relay

  • Syslog-Server für unterlagerte Geräte (Switches, Leit-/Schutztechnik etc.)
  • Logs können an zentrale Server / SIEM -Systeme weitergeleitet werden
  • Lokale Speicherung in Ringpuffer
  • Definierbare Filter für Weiterleitungen
bgContainerEnde