¿Cómo conecto de forma segura mi sistema de producción al motor de IA?

Oct 28, 2024 Dejar un mensaje

El futuro de la inteligencia artificial (IA) industrial parece brillante. Muchos estudios iniciales y proyectos piloto han demostrado que al conectar los sistemas de producción a motores de IA se pueden lograr importantes ganancias de eficiencia y ahorros de costos. Pero la realidad es que hay un serio desafío que debemos enfrentar.

 

¿Cómo podemos garantizar la seguridad absoluta de estos sistemas de producción y sus datos? Después de todo, la mayoría de las herramientas de inteligencia artificial están basadas en la nube. Lo que necesitamos es conectividad segura y en tiempo real desde la fábrica hasta los sistemas de inteligencia artificial que se ejecutan en la nube.

 

El método recomendado para garantizar la seguridad de los datos industriales es la segmentación completa de la red. Los sistemas de tecnología operativa (OT) deben estar completamente aislados de los sistemas en la nube de iWanhe. La mejor manera de hacerlo es utilizando la Zona Desmilitarizada (DMZ), manteniendo la red de producción detrás de un firewall cerrado. Los gobiernos y líderes de la industria de todo el mundo están de acuerdo con esta práctica básica de ciberseguridad industrial, y es requerida por la Directiva NIS2 y NIST CSF 2.0.

 

Retos para la comunicación industrial

La transferencia de datos desde el entorno de producción al sistema de inteligencia artificial basado en la nube a través de la DMZ requiere dos pasos: de la fábrica a la DMZ; y de DMZ a la nube. Sin embargo, OPC-UA y MQTT no están diseñados para dichas vías. Aunque se utilizan a menudo en sistemas IIoT e Industria 4.0, se concibieron a principios de la década de 2000, mucho antes de que la gente considerara migrar datos industriales a la nube.

 

El protocolo OPC UA en sí es demasiado complejo para replicarlo bien en un patrón de cadena tipo margarita en varios servidores. La información puede perderse en el primer salto. Las interacciones sincrónicas de múltiples saltos necesarias para transferir datos a través de la DMZ serán muy frágiles y pueden generar una alta latencia.

 

MQTT, por otro lado, se puede conectar en cadena, pero requiere que cada nodo de la cadena se configure individualmente y se dé cuenta de que es parte de la cadena. Las garantías de calidad de servicio (QoS) en MQTT no se pueden propagar a través de la cadena, lo que hace que los datos al final de la cadena no sean confiables. Por lo tanto, es mejor utilizar MQTT solo como paso final para mover datos de la DMZ a la nube.

 

Entonces, ¿qué sucede cuando se combinan OPC UA y MQTT? Transferir datos de forma segura desde la planta a la DMZ es un desafío. Existe un grave problema al utilizar OPC UA en este paso, ya que requiere que se active un firewall en la red de producción. Cualquier cliente OPC UA en la DMZ debe estar conectado de fábrica al servidor OPC UA a través de un firewall. El riesgo de tener un firewall de fábrica abierto para dicha conexión es demasiado alto para que la mayoría de los administradores de seguridad lo permitan.

 

Tecnología de tunelización/espejo

Dado que OPC-UA y MQTT solos o juntos no son suficientes para pasar datos a través de la DMZ, se necesita un enfoque alternativo, uno que se integre bien con ambos protocolos. El software de creación de túneles/duplicación segura con un espacio de nombres unificado proporciona una solución. Puede establecer una conexión en ambos extremos y pasar datos a lo largo del patrón de conexión en cadena requerido para el soporte DMZ.

 

Las conexiones de túnel o duplicadas suelen utilizar dos componentes de software. El primer componente realiza las conexiones necesarias a nivel de producción para recopilar datos de varios protocolos industriales en un espacio de nombres único y unificado. Luego canaliza los datos a un segundo componente que se ejecuta en la DMZ.

 

El segundo componente convierte los datos en MQTT y los envía desde la DMZ al servicio de IA en la nube. Las capacidades de duplicación del software de tunelización/espejado mantienen los datos consistentes entre la fuente de datos original, la DMZ y los sistemas de IA.

 

Cortafuegos y diodos de datos

Como se mencionó anteriormente, todos los puertos de firewall entrantes en el sistema de producción deben permanecer inactivos en todo momento. El sistema de tunelización/espejo debe poder establecer una conexión de salida únicamente desde la red de producción a la DMZ.

 

Además, algunas aplicaciones de infraestructura crítica de alta seguridad requieren diodos de datos de hardware para garantizar que no se puedan enviar paquetes de datos desde la DMZ a la red industrial. Los sistemas de túnel/espejo deben admitir este nivel de arquitectura de seguridad para estas aplicaciones.

 

Las implementaciones de otras aplicaciones de IA pueden requerir un flujo de datos bidireccional para permitir un control de supervisión sin intervención o la entrada de datos similares al sistema de producción. La tecnología de tunelización/espejo debe ser lo suficientemente flexible para admitir esto cuando sea necesario.

 

Bajo ninguna circunstancia debe acceder a datos distintos de los utilizados por el sistema de IA. Los ingenieros de planta deben tener control total sobre qué datos se pueden utilizar.

 

Con todo, hoy en día muchas empresas están recurriendo a la IA industrial para optimizar los sistemas de producción. El desafío es cómo acceder a los datos que necesitan sin comprometer la seguridad. Es difícil, pero no imposible. Puede tener una red OT sin superficie de ataque y aún así proporcionar datos a sistemas de inteligencia artificial basados ​​en la nube. La seguridad la proporciona DMZ. Se puede acceder a los datos de producción a través de la DMZ utilizando un software de creación de túneles/espejo bien diseñado.

news-401-301