Search Icon
ComputerAutomation Logo
Search Icon

Daten-Dioden / Firewalls

Sichere Zonen schaffen

6. September 2018, 0:00 Uhr | Siegfried Müller
Fortsetzung des Artikels von Teil 2

Security-by-Design

Um das System der Daten-Diode noch weiter zu schärfen, wurde auch die komplette Hardware-Architektur der Cloud-Prozessor-Umgebung angepasst, denn Security-by-Design fängt schon bei der Hardware an.

Anbieter zum Thema

Würth Elektronik eiSos GmbH & Co. KG
Matchmaker+
zu Matchmaker+
Hardware-Architektur der Cloud-Prozessor-Umgebung
Hardware-Architektur der Cloud-Prozessor-Umgebung: Neben den klassischen Elementen (RAM-Baustein, ­Prozessor und Flash-Speicher) sind hier noch das ­Boot-ROM sowie ein Secure-Element hinzugefügt.
© MB Connect Line

Die klassische Architektur in Embedded-Systemen besitzt in der Regel einen RAM-Baustein, Prozessor und Flash-Speicher. Auf dem Flash sind die Firmware und Benutzerdaten gespeichert. In dem hier vorgestellten Konzept wurden zusätzlich zwei Hardware-Elemente hinzufügt. Das Boot-ROM mit dem fest eingebrannten Bootloader und den Hersteller-Zertifikaten stellt sicher, dass das System mit einem unveränderlichen Vertrauensanker gebootet wird (Chain of Trust). Die Firmware auf dem Flash ist mit dem Herstellerzertifikat signiert und wird vom Bootlader nur nach Übereinstimmung akzeptiert. Als zweites Element wurde ein Secure-Element hinzugefügt. Das ist ein eigener Hardwarebaustein (IC), welcher die digitalen Schlüssel und Zertifikate separat vom Flash speichert. Der verschlüsselte Benutzerspeicher auf dem Flash wird in diesem Fall mit einem Schlüssel aus dem Secure-Element freigegeben.

Software-Architektur der Daten-Diode
Die Software-Architektur der Daten-Diode basiert auf sogenannten Docker-Containern. Diese Architektur ermöglicht die Isolierung vom Betriebssystem.
© MB Connect Line

Die dazugehörige Software-Architektur des Systems basiert auf sogenannten Docker-Containern. Dieses Prinzip ist vergleichbar mit einer Virtualisierung, hat aber den Vorteil, dass es weniger System-Ressourcen wie Speicher und CPU-Leistung benötigt. Durch die Aufteilung der Applikationen in Containern erreicht man eine Isolierung vom Betriebssystem und eine eventuelle Verwundbarkeit verbleibt im Container und breitet sich nicht auf die gesamte Applikation aus. 

Ein Beispiel ist der IIOT-Baukasten Node-RED, der ebenfalls in einem Docker-Container läuft, und somit eine intelligente Lösung zur Vorverarbeitung der erfassten Daten darstellt. Der Anwender kann mit eigenen Docker-Applikationen individuelles und sicheres Edge-Computing realisieren.

  1. Sichere Zonen schaffen
  2. Sicher und Smart in die Cloud dank ­Daten-Diode
  3. Security-by-Design
  4. Sicherheitsrisiko Webserver
  5. Industrielle Netzwerke segmentieren
  6. Firewall als Geräteschutz

Verwandte Artikel

MB Connect Line GmbH

Fernwartung und Edge Computing vereint

MB Connect Line zur SPS Connect

Fernwartung und Edge Computing vereint

Jack Lee und Siegfried Müller

Red Lion Controls / MB Connect Line

Strategische Zusammenarbeit

Bildcollage zu Produkten aus dem IPC-Bereich

Produktvorstellungen

Aktuelles aus dem Bereich Industriecomputer

Safety & Security

OT-Sicherheitsslücken in Siemens Automatisierungsgeräten

Cybersecurity

OT-Sicherheitslücken in Siemens-Geräten

Die Initiative »Manufacturing-X

SmartFactory-KL und »Manufacturing-X«

Meilenstein in Richtung Production Level 4

Bei Angriffen mit Erpressungssoftware - auch Ransomware genannt - werden Daten auf Computern verschlüsselt, und die Hacker verlangen Geld für die Freigabe.

Informatik-Professor

»Katz- und Maus-Spiel« mit Cyberkriminellen