RTI Connext DDS Secure begrijpen

Ons Connext DDS Secure-product genereert ongekende interesse. Zelden zien we zoveel vraag naar en nieuwsgierigheid naar een product. Het is vooral ongebruikelijk omdat het product zich nog in de bètafase bevindt, maar toch zijn klanten van plan het zo snel mogelijk te verzenden. Ik dacht dat ik een paar van de meest voorkomende vragen zou beantwoorden.

Ten eerste specificeert de nieuwe DDS-beveiligingsstandaard een beveiligingsarchitectuur en -model. De Beta-standaard is in maart door OMG aangenomen. Wij (RTI) zijn voorzitter van de afstudeercommissie; volgend jaar moet het definitief zijn. RTI is de eerste met ondersteuning voor de nieuwe standaard. Ik weet zeker dat andere DDS-leveranciers het ook zullen implementeren, maar niemand anders heeft nog een product.

DDS-beveiliging is om verschillende redenen uniek in de middleware-ruimte. Ten eerste behandelt het de beveiliging vollediger dan andere standaarden. De specificatie omvat authenticatie, toegangscontrole, vertrouwelijkheid, integriteit, onweerlegbaarheid en logging. Ten tweede heeft het een "plug-in" ontwerp. De specificatie definieert een set standaard plug-in componenten en een interoperabele draadspecificatie. Maar u kunt uw eigen algoritmen voor de plug-ins definiëren. Ten slotte beschermt het DDS-'onderwerpen', geen knooppunten of verbindingen. Het biedt dus fijnmazige controle en kan worden aangepast aan de unieke vereisten van het Industrial Internet of Things (IIoT). Het is de eerste beveiligingsstandaard die zich richt op IIoT device-to-device en device-to-cloud-netwerken in plaats van op mens of server gerichte architecturen.

Misschien maakt een voorbeeld dit duidelijker. Overweeg dit (zeer) eenvoudige systeem:

DDS-beveiliging

Hier staat "PMU" voor een sensor (een eenheid voor fasemeting, gebruikelijk bij vermogensregeling). De analysecomponent "CBM" (condition-based maintenance) houdt het systeem in de gaten en zoekt naar systeemgezondheidsproblemen. De eenvoudige bediening van dit systeem:de PMU-sensor schrijft de status, de besturing leest die status en schrijft een setpoint. De CBM leest de status en schrijft alarmen. De operator kan het systeem bewaken.

In DDS kan dit systeem eenvoudig worden opgezet als gegevensstroom tussen onderwerpen. Natuurlijk specificeert DDS datasnelheden, betrouwbaarheidseisen en meer.

Om dit systeem te beveiligen met Connext DDS Secure, zou u een configuratiebestand maken dat dit overbrengt:

PMU:Staat(w)CBM:Staat(r); Alarmen(w)Control:State(r), SetPoint(w)Operator:*(r), Setpoint(w)

Dit zegt eenvoudigweg dat PMU alleen State kan schrijven. De besturing kan alleen State lezen en SetPoint schrijven. CBM kan alleen Status lezen en Alarmen instellen. En de operator kan alles lezen en het SetPoint schrijven (misschien om het systeem uit te schakelen). Connext DDS Secure handhaaft deze zeer logische systeembeperkingen direct.

Het is conceptueel zo simpel. Natuurlijk moet je nog wel certificaten en het configuratiebestand distribueren. Maar deze "op onderwerpen gebaseerde" beveiliging is veel intuïtiever voor IIoT-systemen dan ontwerpen op basis van vergrendelingsprotocollen, of het isoleren van knooppunten, of het beperken van toegang op basis van gebruikersrollen. Connext DDS Secure werkt direct en eenvoudig op de gegevensstroom zelf.

Belangrijk is dat ons Connext DDS Secure-product ook geen wijzigingen in de applicatiecode vereist. Je configureert het en gaat. Connext DDS Secure biedt praktische, intuïtieve bescherming voor bestaande systemen.

Natuurlijk is geen enkele beveiliging onfeilbaar. Dus bijna alle praktische beveiligingssystemen combineren bescherming (het stoppen van slechte dingen) met detectie (het vinden en isoleren van inbreuken). Dit is bijvoorbeeld de reden dat je laptop zowel een firewall (beveiliging) als een virusscanner (detectie) heeft. Samen zorgen bescherming en detectie voor veel veiligere systemen.

DDS, dat een software "DataBus" is, maakt ook eenvoudige controle mogelijk. We hebben dat met PNNL gebruikt om een ​​"retrofit" beveiligingstest voor het elektriciteitsnet te implementeren, waarbij een oude DNP3-lijn werd vervangen door een veilige DDS-lijn, waardoor bescherming werd geïmplementeerd. Door gebruik te maken van het DataBus-verkeer en de metaverkeersstroom, zouden we een scriptingmogelijkheid kunnen toevoegen (we hebben een gelikte Lua-component). Eenvoudige scripts kunnen dan veel potentiële aanvallen detecteren, waaronder gecompromitteerde systemen, man-in-the-middle-aanvallen, enz.

Bouw een veilig industrieel controlesysteem met Connext DDS »

Dus, met DDS kun je bescherming (de standaard) combineren met detectie (via de DataBus). Beide zijn relatief eenvoudig te implementeren.

Ons product bevindt zich momenteel in de release voor vroege toegang. Het ondergaat echter al brandproeven. Hier is een zeer uitgebreide testactiviteit:

Het USS SECURE cybersecurity testbed is een samenwerking tussen de National Security Agency, Department of Defense Information Assurance Range Quantico, Combat Systems Direction Activity Dam Neck, NSWCDD, NSWC Carderock/Philadelphia, Office of Naval Research, Johns Hopkins University Applied Physics Lab en Real Time Innovations Inc. USS SECURE's testbed bepaalt de beste combinatie van cyberdefensietechnologieën om een ​​zeestrijder te beveiligen zonder de realtime geplande prestatie-eisen te beïnvloeden.

Zoals je kunt zien, verwacht ons beveiligingsproduct een aantal zeer veeleisende klanten. Om voor de hand liggende redenen kunnen we u niet veel over deze tests vertellen. Ik kan echter wel zeggen dat ik erg trots ben op ons Connext DDS Secure-product. Op deze, en vele andere sites, blijkt het buitengewoon effectief te zijn.

RTI Connext DDS Secure zal volgend jaar algemeen beschikbaar zijn. Als je vragen hebt, neem dan contact op met je lokale vertegenwoordiger...