Schwerpunkte

Cloud-MES für Industrie 4.0

MES ist auch in der Wolke sicher!

11. März 2013, 09:21 Uhr   |  Karin Zühlke


Fortsetzung des Artikels von Teil 1 .

So setzt iTAC die Security-Anforderungen um

Wie sichert man nun ein MES, das in einem öffentlichen Rechenzentrum betrieben wird und nicht wie bisher in einem Lokalen, gegen unbefugte Zugriffe ab? Nach den Worten von Meuser ist das jedenfalls kein Zauberwerk, sondern klassisches IT-Handwerk. Erforderlich sind gesicherte Protokolle und zuverlässige Authentifizierungsverfahren. »Wenn möglich sollte man sich dazu bestehender Industriestandards bedienen«, empfiehlt Meuser. In einer Cloud-Umgebung ist es dabei unerlässlich, Eigenschaften eines High-End MES wie Lastverteilung und Ausfallsicherheit (24/7), die seine Tauglichkeit als hochverfügbare Enterprise-Lösung definieren, zu erhalten. Diese Eigenschaften stellt die iTAC.ARTES Middleware sicher.

Zuerst gilt es, den Zugriff auf das Cloud-based MES aus dem Internet, diese laufen von Clients zum Server über https, so abzusichern, dass nur autorisierte Personen Zugriff erhalten und außerdem der Kommunikationskanal abhörsicher gestaltet ist. Dazu bedient man sich eines so genannten »Reverse-Proxy«, der die in der militarisierten Zone befindlichen MES-Infrastrukturkomponenten zum Internet versteckt. Das Reverse-Proxy Konzept erlaubt es verschiedenste Server-Systeme über eine zentrale Komponente mit einem gemeinsamen Verfahren abzusichern. Vor den Reverse-Proxy wird noch eine Firewall geschaltet welche lediglich für die https Kommunikation erforderlichen Ports freischaltet.

Gegebenfalls schaltet man zwischen Firewall und Reverse-Proxy ein Load-Balancer, der eine Ausfallsicherheit des Reverse-Proxy gewährleistet. Alle URLs der Cloud-based MES Lösung von iTAC sind aus dem Internet nur über https verfügbar wodurch die Kommunikation abgesichert ist. Der Revere-Proxy wird so konfiguriert, dass bestimmte eintreffende URLs, die dem Zugriff auf das dahinterliegende MES dienen dort hin weitergeleitet werden. Vorher muss der Benutzer sich aber auf dem Reverse-Proxy authentisieren, diese kann über die Eingabe von Benutzer und Passwort oder auch zusätzlich über eine Smart-Card mit hinterlegten Zertifikaten erfolgen. Der Reverse-Proxy kann den Benutzer über ein zentrales LDAP oder Active Directory prüfen, sollte der Benutzer über die erforderlichen Zugriffsrechte verfügen, so wird seine Anfrage zum MES weitergeleitet. Bei dem sogannten Single-Login Verfahren ist keine weitere Anmeldung mehr beim MES erforderlich, die Benutzerkennung wird im https-Stream an das MES weitergeleitet. Um ein Single-Login zu unterstützen, müssen der MES Application Server, und der Reverse Proxy aufeinander abgestimmt sein. Antworten des MES werden nun auf dem umgekehrten Weg über den Reverse-Proxy zum Benutzer geschickt, weil die MES-Infrastruktur dem Client des Benutzters nicht bekannt ist, muss der Reverse-Proxy ein URL-Rewriting vornehmen, bei dem originale URL Bestandteile innerhalb der Antwort des MES so verändert werden, dass diese dem Client als Antwort des Reverse-Proxy erscheinen. Dieses URL-Rewriting führt in der Praxis zu einigen Herausforderungen, wobei die iTAC.ARTES Middleware der iTAC.MES.Suite diese Betriebsart über Konfiguration z.B. virtueller Server-Adressen unterstützt. Das ermöglicht den Betrieb der iTAC.MES.Suite hinter einem Reverse-Proxy bei vollständigem Erhalt der Load-Balancing und Failover Features. Bei vielen Web-basierten Anwendungen, die auf Client-basierte Script-Lösungen bauen hingegen scheitern diese Ansätze häufig schon beim erforderlichen URL-Rewriting. Sowohl die WEB-basierten Dialoge,Rich-Clients als auch Anlagenschnittstellen der iTAC.MES.Suite dagegen unterstützen den Betrieb hinter einem Reverse-Proxy vollständig

Seite 2 von 2

1. MES ist auch in der Wolke sicher!
2. So setzt iTAC die Security-Anforderungen um

Auf Facebook teilen Auf Twitter teilen Auf Linkedin teilen Via Mail teilen