A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

Eingebettete Virtualisierung für die Automation

01 Die Software-Lösung kombiniert eine virtuelle Mguard Security Appliance von Innominate und ein Windows-System mithilfe der Virtualisierungs-Software Tenasys Evm for Windows auf einem Multi-Core-PC

Heutige Steuerungs- und Bediensysteme verfügen nur über wenige Schutzfunktionen für IT- und Netzwerksicherheit. Vorgeschaltete Security Appliances mit dedizierter Hardware wären eine Add-on-Lösung. Der steigende Kostendruck und die immer leistungsfähigeren Prozessoren führen aber eher zur Forderung nach einer Hardware-Konsolidierung. Der IT-Megatrend und Kostensenker Virtualisierung beginnt daher, auch die industrielle Automation zu erfassen.

Mit der Vernetzung von Maschinen und Anlagen ergeben sich für die IT-Integration von Prozessen und den Teleservice über Fernverbindungen nicht nur neue Möglichkeiten, sondern auch neue Herausforderungen im Bereich der Cyber-Sicherheit. Lösungen mit dedizierten Sicherheitsgeräten haben zwar den Vorteil einer physischen Trennung von Nutz- und Schutzfunktionen, die einander nicht beeinflussen und von jeweiligen Spezialisten unabhängig entwickelt werden können. Infolge der zusätzlich benötigten Hardware scheitert ihr Einsatz aber häufig an Kostenrestriktionen.
Gleichzeitig ist eine permanente Verbesserung beim Preis-Leistungs-Verhältnis von Prozessoren und Speichern zu beobachten (Mooresches Gesetz). Dies führt zu einer Verlagerung von Hardwarekomponenten zu Software-Funktionen auf einer gemeinsamen Plattform. Hier setzt die notwendige Modularisierung Grenzen, ohne die sich technische Risiken nicht beherrschen und Subsysteme verschiedener Zulieferer nicht integrieren lassen. Virtualisierung ist der Schlüssel, um die Kostenvorteile weiterer Hardware-­Konsolidierung bei gleichzeitiger Modularisierung nutzen zu ­können.

Virtualisierung in IT und Automation
Die Virtualisierung von Client- und Server-Systemen ist in der Unternehmens-IT heute Stand der Technik. Typischerweise werden die virtuellen Systeme im Netzwerk auf einer Server-Farm betrieben. Die Bereitstellung und der koordinierte Betrieb virtueller Maschinen auf einer gemeinsamen Hardware erfolgen dabei durch eine Software die als Hypervisor oder Virtual Machine Manager bezeichnet wird.

Dabei unterscheidet man für gewöhnlich bei den Hypervisioren zwei Varianten:
Typ-1-Hypervisoren laufen direkt auf der Hardware und koordinieren nur die vorhandenen Hardware-Ressourcen.
Typ-2-Hypervisoren laufen als Applikation in einem Wirtssystem, wobei eine zusätzliche Betriebssystemschicht die erzielbare Performance reduziert.

Auch bei der Virtualisierung gibt es zwei Ausführungen:
Beim Ansatz der Hardware-Virtualisierung wird jedem originalen Gastsystem ein vollständig eigener (simulierter) Computer vorgegaukelt. Das unveränderte Gastsystem läuft mit seiner eigenen Zeitscheibenverwaltung ohne Kenntnis der virtualisierten Umgebung, was eine Echtzeitfähigkeit typischerweise verhindert. Das Gastsystem kann je nach Plattform und Implementierung (zum Teil) direkt auf unterliegende Hardware-Komponenten zugreifen. Andere Komponenten müssen komplett simuliert werden, was einen komplexen Hypervisor oder eine Hardware-Plattform mit Unterstützung für Virtualisierung erfordert. Die Performance des Gastsystems kann gleichwertig zu einem allein laufenden System sein, solange keine E/A-Operationen über simulierte Komponenten ausgeführt werden.
Beim Ansatz der Para-Virtualisierung sind hingegen die Gastsysteme für ihr erfolgreiches Zusammenspiel mit dem jeweiligen Hypervisor zu modifizieren. Zeitscheiben- und Speicherverwaltung können dadurch enger verflochten und so auch Echtzeitverhalten erzielt werden. Die interne Kommunikation zwischen Gastsystemen oder Gastsystem und Hypervisor erfolgt über effiziente spezialisierte Schnittstellen.
In der Automation und Steuerungstechnik liegen die Anforderungen jedoch anders als in der IT. Die hier eingesetzten Systeme arbeiten auf dedizierter Hardware mit wenig oder ohne Operatoreingriff. Steuerungskomponenten haben typischerweise Echtzeitanforderungen, während Mensch-Maschine-Schnittstellen meistens Applikationen auf einem Windows-Betriebssystem sind. In dieser Umgebung ist eingebettete Virtualisierung, die mit einem hybriden Ansatz native Windows-Installationen mit weiteren nicht modifizierten Gastsystemen auf einer strikt partitionierten Multi-Core-PC-Plattform mit Unterstützung für Virtualisierung kombiniert, von besonderem Nutzen.

Vorgeschaltete Sicherheit reduziert Hardware-Kosten
Bei dem von Innominate entwickelten Konzept Hypersecured werden Automatisierungskomponenten, wie ein Steuerungs- oder Bediensystem und eine virtuelle Mguard Security Appliance, mithilfe eines eingebetteten Virtual-Machine-Managers auf einer einzigen Hardware integriert (Bild 1). Dies erschließt den Automatisierungskomponenten alle Vorteile einer vorgeschalteten Security Appliance bei reduzierten Hardware-Kosten. Die Automatisierungskomponenten lassen sich so effizient vor unbefugten Zugriffen und Angriffen durch Schadsoftware schützen.
Am Beispiel eines Hypersecured Industrie-PC hat Innominate mit seinem Technologiepartner Tenasys in einer gemeinsamen Lösung demons­triert, dass eingebettete Virtualisierung und Cyber-Sicherheit reif für den produktiven Einsatz sind. Das Exponat nutzt den Embedded Virtual Machine Manager Tenasys Evm for Windows , um ein Windows-Betriebssystem mit einer virtuellen Mguard Security Appliance auf einem Standard-Industrie-PC zu integrieren.

Die Netzwerkkommunikation zwischen dem Windows-System und der externen Umgebung wird durch die virtuelle Mguard Security Appliance kon­trolliert, welche dem PC-System Firewall, Virtual Private Network (VPN) und Integritäts-überwachende Dienste zur Verfügung stellt. Die interne Kommunikation zwischen dem Windows-System und der Security Appliance erfolgt durch eine virtuelle Ethernet-Schnittstelle. Die für das Exponat genutzte Hardware ist ein handelsüblicher Industrie-PC mit ­einer Intel-Core-2-Duo-CPU mit VT-x-Support, 2 GB RAM und dualen Gbit-Ethernet-­Schnittstellen.
Der Embedded Virtual Machine Manager ist ein kompaktes Software-Paket, das über Windows installiert und administriert wird. Es partitioniert die CPU in zwei Kerne, System-Domänen für Windows und das Mguard-Gastsystem. Sowohl Windows als auch das Gastsystem booten nativ, exakt so, als ob sie allein laufen würden. Peripheriekomponenten, insbesondere die physikalische Ethernet-Schnittstelle, werden jeweils exklusiv einem der Systeme zugewiesen.

Virtuelle Security
Dank Tenasys Evm ist auf Intel-Plattformen mit VT-d-Support keine Para-­Virtualisierung und Modifika­tion des Mguard-Systems erforderlich. Das Linux-basierte original Firmware-Image von Mguard läuft auf einem dedizierten Kern der geteilten x86-CPU. Der virtuelle Mguard stellt einen umfassenden Schutz der Netzwerkkommunikation des PC sicher, da ihm die physische Ethernet-Schnittstelle zur externen Umgebung exklusiv zugewiesen ist. Auch sein Schutz gegen Denial-­of-Service-Attacken greift aufgrund dieser direkten Hardware-Kontrolle: Selbst im Extremfall können höchstens die virtuelle Security Appliance überlastet und externe Pakete verzögert oder verworfen werden. Aufgrund der strikten Partitionierung der CPU-Kerne und System-Domänen bleiben die Windows-Partition oder potentielle weitere Gastsysteme hiervon unbeeinträchtigt.
Ein Zugriff auf den PC und sein Windows-System wird durch die Mguard-­Firewall blockiert, solange er nicht durch eine allgemeine statische oder benutzerspezifisch dynamische Firewall-Regel autorisiert wird. Durch die integrierte Virtual-Private-Network-Funktion (VPN) kann der Zugriff auch gesichert mit Authentifizierung und Verschlüsselung aus der Ferne erfolgen. VPN-Tunnel werden dabei vom virtuellen Mguard terminiert. Das Windows-System sieht nur normale IP-Kommunikation.

Zusammenfassung und Ausblick
Eingebettete Virtualisierung mit ­einem geeigneten Virtual Machine Manager ermöglicht eine zukunftsweisende Konsolidierung von Funktionen der industriellen Automation und der Cyber-Sicherheit auf einer kostenoptimierten Hardware. Dabei werden die Modularität und die Vorteile dedizierter Einzel­geräte bewahrt. Die vorgestellte Hypersecured-Lösung ist dabei nicht generell auf nur ein geschütztes Windows-System beschränkt. Mit ihr lassen sich auch zusätzliche CPU-­Kerne mit eigenen nativen Gastsystemen einschließlich Echtzeit-Betriebssystemen und -Steuerungen nutzen. (no)

Der Beitrag als pdf

Torsten Rössel ist Chief Marketing Officer (CMO) bei der Innominate Security Technologies AG in Berlin.