Inhaltsverzeichnis
Werbung
Security-Empfehlungen
1.1 Security-Empfehlungen
• Das Gateway verfügt über zwei Schnittstellen zur Netztrennung und Durchsetzung des
Zellschutzkonzepts:
– Prozess-Schnittstelle (P2)
– Cloud-Schnittstelle (P1)
Wenn das interne und externe Netzwerk entkoppelt sind, kann ein Angreifer nicht auf
interne Daten zugreifen. Von der Cloud-Schnittstelle (P1) kann nicht mittels IP-Routing auf
Geräte am internen Netzwerk an der Prozess-Schnittstelle (P2) zugegriffen werden. Ein IP-
Routing wird nicht unterstützt.
• Es besteht auch die Möglichkeit, die Prozess-Stationen und den Cloud-Broker im selben
Subnetz zu betreiben. In diesem Fall liegt der Cloud-Broker dann ebenso wie die Prozess-
Stationen im internen, geschützten Netzwerk. Dieser Anwendungsfall ist für selbst
administrierte Broker vorgesehen und sollte nicht für externe Cloud-Systeme im Internet
wie z. B. MindSphere, AWS, Azure usw. genutzt werden.
Hierzu wird in Kapitel Schnittstellen-Konfiguration (Seite 75) die Option "Cloud-
Schnittstelle im selben Subnetz" angeboten. Wenn die Option aktiviert ist, wird die
ungenutzte Schnittstelle P1 abgeschaltet und ein Zugriff auf das Gateway über diese
ungenutzte Schnittstelle verhindert.
• Setzen Sie zur Anbindung des internen geschützten Netzwerks an externe Netzwerke eine
Firewall ein. Konfigurieren Sie diese mit restriktiven Regeln.
• Für den Betrieb von unsicherer Infrastruktur wird keine Produkthaftung übernommen.
• Nutzen Sie für die Datenübertragung über ein unsicheres Netzwerk zusätzliche Security-
Komponenten die einen verschlüsselten VPN-Tunnel (IPsec, OpenVPN) bereitstellen.
• Trennen Sie Verbindungen ordnungsgemäß (z. B. Abmeldung im WBM).
• Prüfen Sie die Benutzerdokumentation anderer Siemens-Produkte, die zusammen mit dem
Gerät verwendet werden, auf weitere Sicherheitsempfehlungen.
Physischer Zugang
Beschränken Sie den physischen Zugang zu Geräten auf qualifiziertes Personal, da das
steckbare Speichermedium sensible Daten enthalten kann.
Security-Funktionen des Produkts
• Bedenken Sie, mit welchen Diensten Sie über öffentliche Netze einen Zugriff auf Prozess-
Stationen ermöglichen möchten.
• Dieses Produkt darf nicht ohne zusätzlich vorgeschaltete Schutzeinrichtungen am
ungeschützten/vertrauenswürdigen Netzwerken (z. B. am Internet) betrieben werden.
14
Die Schnittstelle (P2) dient dem Anschluss an das Subnetz der Prozess-Stationen und
dem Zugriff auf das WBM der Baugruppe zur Projektierung. Dieses Netzwerk wird als
internes, geschütztes Netzwerk betrachtet.
Die Schnittstelle (P1) dient dem Anschluss an das Internet oder an einen Router, über
den der Broker oder das Netz mit externen OPC UA-Clients erreichbar ist. Dieses
Netzwerk wird als externes Netzwerk betrachtet. Der Übergang in ungeschützte Netze
wie z. B. dem Internet muss durch eine separate Firewall geschützt werden.
Betriebsanleitung, 12/2022, C79000-G8900-C503-09
SIMATIC CC7
Werbung
Inhaltsverzeichnis
