Comprensión de RTI Connext DDS Secure
Nuestro producto Connext DDS Secure está generando un interés sin precedentes. Rara vez vemos tanta demanda y curiosidad por un producto. Es especialmente inusual porque el producto todavía está en Beta, pero los clientes aún planean enviarlo lo antes posible. Pensé en responder algunas de las preguntas más comunes.
Primero, el nuevo estándar de seguridad DDS especifica una arquitectura y un modelo de seguridad. El estándar Beta fue adoptado en marzo por OMG. Nosotros (RTI) presidimos el comité de finalización; debería ser definitivo el próximo año. RTI es el primero en admitir el nuevo estándar. Estoy seguro de que otros proveedores de DDS también lo implementarán, pero nadie más tiene un producto todavía.
DDS Security es único en el espacio del middleware por varias razones. Primero, aborda la seguridad de manera más completa que otros estándares. La especificación cubre autenticación, control de acceso, confidencialidad, integridad, no repudio y registro. En segundo lugar, tiene un diseño "plug-in". La especificación define un conjunto de componentes enchufables estándar y una especificación de cable interoperable. Pero puedes definir tus propios algoritmos para los complementos. Por último, protege los "temas" de DDS, no los nodos ni las conexiones. Por lo tanto, ofrece un control detallado y puede adaptarse a los requisitos exclusivos de la Internet industrial de las cosas (IIoT). Es el primer estándar de seguridad que apunta a las redes de dispositivo a dispositivo y de dispositivo a la nube de IIoT en lugar de arquitecturas centradas en humanos o servidores.
Quizás un ejemplo lo aclare más. Considere este sistema (muy) simple:
Seguridad DDS
Aquí, "PMU" representa un sensor (una unidad de medición de fase, común en el control de potencia). El componente de análisis "CBM" (mantenimiento basado en condiciones) supervisa el sistema y busca problemas de salud del sistema. La operación simple de este sistema:el sensor PMU escribe el estado, el control lee ese estado y escribe un punto de ajuste. El CBM lee el estado y escribe alarmas. El operador puede monitorear el sistema.
En DDS, este sistema se configura fácilmente como flujo de datos entre temas. Por supuesto, DDS especifica velocidades de datos, requisitos de confiabilidad y más.
Para proteger este sistema con Connext DDS Secure, debe crear un archivo de configuración que transmita esto:
PMU:Estado (w) CBM:Estado (r); Alarmas (w) Control:Estado (r), SetPoint (w) Operador:* (r), Setpoint (w)
Esto dice, simplemente, que PMU solo puede escribir State. El control solo puede leer State y escribir SetPoint. CBM solo puede leer el estado y configurar alarmas. Y el operador puede leer cualquier cosa y escribir el SetPoint (quizás para apagar el sistema). Connext DDS Secure aplica directamente estas limitaciones del sistema tan lógicas.
Realmente es así de simple conceptualmente. Por supuesto, aún debe distribuir certificados y el archivo de configuración. Pero esta seguridad "basada en temas" es mucho más intuitiva para los sistemas IIoT que los diseños basados en bloquear protocolos, aislar nodos o restringir el acceso según los roles de los usuarios. Connext DDS Secure actúa sobre el flujo de datos en sí, de forma directa y sencilla.
Es importante destacar que nuestro producto Connext DDS Secure tampoco requiere ningún cambio en el código de la aplicación. Lo configura y listo. Connext DDS Secure ofrece una protección práctica e intuitiva para los sistemas existentes.
Por supuesto, ninguna protección de seguridad es infalible. Por lo tanto, la mayoría de los sistemas de seguridad prácticos combinan protección (detener cosas malas) con detección (encontrar y aislar brechas). Esta es la razón, por ejemplo, por la que su computadora portátil tiene un firewall (protección) y un escáner de virus (detección). Juntas, la protección y la detección proporcionan sistemas mucho más seguros.
DDS, al ser un software "DataBus", también permite un fácil monitoreo. Usamos eso con PNNL para implementar una prueba de seguridad de "modernización" para la red eléctrica, reemplazando una línea DNP3 antigua con una línea DDS segura, implementando así la protección. Al aprovechar el flujo de tráfico y metatrafico de DataBus, podríamos agregar una capacidad de scripting (tenemos un componente Lua hábil). Los scripts simples podrían detectar muchos ataques potenciales, incluidos sistemas comprometidos, ataques de intermediario, etc.
Construyó un sistema de control industrial seguro con Connext DDS »
Entonces, DDS le permite combinar la protección (el estándar) con la detección (a través del DataBus). Ambos son relativamente simples de implementar.
Nuestro producto se encuentra actualmente en versión de acceso anticipado. Sin embargo, ya se está sometiendo a pruebas de fuego. Aquí hay una actividad de prueba muy extensa:
El banco de pruebas de seguridad cibernética USS SECURE es una colaboración entre la Agencia de Seguridad Nacional, el Departamento de Defensa, el Rango de Garantía de Información de Quantico, la Dirección de la Actividad de los Sistemas de Combate, el cuello de la presa, NSWCDD, NSWC Carderock / Filadelfia, la Oficina de Investigación Naval, la Universidad Johns Hopkins de Física Aplicada Lab y Real Time Innovations Inc. El banco de pruebas de USS SECURE determina la mejor combinación de tecnologías de ciberdefensa para proteger a un combatiente naval sin afectar los requisitos de rendimiento programados con fecha límite en tiempo real.
Como puede ver, nuestro producto de seguridad espera algunos clientes realmente exigentes. No podemos decirle mucho sobre estas pruebas por razones obvias. Sin embargo, puedo decir que estoy muy orgulloso de nuestro producto Connext DDS Secure. En este y en muchos otros sitios, está resultando extremadamente eficaz.
RTI Connext DDS Secure estará disponible en general el próximo año. Si tiene alguna pregunta, consulte a su representante local ...
Tecnología de Internet de las cosas
- Software Open DDS vs.RTI DDS
- Pruebas de software en RTI
- Complemento Telegraf para Connext DDS:cree un sistema de monitoreo de series temporales con DDS e InfluxDB
- Connext 6:¡Ya disponible!
- Connext DDS y el IoT industrial:las cinco cosas principales que debe saber
- Asignación de su desafío IIoT a la solución de conectividad adecuada
- Integración ROS2 + DDS:cuando los ecosistemas se fusionan | RTI
- Anuncio de la última prueba de rendimiento de RTI para Connext DDS
- Aquí está la razón por la que todos usan RTI Connext DDS para vehículos autónomos
- Nuestros 7 recursos principales de 2017 para desarrolladores de IIoT
- Presentación de RTI Labs y Connector para Connext DDS con Python