智慧應用 影音
Dtalk base_Garage
event

研華一站式資安方案 打造地到雲的工控資安防禦網

研華WISE-PaaS/Secure Tunnel還可與Azure VPN Gateway互為搭配,形成高性價比融合方案。假使企業已採用iFactory、WISE-Dashboard等眾多WISE-PaaS服務,甚至在地端建置WISE-STACK,便適合利用WISE-PaaS/Secure Tunnel,輕易串接這些地端設備或橫向服務。

一般認知,工控場域的嵌入式裝置僅提供特定功能,影響層面不大,加上作業系統已經過客製化,安全隱憂較低,因此以往業主較少關注資安課題。但近年隨著5G、物聯網(IoT)及人工智慧(AI)蓬勃興起,OT與IT逐漸融合,導致工控系統面臨越來越大的資安威脅,尤其勒索病毒事件頻傳,因而加深了業主的安全意識。

為此,研華致力發展從SSD、Firmware、OS、API、Data/Application到Cloud的一站式資安解決方案,讓向研華採購IPC的客戶,不僅能確保Windows OS、API、Utility與Firmware的可用性,也能順勢打造安全無虞的端到雲使用情境。

研華長期面對不同客戶,理解不同場域的實際需求,得以提出不同客製清單,搭配不同階段的防護方案、並持續修正調整,比起市面上一成不變的制式方案,更契合客戶的資安管控需求。

例如曾有客戶利用研華IPC來驅動機動型工廠維修台車,便透過研華SUSI API呼叫客製化的Case Open警示功能,以防止有心人擅自開啟台車、竊取IPC資料;同時利用SUSI API綁定IPC內裝的App,確保該軟體無法在其他IPC運行,堪稱極具創意與實用性的安全措施。

從SSD、Firmware到OS層層保護  構築堅實的地端資安防線

談到研華的資安布局,牽涉的層次甚廣。先從儲存裝置說起,研華的SQFlash SSD提供完善資料保護措施,包括支援AES-256的SSD自我加密以及OPAL相容的資料安全管理機制,提供分區讀寫保護和多使用者授權功能,並高度整合第三方的McAfee病毒防護軟體、Acronis備份還原軟體,發揮「事前防範」、「事後補救」功效。

McAfee支援白名單採正面列表管控機制,可封鎖未授權應用程式,有效防範零時差攻擊。至於Acronis不僅提供備份功能,更內建獨家的勒索病毒防護技術,能持續檢測電腦上資料檔案變動狀況,一旦發現可疑行動就立即發出告警,協助客戶及時保衛自身的資料安全。

研華韌體團隊一向擅於為客戶提供少量多樣的客製服務,其間更涵蓋IPC業界多變的客製化安全技術服務,例如有關Embedded Controller部份,在硬體監控的相關功能上提供Sample Code、文件或SDK,方便客戶易於推動軟體開發與整合。

此外在BIOS上,研華提供Boot Guard機制、將金鑰燒進晶片,以利驗證BIOS從最前端Code的合法性,透過Secure Boot延伸到OS端的驗證,甚至到後段Application執行上的合法性,從前到後串聯為一系列安全鏈。

在OS方面,備受諸多客戶喜愛的亮點功能,即是研華開發的Windows 10 Lockdown Utility。Kiosk堪稱IPC應用大宗,業主常擔心Kiosk放置於無人看管的公開場域,易遭有心人士利用USB來變更設定或竊取資料,但又顧及維修人員的方便性、無法封鎖USB Port,因而陷入兩難。有了Lockdown Utility,即可透過一鍵設定,使得唯有指定的USB裝置才能接入使用,防止非預期的修改或竊盜行為。

Secure Tunnel加Azure VPN Gateway  以超強安全通道串接端到雲資源

除此之外,研華也悉心開發WISE-PaaS/Secure Tunnel企業安全反向代理服務,協助客戶化解另一大痛點。常見的情境是,企業與夥伴需要進行協同開發,但不允許對夥伴開放VPN連線,所以只能申請一條外網專線,把整個服務曝露於外網環境,一來有資安疑慮,二來衍生額外成本負擔。

惟企業一旦借助Secure Tunnel服務,僅需從內網映射出特定服務,輔以白名單的設定、連線來源的限制,即可在安全前提下開放外部夥伴存取特定服務。更特別的是,WISE-PaaS/Secure Tunnel不需在用戶端安裝任何軟體,只需從Server端下指令、輕鬆部署一個輕量代理程式即可,與複雜的VPN安裝作業截然不同。

而WISE-PaaS/Secure Tunnel還可與Azure VPN Gateway互為搭配,形成高性價比融合方案。假使企業已採用iFactory、WISE-Dashboard等眾多WISE-PaaS服務,甚至在地端建置WISE-STACK,便適合利用WISE-PaaS/Secure Tunnel,輕易串接這些地端設備或橫向服務。

若企業都是使用Azure原生服務、並需要利用這些資源來連接自家私有環境,可善用Azure VPN Gateway服務,打造安全且頻寬暢通的連線通道,只有擁有公司Active Directory(AD)認證的帳號才能通行私有環境資料,有效防範當今盛行的網路攻擊。

同時研華提供可用於Azure的McAfee及Acronis的雲端沿伸版本,McAfee雲端版能針對雲平台的資安設置與策略提出建議,而Acronis雲端版讓使用者快速的登入並且部署安排所要備份的目標。研華自2018年起成為微軟Azure CSP(Cloud Solution Provider)代理商,目前也在積極招募資安領域的軟體夥伴,期待未來能合作推出更多雲端資安解決方案。

總括而論,工控場域業主在引進研華IPC的同時,也能一併享有橫跨SSD、Firmware、OS、Data/App、Cloud從地到雲的一站式資安方案,還能搭配WISE-PaaS/Secure Tunnel服務,建立與外部協力夥伴之間的安全互動架構,藉以形成面面俱到的防禦網,將有心人士的入侵機率降到最低。

  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 作業系統 研華 資安 工控