Obwohl vor mehr als 3 Jahrzehnten definiert, ist die Purdue-Referenzarchitektur (PERA) immer noch ein weit verbreitetes Referenzmodell für die Segmentierung von Unternehmens-ICS in Ebenen, die von den Sensoren (Ebene 0, physischer Prozess) bis zu den Servern und Workstations (Ebene 5) reichen.
Die Ebenen 0-3 werden typischerweise von OT verwaltet, während die Ebenen 4-5 traditionell in der Verantwortung der IT liegen. Die Secomea-Lösung wird typischerweise auf Ebene 2 (Supervisory Control) neben HMI- und SCADA-Systemen eingesetzt, manchmal auch auf Ebene 1 (Basic Control) und sogar als Gateway zwischen diesen beiden Ebenen. Mit der Einführung des IIoT erfährt die Ebene 3 (Site Control) einen Wandel, der anerkennt, dass IoT-Geräte auf Ebene 3 möglicherweise direkt mit Geräten der Ebene 1 und nach außen in Richtung Internet kommunizieren müssen, oft über Ebene 4 und 5.
Das Secomea SiteManager IoT Gateway stellt durch sein Agentendesign sicher, dass die Kommunikation auf bestimmte IP-Endpunkte und Ports und nicht auf ein ganzes Netzwerk beschränkt ist. Der Zugriff auf die Endpunkte kann zentral für eine bestimmte Person oder rollenbasierte Gruppe und innerhalb bestimmter Slots gesteuert werden. Zusätzlich kann der SiteManager vor Ort über digitale Ports gesteuert werden, so dass OT- oder Maschinenbediener den Zugriff lokal kontrollieren können.
Defense in Depth ist ein Sicherheitsansatz, bei dem eine Reihe von mehrschichtigen Sicherheitsmechanismen und -kontrollen die Vertraulichkeit, Integrität und Verfügbarkeit (auch bekannt als die „CIA-Triad“) des Netzwerks und der darin enthaltenen Daten schützen. Die Normenreihe IEC 62443 basiert auf den DiD-Prinzipien, kombiniert mit den Zonenprinzipien des Purdue-Modells zur Gruppierung logischer und physikalischer Assessments mit gemeinsamen Sicherheitsanforderungen. Die Sicherheitsstufen (SL) und Reifegrade (ML) des IEC 62443 Standards definieren die Praktiken und den Grad der Resistenz gegen verschiedene Klassen von Angreifern.
Die Secomea-Lösung wird gemäß IEC 62443-4-2 und IEC 62443-3-3 mit einer Baseline von SL2, aber mit mehreren Fähigkeiten, die SL3 und SL4 entsprechen, auditiert. Die SDL-Prozesse (Secure Development Lifecycle) der Secomea-Entwicklung sind nach IEC 62443-4-1 strukturiert, und wir erwarten die formale Zertifizierung im Jahr 2022 mit einer Baseline von mindestens ML2. Die Tatsache, dass die Secomea-Lösung ausschließlich vor Ort eingesetzt werden kann und nicht auf einen Cloud-Service angewiesen ist, ermöglicht es einem Unternehmen, die volle Kontrolle über die Fernzugriffsprozesse zu übernehmen und sie mit den eigenen Identitätsmanagement-Systemen (IDM), wie z. B. Active Directory (AD), zu verbinden.
Das Prinzip von Zero-Trust besagt, dass alle Geräte (Assets) und Benutzer gegenseitiges Vertrauen haben müssen. Dies erfordert volle Transparenz der Kommunikation, die die Organisation verlässt und betritt, sowie des Datenverkehrs innerhalb der Organisation. Zum Beispiel sollte ein Benutzer keinen Zugriff auf ein bestimmtes Asset haben, ohne dass ein klarer Zweck vorliegt. Die grundlegenden Prinzipien von Zonengrenzen oder Netzwerkperimetern, die im Purdue-Modell verwendet werden und auf die sich auch die Defense in depth stützt, werden durch die wachsenden Angriffsflächen, die durch Cloud Computing und IoT entstehen, in Frage gestellt.
Ein grundlegendes Prinzip der Secomea-Lösung ist, dass Sie Ihre Zugriffsgrenze bis hin zu einer bestimmten Geräte-IP und einem Port sowie einer benannten Person definieren können. Die zentrale Verwaltung ermöglicht es Ihnen auch, sowohl die Authentifizierung als auch die Autorisierung für Benutzer durch einfache Drag-and-Drop-Operationen zu steuern.
Für die Kommunikation von Gerät zu Gerät (Asset to Asset) bietet die Secomea LogTunnel-Technologie eine einzigartige Vertrauensschicht in einem verteilten Unternehmensnetzwerk. LogTunnel überträgt den Datenverkehr prinzipiell nur in eine Richtung und nur von einem bestimmten Gerät und zu einem bestimmten Gerät auf einer vordefinierten IP-Adresse und einem Port. Die Verbindungen werden zentral im GateManager Access Management Server definiert, und alle Verbindungen und Daten werden in zentralisierten Nutzungsprotokollen akkumuliert.