Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Tecnología cloud en entornos industriales

Fecha de publicación 14/03/2019
Autor
INCIBE (INCIBE)
Cloud Entornos Industriales

Mantener la seguridad de las redes industriales ya es una tarea compleja de por sí, pero con la incorporación de dispositivos para dotar al proceso de más inteligencia todo se complica aún más. Actualmente, los protocolos propietarios y la gran cantidad de dispositivos específicos que existen desplegados en las redes industriales, hacen que la arquitectura de las mismas deba sufrir una transformación considerable.

Con el objetivo de proporcionar mecanismos que faciliten la gestión de estas redes cada vez más complejas, la tecnología cloud es una de las herramientas en las que algunos fabricantes y desarrolladores se están apoyando en la actualidad. Gracias al concepto de nube híbrida, que se define como la combinación entre uno o más entornos de nube pública y privada (conjunto de recursos virtuales), los usuarios/operadores podrán, dependiendo de la tarea a realizar, acceder a una nube u otra.

Ejemplo de nube híbrida

- Ejemplo de nube híbrida -

Para entender algo mejor este tipo de nubes, es importante tener en cuenta 4 conceptos:

  • Interoperabilidad. Es la base fundamental de las nubes híbridas. Esta característica permite la interactuación entre nube pública y privada.
  • Escalabilidad. Una nube privada puede simplificar la escalabilidad y proporcionar acceso a los recursos de los que se necesita información. Las nubes públicas pueden facilitar aún más la escalabilidad, brindando acceso a un conjunto ilimitado (en teoría) de recursos. Cuando ambas distribuciones se integran en un entorno híbrido, es posible escalar vertical u horizontalmente, según sea necesario.
  • Administración. La administración de entornos que implementan una nube híbrida puede realizarse de forma manual con varias herramientas de gestión, implementación de políticas redundantes y personal adicional de operaciones. Estas plataformas de gestión unificada abstraen la tecnología subyacente y consolidan las tareas administrativas entre los entornos, para que los operadores y usuarios puedan controlar sus ciclos de vida, el autoservicio, la automatización, el cumplimiento de las políticas y el reembolso entre las implementaciones.
  • Seguridad. Por último, y no menos importante, la seguridad de la red, independientemente del entorno implementado, es una de las grandes preocupaciones para las empresas que utilizan este tipo de nubes. Desafíos como la migración de datos, el aumento de la exposición frente a posibles ataques o el aumento de la complejidad que posee la red, son algunos problemas que se están solventando a medida que se perfeccionan las nubes híbridas. Gracias a la posibilidad de elegir dónde ubicar las cargas de trabajo y los datos en función de los diferentes requisitos de cumplimiento, auditoría, política y seguridad, la evolución de la nube híbrida se convierte en una gran opción a implementar en entornos industriales.

La incorporación de gran cantidad de dispositivos en los entornos industriales, sobre todo sensores y medidores especializados, aumenta considerablemente la exposición de la red. Ya que muchos de ellos requieren de estos dispositivos y de una puerta de enlace para poder transmitir la información a un formato entendible por otros dispositivos. Por ejemplo, actualmente, en algunas instalaciones que poseen una red mallada ZigBee, mediante el uso de puertas de enlace, se obtiene toda la información de los sensores desplegados por una planta en un punto concreto con el fin de poder analizar todos los datos intercambiados. Sin embargo, el uso de puertas de enlace es un arma de doble filo, ya que, al concentrar todas las comunicaciones en un solo punto, un aumento del tráfico podría originar cuellos de botella y, en caso de verse comprometida, un atacante podría llegar a obtener toda la información intercambiada o a pivotar entre redes.

Red mallada ZigBee

Aunque en el mundo industrial prima la disponibilidad, con la incorporación de la industria 4.0 y la inteligencia que empiezan a tener los procesos, la información intercambiada puede tener un gran valor para los atacantes, ya que les permitiría entender en profundidad los procesos que se están ejecutando en el entorno industrial que tendrían como objetivo.

Soluciones industriales en la nube

Una de las grandes aplicaciones que tiene la tecnología cloud en los entornos industriales es la implementación de los sistemas SCADA en la nube. Estos sistemas son desarrollados con un modelo “as a Service”, es decir, un modelo de distribución de software donde, tanto el soporte lógico, como los datos manejados son alojados en servidores a los que se accede por Internet desde un cliente. La empresa encargada del alojamiento de los servidores también realiza el mantenimiento y soporte diario del software utilizado por el cliente. En este ámbito, existen 2 modelos a la hora de implementar un SCADA con tecnología cloud:

  • Aplicación SCADA almacenada de forma interna y datos publicados externamente. Con esta opción, la parte de supervisión y control se mantiene dentro de la red industrial de la empresa, mientras que los datos son almacenados en la nube para ser analizados. Tanto los comandos utilizados, como las mediciones en tiempo real o los datos del histórico se mantienen en la red de supervisión.

Arquitectura que posee una aplicación SCADA almacenada de forma interna y datos publicados externamente

- Arquitectura que posee una aplicación SCADA almacenada de forma interna y datos publicados externamente -

  • Aplicación SCADA almacenada completamente en la nube. Es en este caso donde tanto datos, como información relacionada con el sistema SCADA (información en tiempo real, histórico, datos de control, etc.) son almacenados íntegramente en la nube. Algunos ejemplos de soluciones que permiten un SCADA en la nube son:

Ejemplo de una Arquitectura que posee una aplicación SCADA almacenada completamente en la nube

- Ejemplo de una Arquitectura que posee una aplicación SCADA almacenada completamente en la nube -

En lo que respecta a las ventajas que aporta, a nivel de seguridad, un sistema SCADA que haga uso de tecnología en la nube (SCADA as a service) con respecto a uno tradicional, girará en base a los datos y su tratamiento, es decir, en uno tradicional la responsabilidad de un posible ataque recaería sobre el cliente que posee el sistema. Por otro lado, si hablamos de un SCADA as a service, todos los datos transmitidos han de intercambiarse con un canal cifrado verificando el uso de certificados TLS, gracias a este canal seguro no sería necesario el uso de VPN, pero, aun así, y por aplicar defensa en profundidad, se debería utilizar para tener una capa extra de seguridad.

Si hablamos de desventajas, posiblemente, la falta de control en ciertas situaciones sobre la información almacenada o una mala implementación de la tecnología cloud que podría originar una fuga de datos u otros problemas, serían puntos a tener en cuenta.

En resumen, el uso de la tecnología en sí misma, entraña algunos problemas con respecto al desarrollo de su seguridad, pero realmente, es la implementación de la arquitectura o las diferentes tecnologías/dispositivos de seguridad utilizados para asegurar el entorno, que hace que este sea más o menos vulnerable.

Ventajas e inconvenientes de la tecnología en la nube aplicada a los entornos industriales

Muchas empresas son reacias al uso de tecnologías en la nube y en el caso de las empresas industriales aún más, por el hecho de que la seguridad de esta es una responsabilidad compartida. En el caso de utilizar servicios en la nube externos a la empresa, independientemente de la implementación que se haga, se tendrá una dependencia con respecto a la disponibilidad de los procesos delegada en una empresa externa. Sumado a esto, las crecientes amenazas avanzadas que han afectado a los entornos industriales hacen casi obligatoria la administración total por parte de las empresas industriales de su infraestructura (siempre que sea posible).

Otro punto a tener en cuenta con respecto a la seguridad en la nube es la desaparición del perímetro electrónico de seguridad, independientemente de cómo se implemente la tecnología cloud, los entornos en la nube suelen estar totalmente interconectados. Un uso de interfaces de programación (API) descontrolado, la gestión ineficiente de credenciales y los secuestros de cuentas, son algunas de las amenazas a las que se exponen los sistemas en el caso de no implementar correctamente la tecnología cloud. Además, hay que ver esta tecnología con perspectiva, ya que ahora todos los recursos alojados en la nube se entregan a los usuarios a través de software.

Con el objetivo de aportar una mayor seguridad, la implementación de una nube híbrida evita gran parte de las desventajas heredadas de la tecnología cloud en los entornos industriales. El uso de ésta favorece a las empresas a la hora de detectar anomalías en el tráfico de red, ya que posee mayor capacidad de cómputo, un mejor análisis de los logs recopilados y, en algunos casos, una capa extra de segmentación que evita posibles propagaciones de malware de forma trivial.

En relación con el análisis de anomalías en la nube, muchas empresas desarrolladoras de soluciones para la detección de malware están migrando sus arquitecturas. Con este paso, se pretende dotar a las herramientas de una mayor capacidad de cómputo, cifrando los datos recopilados por la herramienta para posteriormente procesarlos en una nube (pública o privada), con el objetivo de mejorar sus servicios de cara a los clientes. Una vez procesados, los datos son devueltos al panel de la herramienta, que mostrará información de interés sobre el tráfico actual que se está intercambiando en los entornos industriales.

Conclusiones

La tecnología en la nube es una de las múltiples opciones a implementar dentro de una arquitectura de red. Con el uso de una nube híbrida, muchos entornos industriales pueden ver mejorado tanto su rendimiento, como su eficiencia y seguridad.

De la misma manera que con otras tecnologías, una mala implementación puede originar brechas de seguridad y aumentar la exposición de los entornos. Es por este hecho que ha de realizarse un análisis inicial de las arquitecturas a implementar y una evaluación de riesgos, junto con una revisión inicial de la seguridad (auditoría), antes de poner el entorno en producción.

Etiquetas