La comunicazione secure-by-design abilita ambienti e city Smart

Crescono gli ambienti aziendali, quelli produttivi e le città smart, ma per renderli sicuri necessita una comunicazione secure-by-design. I suggerimenti di CIE Telematica

 

Nell’affrontare il tema di ambienti Smart e di come realizzarli, dal workplace ai sistemi industriali, dal telecontrollo di impianti di public utilities sino alle Smart City, emergono subito una serie di aspetti che si evidenziano come essenziali al fine di garantire il funzionamento continuo e sicuro di tali infrastrutture.

In particolare, la dispersione degli oggetti infrastrutturali di rete da controllare e dei fruitori a cui erogare servizi privati o pubblici anche su base on-demand richiede particolare attenzione per quanto riguarda prestazioni e sicurezza.

In sostanza, una Smart City, un workplace sicuro o una ambiente industriale efficiente, lo è in quanto persone e dispositivi di ufficio o di produzione che lo costituiscono sono posti in grado di comunicare rapidamente tramite reti sicure, e di farlo sia tramite reti fisse che mobili a prestazioni garantite.

Quello di garantirlo è il compito che si è assunta RAD, rappresentata in Italia dalla società di ingegneria specializzata nelle infrastrutture di reti e di sicurezza CIE Telematica, tramite lo sviluppo di soluzioni innovative, virtualizzate, adatte per ambienti industriali e pubblici sia al chiuso che all’aperto in ambienti ostili, e in grado di trattare dati con prestazioni controllate atte all’erogazione di servizi di accesso garantiti.

La corrispondenza dell’’approccio di RAD alle specifiche esigenze del mondo Smart è stato confermato dall’attribuzione del riconoscimento MEF 2018 Technology of the Year Award per la categoria NFV e nello specifico per la sua soluzione vCPE Toolbox (virtual Customer Services Equipement), uno strumento che fornisce ai provider un ampio ed esaustivo insieme di funzioni necessarie per la diffusione e il roll-out di servizi business di classe operatore e basati sulla virtualizzazione delle funzioni di rete (NFV: Network Function Virtualization). Il tutto garantendo la completa apertura e la possibilità di operare con qualsiasi ambiente e apparato VNF, controller SDN (Software Defined Network), orchestrator o white box di terze parti.

Il riconoscimento ottenuto non è giunto inaspettato. E’ il risultato di continue attività di ricerca e sviluppo che hanno avuto l’obiettivo di permettere la realizzazione di reti in modo semplice e adattabili facilmente alle esigenze di fornitori di servizi a valore aggiunto e degli utilizzatori alle prese con la digital transformation e la l’evoluzione smart degli ambienti privati e pubblici.

Nel tempo, RAD e CIE hanno poi espanso il proprio portfolio di soluzioni di rete geografica con nuove funzionalità di Software Defined WAN. Punto chiave di questi sviluppi è un sistema operativo carrier class unico per tutti gli uCPE del suo portfolio. Tramite questa e altre funzionalità e caratteristiche diventa possibile realizzare una integrazione soft con qualsiasi orchestratore di servizi di rete, disporre di una Service Assurance per quanto concerne WAN e VNF (Virtual Network Function), disporre di dispositivi ”pluggable” atti a semplificare il roll-out a livello globale di rete e servizi nonché controllare i dispositivi di rete tramite RADview e un apposito portale.

Switch ideati per reti Smart industriali e pubbliche

La progressiva diffusione di ambienti Smart e il crescente interesse per Smart City, l’adozione del protocollo IP per facilitare la trasformazione digitale e l’adozione di tecnologie IoT e Industrial IoT, richiede soluzioni adatte, robuste e in grado di essere posizionate anche in ambienti dove per motivi costruttivi o di sicurezza non sono disponibile le usuali prese di alimentazione elettrica, e dove la connettività deve essere assolutamente garantita.

Una risposta a questi problemi e volta a favorire l’adozione di un trasporto dati basato su rete ottica è stata data da RAD con la sua linea di switch rugged  PowerFlow a 10G e disponibili in più versioni.

La soluzione è ottimizzata, come evidenziato, per reti ottiche e geografiche che necessitano a livello impiantistico di poter fruire anche in modo intensivo di una alimentazione PoE, ovverossia tramite la medesima connessione di rete Ethernet.

Gli apparati possono essere gestiti sia con piani di indirizzamento IPv4 che Pv6 e SNMP v1/v2c/v3 e in modalità Web tramite http e https laddove serve una elevata sicurezza operativa. I criteri di sicurezza prevedono anche il controllo a livello di singola porta e basata sull’indirizzo MAC a standard IEEE802.1X, RADIUS, ACL,TACACS+ e SSL/SSH v2.

Rete ad anello sicura con gli switch PowerFlow-2

Se robuste sono le caratteristiche e  ricca la dotazione di  funzioni e standard per la sicurezza della comunicazione tra impianti e dispositivi, altrettanto  ampie e flessibili sono le modalità disponibili a livello di  configurazione e installazione della rete, che prevedono l’aderenza  a standard quali MSTP, RSTP, ERPS (G.8032) e funzioni di recovery proprietarie ultraveloci PF-Ring, che permettono di recuperare i pacchetti  anche operando a velocità wire speed e senza perdite in ogni condizioni di traffico.

A livello di rete e di connessioni la resilienza della WAN e degli anelli di rete è assicurata anche da link di rete ridonati operanti in dual homing. Estesa anche la gamma di temperatura operativa, che spazia da -40 a +75 gradi centigradi.

L’apparato, che ha ottenuto le certificazioni IEC 61850-3, IEEE 1613, EN50121-4, è aderente anche a NEMA TS2, lo standard per controlli di dispositivi installati in ambienti pubblici quali i semafori, le segnalazioni stradali di emergenza e le segnalazioni di “walk/don’t walk”.

Servizi di smart business garantiti per SDN e Cloud

Un ulteriore elemento chiave del portfolio RAD e CIE Telematica e atto a favorire l’evoluzione verso reti SDN e la migrazione al Cloud è ETX-2i-100G, un dispositivo di rete che fa parte di un ampio portfolio di dispositivi di accesso Ethernet (EAD).

L’apparato abilita i service provider a rispondere alla crescente domanda di servizi business con larghezza di banda garantita necessaria in infrastrutture di mobile backhaul e nell’erogazione di servizi business MEF 3.0, incluso tra questi quelli relativi alla connessione di data center e di sedi centrali a livello Enterprise, nonché laddove necessita alta capacità per l’erogazione di servizi wholesale E-NNI.

E’ anche una soluzione ideale per la connettività in Cloud e permette di aggregare e demarcare senza necessità di servizi di demarcazioni aggiuntivi il traffico proveniente da diverse sedi remote e clienti business.

A questo aggiunge il supporto di controllo e gestione di ambienti SDN, oltre ad un insieme di funzionalità per la network transformation oggigiorno sempre più richiesta dal mercato business.

A livello di servizio dà la possibilità di aggregare flussi tributari n x 10 GbE e 100GbE in link a 100 GbE.

Non ultimo, implementa l’approccio RAD per un processo di provisioning zero-touch (ZTP). In pratica, questo abilita l’automazione dei servizi di rete e permette di minimizzare gli interventi da operatore o manutentore.

Va anche osservato che il nuovo dispositivo è già ampiamente usato da provider europei fornitori di servizi di Tier-1, a cui permette di assicurare servizi SLA estremamente affidabili supportati da una diagnostica multilivello, altamente granulari, con un accurato monitoraggio delle prestazioni.

Soluzioni per un IoT smart e sicuro

Il procedere della digitalizzazione e della “smartizzazione” del mondo industriale e pubblico tramite l’adozione di tecnologie IoT è di certo un abilitatore per trasformare profondamente il modo di produrre e di gestire fabbrica, impianti pubblici, public utilities e correlate attività di gestione e amministrative. Pur tuttavia, il contraltare è che l’automazione e la connessione in rete dei dispositivi apre la strada ai rischi che oramai da tempo coinvolgono il mondo office.

Il problema di come affrontare il tema della sicurezza nel mondo Industry e più in generale in infrastrutture distribuite è al momento molto dibattuto, perché non è pensabile dotare di applicazioni di sicurezza i dispositivi IoT finali dato che devono caratterizzarsi per costi molto contenuti e devono essere semplici per non appesantire quanto connesso alla loro gestione e manutenzione venendo spesso installati in siti privi di tecnici di manutenzione locale o di non facile accesso.

Quello che RAD ritiene essere il punto ideale dove rendere disponibili le funzioni di sicurezza sono i Gateway IoT, ovverossia quei dispositivi che da una parte sono connessi ai dispositivi IoT (sensori, attuatori, rilevatori, eccetera) e dall’altro alla rete Ethernet aziendale locale o geografica su cui colloquiano tramite il protocollo IP.

Oltre a questo una caratteristica indispensabile per dispositivi di tale natura per il mondo industry o applicazioni in ambito urbano è che devono essere molto robusti e in grado di resistere a condizioni ambientali severe in termini di umidità, temperatura, polvere o campi elettromagnetici.

RAD rende sicura la comunicazione IoT e gli ambienti Smart

Per rispondere a queste esigenze RAD ha sviluppato SecFlow, una famiglia di dispositivi gateway Ethernet dotati di funzioni di sicurezza e anche in versione rugged. Le funzioni che li caratterizzano sono molteplici e comprendono funzioni di sicurezza quali quelle di   stateful firewall, di VPNs o di Automated PKI.

A queste aggiungono anche la possibilità di disporre di tecnologie di connettività in uplink su rete cellulare resiliente HSPA+/LTE in modo da assicurare la continuità del servizio di gateway nei confronti dei dispositivi IoT se dovesse venire a mancare la connessione su rete fissa primaria.

Un elemento chiave del gateway Ethernet rugged è che si tratta di un dispositivo “open” che, oltre alle sue funzioni native, già di per sé molto ampie, può ospitare anche applicazioni di terze parti.

Ampie anche le funzioni di rete, che comprendono quattro porte i GbE ed una porta GbE SFP, due porte seriali RS-232 oppure una porta RS-232 più una RS-485, alimentazione PoE, e un modem per reti cellulari dotato di due SIM card per funzioni di resilienza di rete.

Come evidenziato, un aspetto chiave è il supporto di applicazioni di terze parti. Nello specifico, le applicazioni sono ospitate ed eseguite tramite un container Linux che permette una rapida messa in produzione delle applicazioni.

Ambienti tipici di utilizzo sono quelli relativi alla distribuzione e alla automazione in sottostazioni secondarie, lo smart metering, la gestione delle risorse idriche e la gestione fuori banda di impianti tramite uplink cellulari.

Per quanto concerne la sicurezza di rete il gateway prevede funzioni di routing statico, OSPF BGP, VRF e NAT/NAT-Traversal. Per la connettività tra siti Ethernet sono poi utilizzabili link con tunnel VPN IPSec criptati che assicurano connessioni sicure e trasparenti di livello 3.

Per quanto relativo all’accesso remoto il dispositivo utilizza un tunnel SSH criptato che prevede l’autenticazione dell’utente e specifiche autorizzazioni per l’accesso.

Ampie anche le possibilità di gestione, che comprendono diverse tipologie di protocolli di accesso, compreso il common line, Telnet e TFTP/SFTP.