Industrial internet verkkoratkaisut ja tietoturva

Laitteet kytkeytyvät verkkoon kovaa vauhtia (IoT ja Industrial Internet). Suuntauksen trendinä on myös se, että verkkoon kytketyt/kytkeytyvät laitteet jakavat tietoja keskenään automaattisesti. (M2M)
Lue lisää M2M koneiden/laitteiden välisestä kommunikaatiosta.
www.en.wikipedia.org/wiki/Machine_to_machine

Laitteet voivat siis nyt ja tulevaisuudessa kommunikoida kohtuullisen vapaasti keskenään. Kun Bigdataa opitaan todella hyödyntämään tulee kehitys todella rikkomaan rajoja perinteinsten liiketoimintojen rajapinnoista. Uskon vakaasti siihen että liiketoimintojen siilojen kadotessa yhteensopivuus kasvaa.

Tämä toki asettaa sekä tietoturvalle, että verkon nopeudelle aivan uudet vaatimukset. Yhtenä ratkaisuna itse näkisin verkonläpinäkyvyyden, etähallittavuuden sekä lähiverkon virtualisoinnin. Miten muutokseen voisi valmistautua tai mitä voisi tehdä?

Aktiivikomponentit:

 1) Vikasietoisuus:

• Jos esim toinen kuvan kuidusta katkeaa toimii järjestelmä toimia automaattisesti ehjää kuitureittiä pitkin.

• Kuvan esimerkki passiivi rasioilla ja CAT kaapelilla toteutettuna 12 kaapelia, kuiduilla ja aktiivikompomponeteilla toetutettuna 1-2 kaapelia. Siirtonopudesta tai häiriöetäisyydestä ei varmaan tarvitse edes mainita.
• Muita hyötyjä on myös se että vian diagnosointi helpottuu, kun koko verkko (palvelin-reititin-kytkin) tulee näkyväksi, eli verkko tukee etähallintaa aina päätelaitteelle asti.

2) Ylläpito ja ylläpidettävyys

•   Kytkimet ovat tyypillisesti etähallittavia, joten ylläpito onnistuu etänä (mistä vain, milloin vain).

•  Aktiivilaitteiden käyttö tukee verkon virtualisointia.

•  Valvottavien laitteiden määrä on rajaton. Palvelimen ominaisuudet asettavat tietysti rajan jossakin vaiheessa.

Uudensukupolven laitteet ja digitaalisuuden tuomat edut
Harvoin voidaan edes harkita koko ympäristön ja kaikkien laitteiden yhtaikaista uusintaa / päivitystä.
Siksi onkin tärkeää tunnistaa trendi ja varatua tulevaan.
Uudet tekniikat usein säästävät rahaa ja resursseja, mutta sen käyttöönotto on hankalaa, jos laitteiden yhteensovivuuteen ei kiinnitetä huomiota tai laitteita ei voidä ylipäätään kytkeä verkkoon.

IPv6 yhteensopivuus

Siirtyminen IPv4:sta IPv6:een on välttämätöntä, sillä käyttäjien määrän lisääntyessä jatkuvasti IPv4:n 32-bittinen osoitteavaruus ei pian enää riitä.

Ipv6:n käyttö pienentää lisäksi tarvittavien reititystaulukkojen kokoa. Reititystaulukot kasvavat jatkuvasti, kun jokaisen ulkoisen portin tulisi tietää seuraavan portin osoite. IPv6 tukee myös liikkuvuutta huomattavasti paremmin kuin aikaisempi versio. Ipv4:ssa liikkuvuus on rajoitettu, sillä osoitteet ovat sidottu verkon fyysiseen osaan. Tällöin kannettavien kytkeminen verkkoon vaatii IP-asetusten muuttamista, eivätkä lähetykset löydä perille osoitteen muututtua.

IPv6 on siis kehittyneempi versio aikaisemmasta Internet protokollasta, joka vastaa paremmin nykyajan haasteisiin. Se ratkaisee IPv4:n käytöstä johtuneita ongelmia ainakin toistaiseksi.

Eri osoitetyypit

IPv6 osoitteet ovat 128-bittisiä, mikä erottaa sen aikaisemmasta versiosta, 32-bittisestä IPv4:sta

Osoitteita on kolmea eri tyyppiä: unicast, anycast ja multicast.

Unicast on yksittäisen verkkoliittymän osoite. Tähän osoitteeseen lähetetty paketti menee ainoastaan tämän osoitteen määräämään kohteeseen, joka on tässä tapauksessa yksittäinen kone.

Anycast on verkkoliittymäjoukon osoite. Paketti lähetetään reitysprotokollan mukaisesti lähimmälle vastaanottajalle, joka kuuluun anycastin määrittämään osoiteryhmään.

Multicast-lähetysmuoto lähettää paketin kaikkiin osoittesiin, jotka tunnistavat multicast-osoitteen. Kohteiden ei tarvitse sijaita samassa fyysisessä verkossa.

IPv6 ei tue broadcast-osoitetta, kuten aikaisempi versio. Broadcastissa lähetetty paketti menee kaikille aliverkon koneille. IPv6:ssa broadcast voidaan korvata laajentamalla multicast lähetystä.

Kaikki IPv6-osoitteet on kohdistettu tietyille verkkoliittymille, ei verkon solmuille. Itse solmu voidaan tunnistaa siihen viittaavien verkkoliittymien osoitteiden avulla. Kaikilla verkkoliittymillä tulee olla vähintään yksi paikallisen linkin unicast-osoite. Yhteen verkkoliittymään voidaan kuitenkin kohdistaa useampia IPv6-osoitteita osoitetyypistä huolimatta.

Hybridipilviratkaisut / Palveluväylät
Hybridi pilvi on koostumukseltaan kahden tai useamman pilvityypin kooste. Näin ei olla riippuvaisia yhdestä palvelusta tai palvelun tarjoajasta. Menettelyllä voidaan myös määritellä useita pilvipalveluita, jotka on liitetty toisiinsa siten, että se mahdollistaa ohjelmien ja tietojen helpon siirtämisen ja käyttöönoton toisessa järjestelmässä.

Palveluiden virtualisointi Pilven arkkitehtuuri rakentuu pitkälti palveluntarjoajan ratkaisumallin mukaan. Eri laitevalmistajien erot tulevat esiin virtualisoinnin toteuttamisessa. Virtualisoinnilla tarkoitetaan teknologiaa (distruptive technology), jolla fyysisen resurssin tekniset piirteet piilotetaan muilta järjestelmiltä, sovelluksilta ja loppukäyttäjiltä.

Tätä teknologia muuttumista on kuvattu kolmivaiheisena: konsolidointi, virtualisointi ja automatisointi. Konsolidoinnissa tarkoitetaan prosessia, jossa optimoidaan ja keskitetään resursseja. Automatisoinnin tavoitteena on lopulta tuottaa pilvipalveluita täysin automatisoidusta konesalista.

Virtualisoinnin hyötyinä pidetään fyysisen laitteiston parempi hyödyntäminen sekä mahdollisesta vikatilanteesta aiheutuvasta virhetilanteesta palautuminen. Tavoitteena on myös saavuttaa säästöjä laitteistoinvestoinneissa, vähentää kustannuksia ja infrastruktuurin monimutkaisuutta, tarjota entistä parempi palveluiden taso ja parantaa niiden laatua sekä linjata tietohallinnon tavoitteet paremmin liiketoiminnan tavoitteita tukevaksi.

”Virtualisointi on teknologia, joka piilottaa IT:n fyysisen olemuksen (palvelimet, kytkimet, tallennustilan jne.) järjestelmiltä, sovelluksilta ja käyttäjiltä, jotka niitä käyttävät. Tämä voi tarkoittaa esimerkiksi sitä, että useampi käyttöjärjestelmä toimii yhdessä fyysisessä palvelimessa (konsolidointi), että IT-järjestelmä toimii useammalla fyysisellä palvelimella (grid-palvelu tai klusteri) tai jopa sitä että IT-palvelua viedään palveluntarjoajan tarjoamaan pilveen.

Fyysisen laitteiston sijainti muodostuu epäolennaiseksi, koska virtualisointi piilottaa tämän tiedon käyttöjärjestelmiltä, sovelluksilta ja loppukäyttäjiltä.” 



Palveluväylä on taas tiedonvälityskonsepti, jossa eri toimintaympäristöjen palveluiden tarvitsema tieto on saatavilla avoimien rajapintojen yli kaikille tietoa tarvitseville palveluille. Kukin palveluväylään liitetty järjestelmä hallitsee omia tietojaan sekä vastaa siitä, että muiden tarvitsemat tiedot ovat saatavissa välitysalustan kautta ottaen huomioon tietojen käyttöön liittyvät mahdolliset rajoitukset.

Palveluväylä ei ole yksittäinen tuote tai tekninen ratkaisu. Palveluväylä on yhteentoimivuuteen liittyvän problematiikan kattava konsepti, jonka ympärille yhteentoimivuutta lisäävä kehittämistoiminta voidaan organisoida. Kansallisen palveluväylän tarkoituksena on mahdollistaa nykyistä paremmin asiakaspalveluiden ja palveluprosessien kehittäminen palveluissa tarvittavan tiedonvaihdon ja yleispalvelut mahdollistavan ratkaisukokonaisuuden avulla

Muita huomioitavia asioita:

Muita huomioitavia asioita ovat mm. asennusympäristön erityisvaatimukset, esim sairaaloiden asesennusympäristöissä on huomioitava se että monet IT ratkaisut ei sellaisenaan täytä lääkintälaitteille tai G2 alueelle asetettuja vaatimuksia.
Lue lisää G2 alueen vaatimuksista SSTY:n sivuilta:
http://ssty.fi/download/hki2014/015_Timo_Saisa.pdf

Lähteet:
SSTY
http://ssty.fi/download/hki2014/015_Timo_Saisa.pdf

Wikipedia, Kansallinen palveluväylä
http://fi.wikipedia.org/wiki/Kansallinen_palveluv%C3%A4yl%C3%A4

Pilvipalveluarkkitehtuuri (Matti Merelä,2012)
http://www.cs.helsinki.fi/u/mmerela/pilvi/pilviarkkitehtuuri.pdf

TEKES
http://www.tekes.fi/globalassets/ohjelmat-ja-palvelut_uusin/teollinen-internet/teollinen_internet_liiketoiminnan_vallankumous.pdf

Designing for the Internet of Things:
http://www.oreilly.com/design/free/files/designing-for-the-internet-of-things.pdf