Interconexión de redes y acceso remoto para la industria conectada

La digitalización de las plantas industriales nos obliga a prestar especial atención a la conectividad entre redes, tanto locales como remotas, en una era donde priman valores como la flexibilidad en la producción, reducción de costes, ciberseguridad y conciliación familiar. En definitiva, se ponen en valor tecnologías que ayudan a expandir las posibilidades del ser humano.

La conectividad entre las redes de comunicación en las plantas industriales siempre ha sido un punto de vital importancia, tanto por el potencial que ofrece, como por la fragilidad que puede suponer una mala implementación. La posibilidad de acceder a una red desde otra (local o remota) ha posibilitado dar un paso más en muchos aspectos importantes en el ámbito OT, sobre todo en lo relativo a diagnósticos, mantenimiento y productividad. Toda esta infraestructura, tanto a nivel local como global, ha sido establecida siempre con objeto de acercar las máquinas a las personas.

Con el desarrollo de la Industria 4.0 y la digitalización del mundo industrial, la conectividad entre redes ha cobrado todavía más relevancia si cabe, ya que ahora abarca tanto los dispositivos conectados a nivel OT como los equipos que forman parte del nivel IT, responsabilizándose de materializar la producción inteligente y el mantenimiento inteligente. Por ello, los tiempos actuales exigen a los sistemas de comunicación industriales, además de asegurar los puntos anteriores, estar involucrados con las personas en términos de conciliación familiar equilibrando el tiempo dedicado a la mejora de la instalación o a la resolución del problema de forma remota, con el tiempo que puedan requerir otras atenciones personales. Por otro lado, deben facilitar la reducción de emisiones de los transportes convencionales en un contexto de subida del precio de la energía y carburantes. Y por último, debemos mencionar también la importancia de asegurar la disponibilidad de los procesos productivos y su mantenimiento ante escenarios de emergencias sanitarias.

La conectividad entre redes en un contexto global como el actual, amplía el modelo de interacción humanoßàmáquina  y lo extiende a humanos, máquinas, nubes y dispositivos móviles. Un nuevo paradigma que pretende mover la información relevante desde las máquinas a la nube y presentarla en equipos móviles para mayor facilidad de explotación de los datos para las personas.

Tecnologías de interconexión de redes

• Enlaces mediante “bridges” o puentes y switches: por definición estos equipos son dispositivos de interconexión entre dos redes a nivel de la segunda capa del modelo OSI. Conectan unos segmentos de red con otros, permitiendo que las tramas pasen de uno a otro teniendo en cuenta el cruce entre direcciones físicas MAC de los dispositivos que intercambian datos entre ambos segmentos. Un “bridge” realiza enrutamientos entre dos subnets pero a nivel de capa 2 usando direcciones MAC, a diferencia del router que se sitúa en capa 3 usando las direcciones IP.  A nivel de capa dos, es habitual segmentar mediante NAT (Network Address Translation), VLANs (Virtual LAN) o separando mediante el mismo chasis de un autómata. Un sencillo ejemplo de puente o “bridge” sería un chasis de PLC que conecta dos redes o “subnets” dentro de la misma planta y hace de “puente” entre ellas.
• Enlaces mediante “gateways” o pasarelas: por definición estos equipos son routers que además de realizar el paso de una red a otra, están involucrados en la conversión de los protocolos de comunicación a nivel de aplicación (capas 5, 6 y 7 del modelo OSI). Multitud de aplicaciones e instalaciones industriales requieren dicha conversión de protocolos hoy en día. Por debajo de dicha conversión de protocolos, subyace por supuesto, la necesidad de enlazar ambas redes también a niveles más bajos (capas 1,2 y 3 del modelo OSI), enlaces que realizará la pasarela de forma implícita. La integración de estos “gateways” en los sistemas de control es clave para facilitar tanto la puesta en marcha como el flujo de datos entre dichas redes de manera estructurada, con el fin de preparar la subida de información a los sistemas que realizarán analítica, mantenimiento predictivo, inteligencia artificial y en general, alimentar adecuadamente las soluciones IoT que se implementarán en capas superiores.
• Enlaces mediante “routers” o “gateways” de acceso remoto: por definición los routers habilitan la comunicación entre distintas subnets de rango de IPs distintos y permiten marcar la ruta completa que tendrá un paquete de datos hasta llegar a su destino. Esta tecnología es necesaria dentro de una misma planta o empresa que disponga de distintas redes (routing entre VLANs, por ejemplo), como para enrutar paquetes a redes en el exterior.
  Aquí es dónde los routers son clave cuando surgen necesidades de conexiones remotas, situación muy habitual. Anteriormente se ha destacado la importancia del acceso remoto a instalaciones por diversos motivos de relevancia, tanto desde un punto de vista tecnológico y productivo, como desde un punto de vista humano. También cada vez es más habitual que un proveedor acceda a la instalación de su cliente para poder ofrecer un servicio más profesional y personalizado que garantizará la disponibilidad de la máquina. Estos nuevos enfoques permitirán, ante una eventual incidencia, conectarse rápidamente, monitorizar el problema y resolverlo en un tiempo muy reducido, evitando paradas y pérdida de producción y reduciendo los costes de la intervención. También tendrá un impacto positivo en el ciclo de vida de las máquinas y por tanto de las plantas donde están instaladas.
  Disponer de un acceso remoto a la máquina en tiempo real facilitará también obtener datos de valor y contextualizados en un escenario de operación normal, como Kw/h consumidos, piezas defectuosas, caudal/día, etc… Si se quiere dotar a las máquinas y sistemas productivos de más inteligencia, como es la tendencia en un proceso de digitalización de una planta, es necesario gestionar dichos datos adecuadamente mediante algoritmos de Inteligencia Artificial y ciencia de datos para sacar el máximo partido a dicha información (conocer, por ejemplo cuando fallará la máquina o en qué condiciones la producción de una línea será más óptima en cuanto a consumo energético). Dichos algoritmos cada vez es más frecuente realizarlos cerca de la misma fuente de datos (Edge Computing) y sea publicada la información en la nube para que se integre en las plataformas IoT superiores. Este modelo permitirá también actuar en la planta mediante tecnologías de realidad aumentada y herramientas colaborativas y de trabajo en equipo.
  

Nuevamente en este ejemplo, será clave una infraestructura de conectividad entre redes remotas adecuada.

Conectividad frente a Seguridad

En los inicios de las redes industriales, cobró más importancia la conectividad frente a la seguridad y primaba poder conectar y acceder rápidamente a todos los dispositivos posibles.

Pero al interconectar cada vez más redes industriales y hacerlas más abiertas (unido a la necesidad de conectar con la nube), se han tornado también más vulnerables. Por desgracia, es un hecho que dichas vulnerabilidades han sido explotadas de forma malintencionada por hackers para realizar ciber-ataques. Esto, sumado a la criticidad de los sistemas productivos hace que la seguridad se haya convertido en la máxima prioridad de las plantas y en los objetivos principales de CEOs y CISOs de las corporaciones.

En este punto, cobran vital importancia las tecnologías que minimicen las amenazas y protejan los puntos de acceso de la red. La tecnología VPN (Red Privada Virtual) permite conectar de forma segura con una LAN haciendo uso de la red pública o no controlada, como puede ser la propia Internet. VPN conectará un terminal remoto con una LAN o dos LAN separadas entre sí mediante una conexión WAN (Wide Area Network) usando Internet pública, pero abriendo un túnel seguro entre ellas. Para establecer la comunicación mediante VPN los usuarios deben acreditarse para iniciar la comunicación con el otro extremo, además existirá integridad de datos para evitar que las tramas sean alteradas y tendremos confidencialidad de los datos al disponer de encriptación que evite que la información sea espiada y robada.

Con soluciones de acceso remoto preparadas para la conectividad remota basadas en tecnología VPN+Cloud, será posible dar una respuesta remota rápida ante incidencias, minimizar los tiempos de parada improductivos, cumplir con las políticas en cuanto a procedimientos y seguridad de los departamentos de IT y ahorrar los costes imputados a los desplazamientos asociados.

Otro punto clave en el enlace entre redes de planta (OT) y redes de empresa (IT) son las zonas desmilitarizadas (DMZ). Estas franjas o zonas perimetrales son la manera más segura de conectar la empresa con la fábrica, ya que realmente no existe conexión directa entre ambas, sino que separamos mediante firewalls y la comunicación se realiza mediante aplicaciones espejo corriendo en servidores que replican la información entre las redes que separa. El tráfico físicamente termina en cada zona y no cruzará en ningún caso el DMZ, siendo las aplicaciones software de los servidores las encargadas de transferir la información entre zonas. Además, un DMZ que esté adecuadamente diseñado, podrá ser desconectado si está comprometido para permitir que la red industrial trabaje sin interrupción.

Por tanto, el DMZ es un mecanismo altamente recomendable de implantar en las organizaciones ya que permite, tanto el acceso remoto seguro a los activos industriales, como elevar información de los mismos a las plataformas IT superiores.

Dada la importancia de esta tecnología en materia de seguridad industrial, es nombrada y normalizada por todos los organismos de estandarización de sistemas de ciberseguridad.

Nuevo Acceso Remoto Stratix4300

Tras la reciente adquisición de ASEM, fabricante de sistemas de visualización en general, con foco en soluciones Thin-Client y accesos remotos para la industria, Rockwell Automation lanza al mercado la plataforma Stratix4300: flexibilidad y seguridad para la visualización, mantenimiento e integración IoT de los sistemas de control de forma remota.

Stratix4300 consta de infraestructura distribuida hardware y software basada en “cloud” para abordar satisfactoriamente las necesidades de comunicaciones comentadas anteriormente, tanto a nivel de fabricantes de maquinaria, integradores de sistemas, como usuarios finales. Hace uso de tecnología VPN, que permitirá a distintos dispositivos (fijos, portátiles ó móviles) iniciar la comunicación según usuarios o grupos de usuarios acreditados, basados en roles o necesidades de acceso (administradores, instaladores de dispositivos, acceso a dispositivos y gestores de la seguridad de la red).

En cuanto a cumplimiento de políticas de seguridad de la empresa, Stratix4300 también lleva a cabo auditorías y registro de las conexiones realizadas a lo largo del tiempo (quién se conectó, cuándo, durante cuánto tiempo e incluso limitar el tiempo de conexión a un usuario desde el servidor en la nube), en línea con las políticas del cliente mencionadas anteriormente. Además, integra firewall que supervisará los flujos de comunicación que pasan por el túnel VPN, elevando el grado de control de seguridad del acceso.

La configuración del equipo y el túnel VPN se realiza con un sencillo e intuitivo interface de usuario web, FactoryTalk® Remote Access™ (modelo de subscripción anual basado en conexiones concurrentes), que conecta con la infraestructura basada en nube FactoryTalk® Hub™, permitiendo una gestión centralizada. La autentificación de doble factor validará la identidad del usuario (capa de transporte TLS). El protocolo de cifrado garantizará la confidencialidad, integridad y autenticidad de los datos.

Conclusión

En este artículo se han puesto de manifiesto las necesidades de comunicaciones que se presentan en la Industria 4.0 tanto dentro de la planta, como para realizar soporte o mantenimiento por terceras empresas. Tecnologías como los enrutamientos con VPN, los DMZ o las infraestructuras en la nube, son piezas fundamentales para conseguir una empresa más conectada.

La era de la digitalización industrial va a exigir disponer de infraestructuras de comunicaciones de alto rendimiento y seguridad que garanticen la disponibilidad de los procesos productivos, mejoren su ciclo de vida y permitan al ser humano tener mayor capacidad de organizar su tiempo.

Págs. 50 a 53.