Endüstriyel Ortamda
Standart VPN Neden Çalışmıyor?
Uzaktan erişim söz konusu olduğunda herkes ilk olarak VPN'i dener. İşte standart VPN'in OT ortamında neden çalışmadığı — ve gerçek sorunun ne olduğu.
Kurumsal dünyada VPN mantıklı bir çözümdür. Merkezi bir sunucu kurumsal ağın içinde durur, mühendisler dışarıdan bağlanır ve full-tunnel onları sanki fiziksel olarak oradaymış gibi LAN'a dahil eder. Model iyi bilinir, yaygın şekilde kullanılır ve IT güvenlik politikaları tarafından kapsamlı biçimde desteklenir.
Sorun şu: bu modelin arkasında bir dizi varsayım yatıyor — ağı kimin yönettiğine, sunucuyu kimin kurduğuna, güvenlik duvarını kimin yapılandırdığına dair. Bu varsayımlar endüstriyel ortamlarda geçerli değildir. Müşteri fabrikasına ekipman gönderen bir makine üreticisi tamamen farklı bir gerçeklikle yüz yüzedir. Ve o gerçeklikte standart VPN tutarlı biçimde, öngörülebilir şekilde ve maliyetli olarak başarısız olur.
Müşterinin IT Departmanı İzin Vermeyecek
Geleneksel bir VPN, müşteri ağında bir şey gerektirir: açık bir port, yönlendirme kuralı veya en azından sizin sunucunuza bağlanan bir VPN istemcisi. Bunların herhangi biri müşteri IT departmanının iş birliğini zorunlu kılar.
Bu iş birliği nadiren sağlanır. Kurumsal IT güvenlik politikaları genellikle iç ağlara üçüncü taraf VPN erişimini yasaklar. Politika teknik olarak izin verse bile onay süreci — güvenlik değerlendirmesi, destek talebi, ağ değişiklik isteği, değişiklik yönetim penceresi — haftalar alır. Güvenlik duvarı kuralı onaylanana kadar makine boşta bekliyor, müşteri ise zaten mutsuz olmuştur.
Makine farklı bir tesise taşınırsa — ki bu olur — süreç sıfırdan başlar.
NAT ve Dinamik IP Bağlantıyı Güvenilmez Kılıyor
IT iş birliği sağlansa bile ağ topolojisi engel çıkarır. Fabrika internet bağlantılarının büyük çoğunluğu NAT arkasındadır — makinenin yerel bir IP adresi vardır, genel bir adresi yoktur. Dışarıdan erişmek için ağ geçidinde port yönlendirmesi yapılandırılması ve makinenin yerel adresine yönlendirilmesi gerekir.
Bu yerel adres genellikle dinamiktir. Fabrika routerı adresi DHCP aracılığıyla atar. Makine yeniden başlarsa farklı bir IP alabilir. Artık port yönlendirme kuralı hiçbir yere işaret etmez ve VPN sessizce çalışmayı durdurur — ta ki biri canlı bir servis görüşmesinde fark edene kadar.
Statik IP ve DDNS ile bu sorun aşılabilir, ancak her ikisi de müşteri tarafında daha fazla IT müdahalesi gerektirir — ve daha fazla arıza noktası doğurur.
VPN Gereğinden Fazlasını Açıyor
Dikkatli IT departmanlarının üçüncü taraf VPN erişimini kibarca istense bile engelleme nedeni tam da budur. Full-tunnel VPN size yalnızca bir makineye değil, o makinenin bulunduğu ağ segmentine erişim verir.
Bağlantı kurulduğunda servis mühendisi diğer PLC'leri, diğer makineleri, SCADA sunucularını, ağ anahtarlarını — o alt ağdaki her şeyi — görebilir. Bu teorik bir senaryo değildir; her VPN oturumunda yaşanır ve müşteri IT güvenlik ekibi bunu zaten biliyor.
Sonuç bir çıkmaza dönüşür: uzaktan erişime ihtiyacı olanlar IT onayı alamaz çünkü IT güvenlik riskini haklı biçimde tespit eder. Bu yüzden ya uzaktan erişimi tamamen bırakırlar ya da gerçekten tehlikeli olan yetkisiz geçici çözümlere başvururlar. Her ikisi de iyi bir sonuç değildir.
Mobil Ağlarda Tamamen Çalışmıyor
Giderek artan sayıda endüstriyel makine ve uzak kurulum birincil internet bağlantısı olarak LTE veya 4G kullanıyor. Burada standart VPN yalnızca zorlanmakla kalmıyor — çoğu zaman bağlantı hiç kurulamıyor.
Nedeni Carrier-Grade NAT'tır (CGNAT). Mobil operatörler tek bir genel IP adresini binlerce cihaza paylaştırmak için CGNAT kullanır. Bu, cihazınıza işaret eden genel bir IP adresi olmadığı anlamına gelir — cihaza gelen yönde bağlantı kurmanın hiçbir yolu yoktur.
Mobil üzerinden bağlantı kurulsa bile VPN tünelleri, cihazın baz istasyonları arasında geçiş yaparken oluşan IP adresi değişikliklerine karşı hassastır. Saatlerce süren bir oturum, cihaz hareket ederken aniden kopabilir — yeniden bağlanmak ise saniyeler değil dakikalar alır.
Gerçekte Ne İşe Yarıyor: Outbound-Only P2P
Yukarıdaki dört sorunun çözümü, yönü tersine çeviren bir bağlantı modelidir: gelen bağlantı beklemek yerine cihaz bir relay broker'a giden bağlantı başlatır. Mühendis de aynısını yapar. Broker eşleştirme işlemini tamamlar — ardından devre dışı kalır.
VPN Yanlış Teknoloji Değil — Yanlış Bağlamda Kullanılan Doğru Teknoloji
VPN kurumsal ortamda doğru sorunu çözüyor: uzaktaki çalışanlara zaten erişim yetkisi olan iç kaynaklara ulaşım sağlıyor. Kontrollü bir ortam, iş birlikçi IT yönetimi ve kararlı altyapı varsayıyor.
OT uzaktan erişiminde bu koşulların hiçbiri geçerli değildir. Makine müşterinin ağındadır. IT ekibi makine üreticisi için değil, müşteri için çalışır. Bağlantının ilk günden itibaren, uzak uçta herhangi bir yapılandırma olmaksızın, mobil dahil her internet bağlantısında çalışması gerekir. Bu, ağ düzeyinde tünel değil — outbound-only, cihaz düzeyinde bağlantı gerektirir.
Simplinx'in Nasıl Çalıştığını Daha Fazla Öğrenmek İster misiniz?
Mühendislik ekibimizle konuşun — platformun herhangi bir konusunda daha derine inmeye hazırız.
