UaGDS

Das UaGDS® ist ein OPC UA Global Discovery Server der zentrale Sicherheitsverwaltung und Netzwerkdienste anbietet.

Der UaGDS von Unified Automation verwaltet die Sicherheitsaspekte von OPC UA Anwendungen in einem Netzwerk. Der zentralisierte Ansatz vereinfacht die Sicherheitskonfiguration und -verwaltung. Er ermöglicht den Einsatz von OPC UA Security und Application Discovery in größeren OPC UA Implementierungen.

Als Global Discovery Server ermöglicht der UaGDS die Registrierung von OPC UA fähigen Geräten und Anwendungen für zentrale Discovery Services. Die Anwendungszertifikate und Vertrauensbeziehungen zwischen OPC UA Anwendungen können einfach konfiguriert, verwaltet und ausgerollt werden. Als Certificate Authority (CA) signiert UaGDS die Identitäten und stellt automatisch Zertifikate, Vertrauenslisten und Sperrlisten für jede verwaltete Anwendung aus. Die vollautomatische Interaktion mit OPC UA Anwendungen erfolgt über standardisierte OPC UA APIs, die "Pull" für die Aktualisierung von Clients und "Push" für die Aktualisierung von Servern unterstützen, einschließlich der automatischen Erneuerung von Zertifikaten vor Ablauf der Gültigkeit. Der UaGDS fasst Anwendungen in so genannten Sicherheitsgruppen zusammen und kümmert sich um das Rollout und die Aktualisierung der Sicherheitsbeziehungen der verwalteten Anwendungen in dieser Gruppe.

Der UaGDS kann auf einer Maschine, in der Produktionszelle oder an der Produktionslinie installiert und betrieben werden, abhängig von der Vertrauensbeziehung der beteiligten OPC UA Anwendungen. Der UaGDS kann auch in der Produktionshalle oder für die gesamten Betriebsstätte instaliert werden.

Software Architektur

UaGDS Funktionalität

Der UaGDS besteht aus einem Konfigurationstool und einem zentralen Netzwerkdienst. Der Netzwerkdienst ist ein OPC UA Server, der den OPC UA Global Discovery Server und das zentrale OPC UA Zertifikatsmanagement implementiert. Das Zertifikatsmanagement beinhaltet eine eingebaute Certificate Authority (CA) für das Signieren von Zertifikaten und das Pull- und Push-Management für Zertifikats- und Vertrauenslisten-Updates.

Jede OPC UA Anwendung, egal ob Client oder Server, kann sich beim UaGDS registrieren und, nachdem sie genehmigt wurde, Signieranfragen bei der eingebauten CA des UaGDS erstellen. Alle UA Anwendungen, die zur gleichen Sicherheitsgruppe gehören, müssen danach nur noch der CA vertrauen, um allen UA Anwendungen, die von dieser CA signiert wurden, zu vertrauen. Nach dem ersten Onboarding mit dem UaGDS wird die UA-Anwendung automatisch über den UaGDS verwaltet, so dass keine weitere manuelle Interaktion erforderlich ist. Die UA-Anwendungen werden automatisch mit Sicherheitszertifikaten, Vertrauenslisten und Widerrufen aktualisiert.

Das UaGDS ConfigurationTool bietet eine Überwachungsansicht für einen schnellen Statusüberblick, eine Konfigurationsansicht für das Anwendungsmanagement und bietet Verwaltungsfunktionen für die allgemeine UaGDS- und CA-Konfiguration. Es verwendet eine gesicherte, rollenbasierte authentifizierte UA-Verbindung, um nur ein oder alle UaGDS in Ihrer Installation zu konfigurieren. Nach der Erstregistrierung beim UaGDS warten die UA-Anwendungen auf die Freigabe durch den Sicherheitsadministrator (pending registration). Danach wird die initiale Signierungsanfrage erstellt und wartet auf die Annahme durch den Admin (pending sigining requests). Nach der endgültigen Freigabe ist das Onboarding der UA-Anwendung abgeschlossen. UaGDS kennt nun die Anwendung und lädt (Push/Pull) das signierte Zertifikat sowie die Sperrliste herunter. Der UaGDS verwaltet, aktualisiert und erneuert anschließend die Trust und Revocation wie im konfigurierten Intervall angegeben voll automatisch.

OPC UA Discovery und globale Netzwerkdienste

  • OPC UA DirectoryType für Registrierung und Discovery
  • OPC UA CertificateDirectoryType für die Verwaltung von Zertifikaten und Vertrauenslisten (Pull)
  • Aktualisierung von OPC UA Servern über ServerConfigurationType (Push)
  • Bietet Certificate Authority (CA) für die Signierung von Zertifikaten
  • Automatisierte Erneuerung von signierten Zertifikaten und Sperrlisten

Verwaltung von OPC UA Anwendungen

  • Einzelregistrierung (Push-Konfiguration) über Server Discovery
  • Massenregistrierung (Push-Konfiguration) über Datei-Import (CSV-Datei)
  • Registrierung von Clients (Pull-Konfiguration)
  • Bereitstellungsmodus für anonyme Registrierung
  • Administrative Bestätigung und Entfernung von Anwendungen
  • Globale Vertrauensliste pro Zertifikatsgruppe und pro Anwendung für anwendungsspezifisches Vertrauen
  • Übersicht Zertifikats- und Vertrauenslistenstatus, zuletzt gesehen und Ergebnis der letzten Aktion

Verwaltungsoptionen für den UaGds

  • Gültigkeitsdauer und Verlängerungseinstellungen für CA-Zertifikat und Sperrliste
  • Gültigkeitsdauer und Verlängerungseinstellungen für signierte Anwendungszertifikate
  • Manueller Start der CA-Zertifikatserneuerung oder der Anwendungszertifikatserneuerung

Vorteile & Funktionalität

Die Sicherheit in OPC UA basierten System wird erhöht und das Risiko von Angriffen minimiert, indem nur autorisierte Anwendungen den Zugriff auf sensiblen Daten ermöglicht wird. Der zentralisierte Ansatz vereinfacht die Sicherheitskonfiguration und -verwaltung. Er bündelt das Sicherheitsmanagement in einer Hand. Potenzielle Ausfallzeiten, die durch manuell falsch konfigurierte Sicherheitsrichtlinien oder die verteilte Verwendung von ausschließlich selbstsignierten Zertifikaten verursacht werden, werden minimiert. Besonders in größeren OPC UA Implementierungen wird die dezentrale manuelle Verteilung von selbstsignierten Zertifikaten zu einem administrativen Alptraum. Mit dem UaGDS kann die volle Leistungsfähigkeit der Public Key Infrastructure (PKI) in OPC UA basierten Geräten genutzt werden.

Der UaGDS ermöglicht:

  • die Verwendung von OPC UA Sicherheit in größeren OPC UA Installationen
  • Hinzufügen und Entfernen von OPC UA Anwendungen an einer zentralen Stelle
  • Automatisierte Bereitstellung von Updates und Änderungen von Zertifikaten und Vertrauenslisten
  • Erhöhte Sicherheit durch Verwendung von CA-signierten Zertifikaten anstelle von selbst ausgestellten und selbst signierten Zertifikaten
  • Geringeres Risiko von Ausfallzeiten durch abgelaufene Zertifikate