Mi SCADA en las nubes

Publicado el 03/11/2015, por INCIBE
Nube industrial

Cloud computing. Una nube en crecimiento

Usar tecnologías en la nube es una de las opciones elegidas por muchas empresas como alternativa para implementar parte de sus sistemas de una forma más económica, evitando realizar grandes inversiones en dispositivos de almacenaje, formación de nuevo personal o creación de nuevas infraestructuras.

Del mismo modo, los entornos industriales han visto en esta tecnología una posible oportunidad para implementar parte de los procesos que se encuentran en ellos. Las principales ventajas de las tecnologías en la nube son el aumento de almacenamiento, la flexibilidad aportada, la disponibilidad (punto muy importante en sistemas de control industrial) y la movilidad.

Aún con las ventajas que aporta esta tecnología, expertos del sector son reacios a su uso por el hecho de que hay ciertos sistemas que usan tecnologías antiguas y los dispositivos tienen ciclos de vida muy largos. Por ejemplo, en algunos sistemas de control aún se siguen utilizando sistemas operativos como Windows 95 y aplicaciones software que sólo son capaces de operar en esos sistemas operativos antiguos. Su virtualización puede ser en algunos casos compleja y la confianza en que funcione de forma correcta no es elevada. Por otra parte  aplicaciones o servicios disponibles en la nube no están diseñados para entornos tan específicos y en primera instancia puede que no sean de gran utilidad para algunos procesos que se pueden encontrar en la industria.

La seguridad en la nube a examen

Además de las posibles aplicaciones que tiene la tecnología en la nube, son varios los aspectos de seguridad que se deben abordar adecuadamente antes de su utilización en entornos críticos y de alta disponibilidad:

  • Usuarios con acceso privilegiado: Si se realiza una implementación del sistema con tecnología en la nube, es importante definir una política de accesos y restringir el acceso con privilegios de administrador. Un acceso con máximos privilegios por parte de un atacante al sistema virtualizado implicaría un acceso total al proceso.
  • Cumplimiento de la normativa: Los clientes son, en última instancia, responsables de la seguridad e integridad de sus propios datos, incluso cuando están en manos de un proveedor de servicios.
  • Localización de datos: Las empresas que utilicen tecnologías en la nube han de tener en cuenta la ubicación de los servicios de hosting y las leyes que afectan al país donde se encuentran los mismos.
  • Segregación de datos: Los entornos cloud pueden ser entornos compartidos, por lo que aplicar medidas de cifrado para garantizar una segregación entre datos de diferentes clientes es importante. Pero este cifrado puede originar problemas de disponibilidad a la hora de acceder a los datos.
  • Backups: En caso de desastre o fallo del sistema es de vital importancia garantizar la recuperación del sistema. El uso de sistemas de respaldo gracias a las copias de recuperación tiene que funcionar de manera correcta sin ningún tipo de fallo.

La corriente “As a Service”

Muchos desarrolladores de aplicaciones para sistemas de control ya están trabajando en el paradigma denominado “Software como Servicio” (Software as a Service - SaaS).

SaaS es un modelo de distribución de software donde tanto el soporte lógico como los datos manejados son alojados en servidores a los que se accede por Internet desde un cliente. La empresa encargada del alojamiento de los servidores es la encargada de realizar el mantenimiento y soporte diario del software usado por el cliente.

Tabla de responsabilidades en la nube

- Responsabilidades del funcionamiento en la nube -

Por otro lado, el modelo SaaS se asienta sobre otras categorías básicas de una arquitectura en la nube:

  • Plataforma como Servicio (Platform as a Service - PaaS): Modelo que ofrece las herramientas necesarias para el desarrollo y puesta en marcha de aplicaciones y servicios web completamente disponibles en Internet.
  • Infraestructura como Servicio (Infrastructure as a Service - IaaS): Este modelo proporciona al cliente una infraestructura, es decir, en vez de adquirir servidores físicos, espacio en un centro de datos o equipamiento de redes, los clientes compran estos recursos a un proveedor de servicios externo que virtualizará toda la arquitectura en base a sus necesidades. La manera de gestionar estos servicios se hace de manera integral a través de la web.

pirámide de modelos

- Modelo de distribución de servicios -

Los sistemas de control industrial entran en la nube

Esta evolución de servicios y recursos en la nube no ha pasado desapercibida en sistemas industriales que ya han comenzado a adoptar desarrollos sobre este tipo de tecnología con las ventajas que suponen al reducir considerablemente los costes de hardware, software y mantenimiento. Algunos casos de evolución son los siguientes:

  • Sistemas SCADA (SCADA as a Service), desarrollado entre otros por PetroCloud, posee todas las funcionalidades que puede tener un SCADA tradicional.
  • Historiadores que recogen datos (Historian as a Service), entre algunos de los desarrolladores de este servicio se encuentra ARC Advisory Group. El uso de historiadores en la nube proporciona un mayor análisis de datos.
  • Software que puede ser incluido para simular PLCs en la nube (PLC as a Service) evitando costes en soportes físicos para los propios PLCs y en la energía consumida por los mismos.
  • HMIs que muestran los datos recopilados en la nube para acceder a ellos desde cualquier parte del mundo poseyendo una conexión a Internet (HMI as a Service).

Por otro lado, algunos fabricantes del sector industrial están optando por ofrecer servicios de soporte que recojan datos y sean almacenados en la nube para poder mejorar la calidad de su servicio, los tiempos de respuesta y la disponibilidad. También se ofrecen soluciones con las que integrar la tecnología en la nube con dispositivos industriales gracias a plataformas en la propia nube.

Proveedores como Oracle (Java Embedded), Microsoft (Azure IoT Suite) o TechBase (iModCloud) desarrollan software en la nube para administrar sistemas de automatización industrial o dispositivos, facilitando la gestión al usuario final. Este desarrollo amplía la superficie de ataque para posibles atacantes, ya que si este logra acceder tendría la posibilidad de modificar parámetros y modificar todo el sistema a su gusto por la unificación de accesos.

Arquitectura en la nube

Virtualización: otro medio para reducir costes

Como alternativa a la tecnología en la nube, algunos de los principales fabricantes de soluciones de gestión de información en entornos industriales han optado por virtualizar sus sistemas, llegando a acuerdos con los proveedores de software específico que crean entornos virtuales como son Microsoft, Oracle o VMWare. Estos fabricantes sacan al mercado diferentes hipervisores con el fin de responder a las necesidades de los clientes.

Estos hipervisores se clasifican en 2 tipos:

  • Hipervisores de tipo 1 (unhosted, bare metal o nativo): Este hipervisor es instalado directamente sobre el hardware de la máquina host, sin necesidad de que ésta incorpore un sistema operativo. De esta manera el sistema operativo invitado pasa directamente del hipervisor al hardware físico. Algunos ejemplos son VMware ESX/Vsphere, Microsoft HyperV, Xen, etc.
  • Hipervisores de tipo 2 (hosted): Necesita de un sistema operativo instalado en la máquina host, de tal manera que el sistema operativo invitado tiene que pasar por el hipervisor y por él antes de llegar al hardware físico. Algunos ejemplos son Microsoft Virtual PC y Virtual Server, VMware Workstation, Oracle VirtualBox, QUEMU, etc.

La pirámide de automatización está evolucionando a una arquitectura lineal, que incorpora automatización en la nube con arquitectura orientada a servicios (SOA) y tecnología de agentes (instancia del servidor).

pirámide lineal

- Evolución en la arquitectura. Actualidad --> Futuro -

¿Virtualización o computación en la nube?

La virtualización puede facilitar la creación de entornos tolerantes a fallos, que aseguren una alta disponibilidad y redundantes. Ello es posible gracias a los hipervisores, que ayudan a crear entornos redundantes en caliente y facilitan la réplica de entornos ya en producción, con el uso de máquinas virtuales, reduciendo tanto costes como el tiempo de respuesta.

Virtualización vs. tecnología en la nube

- Virtualización y tecnología en la nube y sus beneficios -

Por otro lado, la tecnología en la nube parece ser el futuro con puntos fuertes en la disponibilidad de la plataforma (clave en entornos industriales), en lo referente a la creación de sistemas distribuidos, los análisis de grandes volúmenes de información, la escalabilidad y la reducción de costes.

No obstante la seguridad de estos entornos debe ser aportada por el proveedor de estos servicios y no siempre puede ser tan estricta como se espera.