Mit Echtzeit-Ethernet und Sicherheit
netPI: Raspberry-Pi 3 Custom-Design
Im Sinne der Sicherheit nach IEC62443
netPI definiert sich neben seiner außergewöhnlichen Hardware durch seine Software-Eigenschaften. Im Fokus steht die Erfüllung der Norm IEC62443 als der Standard für Sicherheit von industriell genutzten Netzwerken und Geräten. Bekanntlich lebt die Raspberry-Gemeinschaft von der Software-Offenheit der Plattform. netPI als professionelles Gerät verfolgt unter dem Blickwinkel der IEC allerdings ein restriktives Konzept. Klare Vorgaben der Norm definieren Gegenmaßnahmen zu möglichen Cyber-Bedrohungen, um mit einem Gerät im Kontext der adressierten Industrieanwendung einem definierten Sicherheitslevel zu genügen. Eine offene Plattform ohne Sicherheitsvorkehrungen oder solche die erst etabliert werden müssen, sind im Industrieumfeld nicht einsetzbar. Deshalb war und ist netPI von Anfang an geschlossen konzipiert und für einen sicheren Betrieb ausgelegt. Das gewährleistet die vorinstallierte Software. Grundlage des netPIs bildet ein Custom-Linux-Betriebssystem das Anforderungen an erhöhter Sicherheit erfüllt. Es bietet keinen Weg das Betriebssystem selbst oder die installierte Systemsoftware ungewollt zu verändern. Es gilt generell das Zugriffe von Außen auf die Benutzersoftware nur über eine sichere https-Verbindung geführt werden können. Eine PKI-Zertifikatsverwaltung ist hierzu integriert. Die Benutzer- und Kompetenzverwaltung ermöglicht es Rollen, Gruppen und Zugriffsrechte mit Passwörtern zu definieren. Der für Linux übliche Consolen geführte SSH-Zugriff ist von vorne herein nicht erlaubt. Auch gibt es keine GNU-Compiler Umgebung die hardwaregebunde Kompilate ermöglichen würde. Die Installation von weiterer Software in das autarke System ist nur mittels Hilscher signierten Softwarepaketen möglich. Dafür ist eine Paketverwaltung installiert und stellt sicher, dass nur geprüfte Software auf das System kommt. Zudem wird bereits beim Start des Gerätes die Integrität der Systemsoftware auf Authentizität geprüft.
Für die Raspberry Maker-Szene, Docker macht es möglich
Bedeutende Funktion kommt der vorinstallierten Open-Source Software Docker zuteil. Docker isoliert Softwareanwendungen durch Betriebssystemvirtualisierung in Container. Hierbei werden Betriebssystemaufrufe der Anwendung in Aufrufe des Host-Betriebssystems abstrahiert. Das macht den Docker im Vergleich zur virtuellen Maschine leichtgewichtig und reaktiver. In dem geschaffenen Ökosystem sind kompromittierende Aufrufe in das Host-System auf Schutz konfiguriert. Beispielsweise verwehrt Docker einem Container in den Grundeinstellungen Root-Rechte oder Einblicke auf das Host-Dateisystem. Zugleich wird jedem Container ein eigener Ressourcenpool zugeteilt, so dass gleich mehrere unabhängig voneinander ablaufen können. Docker hat zum Ziel Software auf einer lokalen Entwicklungsplattform zu erstellen, den fertigen Container 'as a Service' zu distributieren, um ihn dann auf beliebigen Docker-Zielsystemen einzusetzen. Das netPI-Konzept macht sich der Kompatibilität zum Raspberry zunutze und definiert ihn zur netPI-Docker-Entwicklungsplattform. Schon heute kann jeder mit nur einem Consolen-Befehl Docker auf dem Raspberry installieren und netPI-Applikationsentwicklung durchführen. Der Container wird dann portabel als *.tar-Image extrahiert und an den netPI-Docker per Web-GUI übertragen und läuft dort wie zuvor auf dem Raspberry. Die Web-Seite https://hub.docker.com/ wirbt im Register mit über 100.000 verfügbaren und ladbaren Containern. Ein Container ist für netPI besonders wichtig, der Raspbian OS Container. Raspbian ist das Standardbetriebssystem für den Raspberry. Unter dem Schirm des Containers kann der Nutzer gewohnt Raspbian OS-Applikationen erstellen, um sie später im netPI ablaufen zu lassen obwohl dort ein ganz anderes Betriebssystem zum Einsatz kommt. So kann sich die gesamte Raspberry Maker-Szene auf netPI 'austoben' ohne Gefahr zu laufen die Grundsicherheit des Gerätes zu gefährden.
Thing-Editor Node-RED für die Datenkonnektivität
Hilscher führt im Web ein eigenes Register für netPI Docker-Container. Von dort ist ein Raspbian OS Container ladbar, der um die IBM Thing-Editor Software Node-RED erweitert ist. Sie stellt dem Anwender eine intuitiv benutzbare Web-Oberfläche zur Verfügung, die Zugriffe auf die physischen netPI-Schnittstellen und deren Daten auf vorgefertigte Funktionseinheiten - sogenannten Nodes - abstrahiert und miteinander zu einem Datenfluss verschaltbar macht. Die zahlreichen Nodes der Standardbibliothek wie tcp, http(s), websocket, email, mqtt uvm. sind um netPI spezifische ergänzt. Der Feldbus-Knoten beispielsweise liest und schreibt auf das E/A-Datenabbild des Multiprotokoll-Controllers netX51. Mit den bereits verfügbaren und nachladbaren Knoten erstellt der Anwender seine Datenapplikation von Sammlung, über Bearbeitung bis zur Weiterleitung der Daten vom Industrienetz bis in Cloud-Applikationen. Über 750 ladbare Knoten gibt es heute bereits im Netz. Es gibt solche für Cloud-Zugänge zu Microsoft Azure und IBM Watson oder solche für Zugriffe auf ferne Datenbanken wie Firebird oder auch solche die einfach nur den Zeitpunkt des Sonnenauf und -unterganges am Standort ausgeben. Auch eigene Knoten können geschrieben werden. Die Möglichkeiten die Knoten zur eigenen Datenapplikationen zu verschalten sind unbegrenzt.
Einschubmodule für IO-Link, RFID und viele mehr
Der Multiprotokoll-Controller netX51 macht netPI zum Konnektivitätsspezialist. Durch seine freie Programmierbarkeit beherrscht er praktisch jedes Protokoll und ist binnen Sekunden in seiner Funktion umgeladen. Im netPI stellt er als E/A-Slave den Zugang zu den Netzwerken Profinet und EtherNet/IP über seine beiden Industrie-LAN-Ports. Die Freigabe anderer Industrienetzwerke ist in Planung. Weitere netX51 Signale sind auf einen Steckverbinder innerhalb eines Einschubschachtes am Boden des Gerätes geführt. Nach Bedarf wird hierüber ein weiteres Kommunikationsmodul NPIX eingesteckt das der netX zusätzlich bedient. Module mit zwei IO-Link Masterkanälen, einem RFID-Leser oder vier digitale Ein-/Ausgänge sind verfügbar. Weitere Module sind geplant. Unter der Produktlinie netHAT (amazon.de) gibt es kompatible Module auch im HAT-Format. Zur Entwicklung können sie auf die standard 40-polige GPIO Steckerleiste des gewöhnlichen Raspberrys gesteckt werden. Ob netHAT oder NPIX, in beiden Fällen werden die jeweiligen Moduldaten auf weitere Node-RED-Knoten abgebildet. So lassen sie sich die Daten mühelos in die eigenen Datenapplikationen einpflegen.
Für Start-Ups und Innovationsschmieden
netPI schlägt die Brücke von der innovativen Raspberry Maker-Szene zur konservativen Welt der Automatisierung als Basis für neue Geschäftsmodelle der Industrie 4.0. Das Gerät richtet sich an junge Start-Ups, aber auch an Innovationsschmieden der Vergangenheit die heute die moderne Entwicklungskultur leben. Junge Denker tragen Ideen über die Community in das Unternehmen, Open-Source ist Programm. Man scheut sich nicht über Crowdfunding Geld zu akquirieren, arbeitet eng mit Universitäten und Studenten zusammen oder zieht Förderprojekte des Bundes an Land. netPI trägt dazu bei den Gedanken nach Kreativität und Offenheit zu fördern und die Innovationsstärke eines Unternehmens hoch zu halten, da sie das direkte Maß für dessen langfristigen Erfolg ist. Das Gerät schafft Freiraum für Experimentierfreudige und das mit dem 'Risiko' von 40 Euro? als Initialkosten für einen Pi 3. Schnell und unkompliziert ist darauf eine Applikationsidee einer Tauglichkeitsprüfung unterzogen und kann bei Eignung binnen Sekunden im professionellen netPI eingesetzt werden.
Im Sinne der Sicherheit nach IEC62443
netPI definiert sich neben seiner außergewöhnlichen Hardware durch seine Software-Eigenschaften. Im Fokus steht die Erfüllung der Norm IEC62443 als der Standard für Sicherheit von industriell genutzten Netzwerken und Geräten. Bekanntlich lebt die Raspberry-Gemeinschaft von der Software-Offenheit der Plattform. netPI als professionelles Gerät verfolgt unter dem Blickwinkel der IEC allerdings ein restriktives Konzept. Klare Vorgaben der Norm definieren Gegenmaßnahmen zu möglichen Cyber-Bedrohungen, um mit einem Gerät im Kontext der adressierten Industrieanwendung einem definierten Sicherheitslevel zu genügen. Eine offene Plattform ohne Sicherheitsvorkehrungen oder solche die erst etabliert werden müssen, sind im Industrieumfeld nicht einsetzbar. Deshalb war und ist netPI von Anfang an geschlossen konzipiert und für einen sicheren Betrieb ausgelegt. Das gewährleistet die vorinstallierte Software. Grundlage des netPIs bildet ein Custom-Linux-Betriebssystem das Anforderungen an erhöhter Sicherheit erfüllt. Es bietet keinen Weg das Betriebssystem selbst oder die installierte Systemsoftware ungewollt zu verändern. Es gilt generell das Zugriffe von Außen auf die Benutzersoftware nur über eine sichere https-Verbindung geführt werden können. Eine PKI-Zertifikatsverwaltung ist hierzu integriert. Die Benutzer- und Kompetenzverwaltung ermöglicht es Rollen, Gruppen und Zugriffsrechte mit Passwörtern zu definieren. Der für Linux übliche Consolen geführte SSH-Zugriff ist von vorne herein nicht erlaubt. Auch gibt es keine GNU-Compiler Umgebung die hardwaregebunde Kompilate ermöglichen würde. Die Installation von weiterer Software in das autarke System ist nur mittels Hilscher signierten Softwarepaketen möglich. Dafür ist eine Paketverwaltung installiert und stellt sicher, dass nur geprüfte Software auf das System kommt. Zudem wird bereits beim Start des Gerätes die Integrität der Systemsoftware auf Authentizität geprüft.
Hilscher Gesell. f. Systemautomation mbH
Dieser Artikel erschien in Embedded Design 1 2017 - 03.02.17.Für weitere Artikel besuchen Sie www.embedded-design.net