Remote Device Access

Es gibt bereits Konzepte, um auf Geräte zuzugreifen, die von einer Firewall vom Internet getrennt sind. Zum einen kann die Firewall so konfiguriert werden, dass Anfragen aus dem Internet an ein unterlagertes Gerät durchgeschleust werden. Dazu wird allerdings Zugriff auf die Konfiguration der Firewall benötigt, was ein Sicherheitsrisiko für die Firewall und das unterlagerte Gerät, das angesteuert werden soll, bedeutet. Zum anderen können VPNs etabliert werden, die entfernte Geräte oder ganze Netze zusammenlegen. Das erfordert die Bereitstellung, Administrierung und Konfiguration eines VPN Servers, was umfangreich und ggf. mit weiteren Kosten verbunden ist, da zusätzliche Software installiert werden muss.

Mit der Remote Device Access Lösung von M&M Software kann aus der Cloud auf Serverdienste von IoT-Geräten durch die Firewall hindurch zugegriffen werden. Dazu muss die Firewall nicht konfiguriert werden. Es ist auch nicht erforderlich, dass auf dem Client Gerät des Nutzers – das kann ein beliebiger Computer mit Webbrowser sein – eine zusätzliche Software installiert werden muss.

Remote Device Access erfordert durch den Administrator auf dem IoT-Gerät lediglich die Ausführung eines Device Local Proxy sowie dessen Verknüpfung mit dem entsprechenden Cloud-Dienst. Für diesen Cloud-Dienst bietet M&M Software ein komfortables, webbasiertes User Interface an. Der Device Local Proxy ist als Docker Container verfügbar und auf jedem Docker-fähigen Linux System ausführbar.

Aktuell wird der Zugriff auf Secure Shell- (SSH) und Web- (HTTPS) Serverdienste unterstützt. Weitere, wie beispielsweise Remote File Transfer, können ohne weiteres zügig umgesetzt werden.

Beim Aufbau einer SSH Verbindung ist die Installation eines SSH Clients auf dem Rechner des Nutzers nicht erforderlich. Ein entsprechendes Terminal ist in die webbasierte Anwendung bereits integriert.

Beim entfernten Zugriff auf ein IIoT Device, baut der Device Local Proxy, der auf dem IoT- Device in einem Docker Container zur Ausführung gebracht wird, eine Verbindung zur Azure Cloud auf.

Über diese Verbindung können dann die TCP Pakete der entsprechenden Protokolle durchgeschleust werden. Der Benutzer interagiert dabei mit einem Client (Terminal), der im Webbrowser zur Ausführung gebracht wird.

Für den Zugriff auf mehrere IoT Geräte, die sich innerhalb eines Netzwerks befinden, kann ein entsprechendes Edge Device vorgesehen werden, das innerhalb desselben Netzwerks eingesetzt wird.

Über dieses Edge Device können dann Verbindungen zu unterlagerten Geräten aufgebaut werden.

Der entfernte Zugriff auf Geräte, insbesondere in einem industriellen Kontext, ist extrem risikobehaftet.  Die Option, einen entfernten Zugriff auf ein Gerät zu ermöglichen, ist eine Anforderung - aber auch eine potenzielle Gefahr.

Um hier sicher zu gehen, hat sich M&M im Hintergrund für die Device Streams, ein Feature des Azure IoT Hub Service, entschieden. Hier sind alle Verbindungen mit TLS abgesichert und aus Gerätesicht als ausgehende Verbindungen umgesetzt.

Entsprechend darf die Lösung nur durch autorisierte Personen verwendet werden. Dafür wurde eine Anbindung an ein Azure basiertes Active Directory umgesetzt.