11
so, dub
37 Novinek

Strategie moderní průmyslové sítě: Hloubková segmentace a zabezpečení s prvky SCALANCE

Typografie
  • Nejmenší Malé Střední Velké Největší
  • Default Helvetica Segoe Georgia Times

Představujeme vám článek zpracovaný podle nejnovějších doporučení společnosti Siemens pro návrh průmyslových sítí v prostředí diskrétní výroby.

V éře nastupující digitalizace a Průmyslu 4.0 se požadavky na průmyslové komunikační sítě dramaticky mění. Již nestačí pouhé propojení komponent. Sítě musí být navrženy s důrazem na kybernetickou bezpečnost, vysokou dostupnost a škálovatelný výkon. Tento článek podrobně rozebírá koncept segmentace průmyslových sítí s využitím prvků SCALANCE a implementaci hardwarových firewallů jako základního kamene ochrany moderních provozů.
V současném průmyslovém prostředí, kde se hranice mezi provozní technologií (OT) a informačními technologiemi (IT) stírají, čelí projektanti průmyslových sítí zásadní výzvě: jak zajistit maximální propustnost dat pro digitalizaci a zároveň ochránit kritickou infrastrukturu před kybernetickými hrozbami. Odpovědí je koncept několika zónové ochrany „Defense in Depth“ a striktní segmentace sítě pomocí hardwarových firewallů SCALANCE.

Úvod: Od plochých sítí k zónové bezpečnosti

V minulosti byly průmyslové sítě často navrhovány jako „ploché“, kde všechna zařízení (PLC, HMI, měniče, periferie) byla ve stejné broadcastové doméně. To sice usnadňovalo konfiguraci, ale představovalo obrovské bezpečnostní riziko – jeden infikovaný počítač nebo komponent mohl ochromit celou výrobu.
Aktuální doporučení vycházejí z normy IEC 62443, která zavádí model zón. Každá zóna obsahuje logicky související zařízení a veškerá komunikace mezi těmito zónami musí procházet přes definované „kanály“, které jsou kontrolovány bezpečnostními prvky.
Obrázek 1 ukazuje možné sítové uspořádání se schématickým znázorněním tradiční IT infrastruktury s intranetem, internetem a datovým centrem, a také propojení s průmyslovou infrastrukturou.
Firemní IT sítě a průmyslové sítě vypadají velmi odlišně, přesto jsou propojeny specifickým rozhraním. Cílem je zde propojit tyto dva světy a zároveň zajistit splnění požadavků každého z nich.
Obrázek 1 představuje řešení ve formě fyzicky oddělené průmyslové sítě, aby bylo možné dodat strukturovanou a spolehlivou platformu, která podporuje různé komunikační požadavky a zároveň splňuje aktuální bezpečnostní požadavky normy IEC 62443 (> Bezpečnostní úroveň 1).

Návrh sítě – tři úrovně pro maximální škálovatelnost

Pro dosažení transparentnosti a vysokého výkonu se doporučuje hierarchický model, který optimálně využívá switche a firewally SCALANCE:

A. Páteřní úroveň
Tato úroveň propojuje různé části závodu. Zde se využívají vysoce výkonné modulární switche, jako je řada SCALANCE XM-400 nebo XR-500.

  • Funkce: Agregace provozu, routing mezi VLANy a propojení s podnikovým IT.
  • Zabezpečení: Implementace ACL (Access Control Lists) a fyzické oddělení kritických segmentů.

B. Agregační úroveň
Slouží jako most mezi páteřní sítí a výrobními buňkami. Zde se často rozhoduje o redundanci (např. pomocí kruhové topologie MRP).

  • Prvky: SCALANCE XC-200 nabízí ideální poměr ceny a výkonu pro správu lokálních segmentů.

C. Úroveň výrobní buňky
Nejnižší úroveň, kde probíhá komunikace v reálném čase (PROFINET). Zde dochází k přímému řízení strojů.

  • Prvky: SCALANCE XB-200 nebo XF-200. Zde je klíčové minimalizovat zpoždění (jitter) a zajistit deterministické chování sítě.

Segmentace SCALANCE 2026 1

Detailní pohled na segmentaci: VLANy vs. Firewally

Segmentace není pouze o rozdělení IP adres. Je to o kontrole toku dat.

Virtuální lokální sítě (VLAN) – Logické dělení
VLAN (IEEE 802.1Q) umožňují rozdělit jeden fyzický switch na několik nezávislých sítí.

  • Výhoda: Snížení broadcastového provozu. Zařízení v jedné VLANě neslyší zprávy z druhé VLANy, což zvyšuje stabilitu a spolehlivost provozu výrobních linek s PLC.
  • Omezení: Samotná VLANa není stoprocentní bezpečnostní prvek. Útočník se může pokusit o tzv. „VLAN hopping“. Pro skutečné zabezpečení je nutný firewall.

Hardwarová segmentace s firewally SCALANCE SC-600
Průmyslové firewally řady SCALANCE SC-600 (např. SC636-2C, SC646-2C) jsou navrženy pro provoz v extrémních podmínkách. Na rozdíl od běžných IT firewallů jsou optimalizovány pro průmyslové protokoly a mají velmi nízkou latenci.

Klíčové vlastnosti pro segmentaci:

  1. Stavová inspekce paketů (Stateful Inspection): Firewall sleduje stav spojení. Pokud se PLC pokusí navázat spojení, firewall zkontroluje, zda je to povoleno, a následně automaticky propouští i odpovědi.
  2. Ochrana buňky (Cell Protection): Firewall se umístí jako „strážce“ před výrobní linku. Veškerý provoz z vnějšku (např. ze servisního PC v kanceláři) je blokován, kromě portů nezbytných pro diagnostiku (např. port 102 pro S7 komunikaci).
  3. Bridge Mode: Unikátní vlastnost SCALANCE firewallů, kdy se prvek chová jako „neviditelný“ switch na 2. vrstvě, ale přesto provádí filtraci paketů. To je ideální pro dovybavení (retrofit) starších linek bez nutnosti měnit IP adresy.

Pokročilé techniky: NAT a VPN

V moderní výrobě se často setkáváme se dvěma problémy: duplicitní IP adresy a potřeba vzdáleného přístupu.

Network Address Translation (NAT)
Při nákupu strojů od různých dodavatelů se často stává, že každý stroj má interně nastavenou stejnou IP adresu (např. 192.168.0.1). Firewally SCALANCE umožňují 1:1 NAT, kdy stroj navenek (do tovární sítě) vystupuje pod unikátní adresou, ale vnitřně si zachovává své původní nastavení. To radikálně zjednodušuje integraci strojů bez rizika konfliktů IP adres.

Bezpečný vzdálený přístup (VPN)
SINEMA Remote Connect (RC): V dnešním globalizovaném světě je vzdálený přístup k průmyslovým zařízením nezbytný nejen pro údržbu a diagnostiku, ale i pro efektivní a bezpečnou vzdálenou správu celých distribuovaných sítí. SINEMA Remote Connect je centrální platforma, která umožňuje právě toto – komplexní a bezpečné řízení vzdálených připojení.
Tento server funguje jako centrální uzel pro správu VPN spojení. Technik se připojí k serveru, firewall a router SCALANCE u výrobního stroje se také připojí k serveru a server následně vytvoří bezpečný most („rendez-vous“ koncept).
Jak SINEMA RC podporuje vzdálenou správu:

  • Centrální správa připojení – SINEMA RC server funguje jako mozek celého systému. Poskytuje škálovatelnou serverovou aplikaci, která zajišťuje end-to-end správu připojení distribuovaných sítí přes internet. Koordinuje bezpečné navazování spojení mezi řídicím centrem, servisními techniky, výrobci strojů a samotnými stroji nebo jejich VPN koncovými body (např. SCALANCE S615, SCALANCE SC-600 nebo SCALANCE M).
  • Integrace se SCALANCE: SCALANCE S615 a SC-600 fungují jako VPN tunelové koncové body v průmyslových výrobních buňkách. Tyto firewally chrání výrobní linky a zároveň vytvářejí VPN tunely k SINEMA RC serveru. Tím je zajištěna šifrovaná a autentizovaná komunikace.
  • Granulární řízení přístupu: Platforma umožňuje detailní správu přístupových práv. Uživatelé mají přístup pouze k povoleným zařízením SCALANCE, nikoli k celé podsíti za firewallem. SINEMA RC spravuje VPN tunely s ohledem na uložená přístupová práva, což zajišťuje, že servisní technik nebo výrobce stroje získá přístup pouze k těm komponentám, které potřebuje pro svou práci.
  • Prevence přímého přístupu: Jednou z klíčových bezpečnostních funkcí je, že SINEMA RC zabraňuje přímému přístupu externích uživatelů do výrobní části sítě. Uživatelé se nejprve připojí k SINEMA RC serveru a teprve poté jim je, na základě striktně definovaných práv, povolen přístup k cílovým zařízením. Tím se výrazně zvyšuje bezpečnost a minimalizuje riziko neoprávněného vniknutí.
  • Účel vzdálené správy: SINEMA RC zajišťuje, že vzdálené údržba, kontrola a diagnostika komponent v průmyslové síti probíhá bezpečně a efektivně, bez ohledu na vzdálenost. Komunikace je navíc protokolově nezávislá, neproprietární a založená na IP, což zajišťuje maximální flexibilitu pro různé aplikace.

Segmentace SCALANCE 2026 2

Implementace DMZ (Demilitarizované zóny)

Propojení IT a OT by nikdy nemělo být přímé. Mezi podnikovou sítí a výrobou musí existovat DMZ. V DMZ jsou umístěny servery, ke kterým potřebují přistupovat obě strany:

  • Antivirové servery (WSUS, Symantec): Pro aktualizaci systémů ve výrobě.
  • Data historiany a SQL databáze: Kam výrobní linky posílají data a odkud si je ERP systém (např. SAP) přebírá.
  • Diagnostika (SINEC NMS): Systém pro monitorování průmyslové výrobní sítě.

Správa sítě a monitoring: Co je SINEC NMS a proč je důležitý?

I ta nejlepší topologie selže, pokud není monitorována. SINEC NMS (Network Management System) je centrální mozek průmyslové výrobní sítě.
SINEC NMS je softwarový systém navržený speciálně pro monitorování, diagnostiku, konfiguraci a údržbu průmyslových komunikačních sítí. Na rozdíl od běžných IT síťových systémů je SINEC NMS optimalizován pro specifické požadavky průmyslového prostředí, kde je kladen důraz na vysokou dostupnost, determinismus a odolnost proti rušení.
SINEC NMS je neocenitelným nástrojem. Umožňuje centrální dohled nad celou síťovou infrastrukturou, od switchů a routerů až po bezdrátové komponenty, a zajišťuje tak transparentnost a kontrolu.

Klíčové funkce a přínosy:

  1. Komplexní monitorování a vizualizace:
    • Přehled v reálném čase: SINEC NMS poskytuje okamžitý přehled o stavu všech síťových zařízení. Operátoři vidí topologii sítě, stav připojení, zatížení a případné chyby na intuitivních dashboardech.
    • Proaktivní detekce problémů: Díky neustálému monitoringu a nastavitelným alarmům lze identifikovat potenciální problémy (např. zvýšená latence, ztráta paketů, selhání portu) dříve, než ovlivní provoz. To je klíčové pro minimalizaci prostojů ve výrobě nebo distribuci energie.
  2. Pokročilá diagnostika a řešení poruch:
    • Rychlá lokalizace chyb: V případě poruchy SINEC NMS pomáhá rychle lokalizovat postižené zařízení nebo segment sítě. To výrazně zkracuje dobu potřebnou k odstranění závady a snižuje dopad na provoz.
    • Historická data a analýzy: Systém ukládá historická data, která umožňují analýzu trendů a identifikaci opakujících se problémů, což vede k dlouhodobému zlepšení stability sítě.
  3. Efektivní konfigurace a správa zařízení:
    • Centrální správa konfigurace: Umožňuje vzdálenou konfiguraci a aktualizaci firmwaru pro velké množství síťových zařízení z jednoho místa. To šetří čas a snižuje riziko lidské chyby.
    • Automatizace úloh: Rutinní úkoly, jako je zálohování konfigurace nebo distribuce aktualizací, lze automatizovat, což zvyšuje efektivitu správy.
  4. Zvýšená kybernetická bezpečnost:
    • Dohled nad bezpečnostními událostmi: SINEC NMS monitoruje bezpečnostní události, jako jsou pokusy o neoprávněný přístup nebo změny konfigurace, a upozorňuje na ně.
    • Správa přístupu: Pomáhá spravovat uživatelská práva a autentizaci pro síťová zařízení, čímž posiluje celkovou obranu proti kybernetickým hrozbám, což je v kritické infrastruktuře nezbytné.
  5. Škálovatelnost a integrace:
    • Pro malé i velké sítě: SINEC NMS je modulární a škálovatelný, takže je vhodný pro správu malých lokálních sítí i rozsáhlých globálních infrastruktur.
    • Integrace s ekosystémem Siemens: Bezproblémově se integruje s dalšími produkty Siemens pro automatizaci a řízení, což zajišťuje jednotné a konzistentní řešení.

Segmentace SCALANCE 2026 3

Závěr: Desatero pro bezpečnou síťovou topologii

Na základě dokumentace Siemens (Network concepts for industrial automation networks) lze shrnout doporučení do těchto bodů:

  1. Segmentujte: Nikdy nenechávejte celou továrnu v jedné síti.
  2. Zónujte: Vytvořte logické zóny podle normy IEC 62443.
  3. Hardware nad software: Pro kritické oddělení používejte hardwarové firewally SCALANCE, ne jen softwarové filtry.
  4. Využívejte VLAN: Pro snížení zátěže a logickou přehlednost.
  5. Redundance je nutnost: Používejte MRP pro kruhové topologie.
  6. DMZ pro přenos dat: Nikdy nepropojujte PLC přímo s internetem nebo podnikovou sítí.
  7. Správa identit: Používejte RADIUS/802.1X pro kontrolu toho, kdo se fyzicky připojuje do switchů a jiných prvků v síti.
  8. Vypínejte nepoužívané porty: Fyzicky zablokujte volné porty na switchích v rozvaděčích.
  9. Centrální logování: Sledujte logy z firewallů pro včasnou detekci útoků.
  10. Pravidelná údržba: Síť není jednorázový projekt, vyžaduje pravidelné aktualizace firmwaru.

Koncept průmyslové sítě postavený na prvcích SCALANCE poskytuje nejen vysokou dostupnost dat, ale především klid pro provozovatele, že jejich výroba je chráněna proti moderním kybernetickým hrozbám.

Siemens, s.r.o.
E-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
www.siemens.cz/sinemarc
www.siemens.cz/sinec
www.siemens.cz/scalance
E-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Bezplatný odběr časopisu

Chcete odebírat časopis ElektroPrůmysl.cz zdarma? Napište Vaše jméno a e-mail, poté klikněte na tlačítko odebírat.

Časopis vychází 1x měsíčně.
Proudové chrániče

Aktuální číslo časopisu

ElektroPrumysl

ElektroPrůmysl.cz, březen 2026

Březnové číslo je tematicky zaměřené na elektroinstalační techniku, elektrické rozvody a elektrozařízení pro prostředí s nebezpečím výbuchu.

OTEVŘÍT ČASOPIS KE ČTENÍ

Nadcházející webináře | kurzy

14 dub, 2026

16 dub, 2026

29 dub, 2026

09 čvn, 2026

Standardní fotoelektrická čidla

Zajímavé odkazy

Udělejte víc s menším úsilím! Tři funkce. Jeden modul. Maximálně efektivní pro Ethernet/IP. To je MVK Fusion CIP Safety od Murrelektronik.
Nový katalog Lexium robotika Objevte rodinu robotů integrovanou do jednoho systému. Ultrakompaktní roboty Lexium SCARA od Schneider Electric – rychlost, extrémní přesnost, rychlé nasazení.
Měřicí systémy pro stlačený vzduch - CONDE Technik Dodáváme průtokoměry, detektory úniků i dataloggery CS Instruments včetně servisu a kalibrace. Provádíme analýzy úspor pro vaše rozvody v ČR i SR.
Hannover Messe 2026: Vstupenka zdarma! Objevte budoucnost průmyslu! Získejte volnou vstupenku s kódem WKNpT na přední světový technologický veletrh. Inovace, AI a automatizace na jednom místě.
EPLAN Platforma 2026 Nová verze Eplan Platforma 2026 představuje moderní základ pro efektivní projektování napříč obory a umožňuje vytvářet kompletní digitální dvojče automatizačních systémů strojů a zařízení.
HUMIDITY AND TEMPERATURE UNDER CONTROL

Oblíbené normy

Najdete nás na Facebooku