宾州州立大学通过微分段确保楼宇自动化,物联网交通

  • 时间:
  • 浏览:63
  • 来源:IT海外资讯网
Google Imagery©2018,DigitalGlobe

现在是时候了解宾州州的BACnet流量。

BACnet是一种用于楼宇自动化和控制(BAC)系统的通信协议,如供暖,通风和空调(HVAC),照明,门禁和火灾探测。 Penn State因其开放性而在BACnet上标准化。

“任何设备,任何制造商 - 只要他们谈论BACnet,我们就可以整合它们,”设施自动化服务部门的系统设计专家Tom Walker说道。宾州州立大学。 “这是一个非常简洁的协议,但你必须知道部署它的怪癖,特别是在规模上。”

我们的新游戏网站是现场直播! Gamestar涵盖游戏,游戏小工具和装备。订阅我们的n电子邮件,我们会将最好的东西直接发送到您的收件箱。在这里了解更多。

一个怪癖是BACnet很容易播出暴风雨。由于数百个BACnet系统在多个校园内运行,公开遍历网络,Penn State担心网络其他部分的性能下降并暴露潜在的安全漏洞

“我接管这个基础设施大约四年之前,我进入了一个平坦的第2层网络,遍​​布整个主校区,“沃克说。他和他的团队决定将大学共享基础设施中的BACnet流量分段,以提高安全性和可管理性。

宾夕法尼亚州立大学的设施自动化服务小组负责处理自动化工程,网络管理等功能。d监控大学的数字连接建筑物。

建筑自动化系统允许团队远程控制HVAC系统,因此教室和办公室可以为学生和员工进行适当的加热和冷却。自动化控制还有助于确保关键研究实验室的安全运行。

“我们有冰冰 - 它是不可替代的,”沃克说。 “所以我们对冷冻机进行监控,以确保它们不会自行解冻。”在宾夕法尼亚州立大学的一个地下室还有一个原子钟,温度控制在十分之一度。

设施自动化包括物联网

设施自动化服务组覆盖了很多地区 - 宾州州有3200万平方英尺的建筑物,s在数十个全州校园和22,000英亩的土地上开展工作。

在640多座建筑物中,有数十个监测条件的系统,设备和传感器。他们收集的数据继续增长。

“我们过去只是建筑自动化。但多年来,我们已经开始采用更多组件。我们现在管理所有不同设施的网络 - 废水,水处理,蒸汽设备,配电,甚至冷水分配,“沃克说。

”这是我们集团的演变。我们在建筑物内采取了更多的东西 - 保持建筑物运行的一切。我们将这些数据通过我们的网络基础设施带回数据中心,然后将其提升到云端或通过可以通过其他分析系统来分析数据。“

例如,设施自动化小组开始跟踪电梯的使用情况。 “我们发现一台电梯在一天内完成了1,900次旅行。这是我们以前从未见过的洞察力,它解释了为什么电梯不断崩溃,“沃克说。

这听起来很像物联网,但对于设施自动化团队来说,它只是照常营业。 “这个物联网业务 - 它是一个流行语,”沃克说。 “我们一直在做物联网。这就是楼宇自动化。它正在建筑物中进行控制,并通过网络将它们带回来,因此我们可以远程管理该建筑物。“

Microsegmentation比VLAN,防火墙或ACL更合适

宾夕法尼亚州立大学决定升级其建筑的关键驱动因素自动化系统是保证现场通信的必要条件。 BACnet基础设施是一个直接的无线和蜂窝网络连接网络。访问控制是一个问题。

该大学正在进行的32.8亿美元资本支出计划 - 专注于现有设施和系统的更新 - 意味着过去几年几乎不断建设,并且有稳定的承包商进入和走出电信室,利用楼宇自动化系统,安装恶意接入交换机和无线接入点。 “这些承包商将引入他们自己的交换机,将它们插入我们的平面第2层网络。或者他们会添加自己的接入点和无线路由器,“沃克说。 “管理起来非常复杂。”

不要错过:什么是麦克风rosegmentation? |微模块数据中心设置为倍增IDC的十大数据中心预测

它也是一个潜在的攻击媒介,建筑自动化团队旨在消除这一点。 “这是主要目的:试图找出清理网络并以同样的方式保护网络的最佳方法,”Walker说。

解决方案是微分段,允许宾夕法尼亚州立大学减少其网络攻击面并集中控制数百个BACnet系统 - 在升级过程中不会破坏传统网络。

一般而言,微分段允许组织将工作负载彼此隔离并单独保护它们。与传统的网络安全技术相比,它可以实现更精细的流量分区防火墙,虚拟局域网(VLAN)和访问控制列表(ACL)。

组织可以根据不同类型的流量定制安全设置,例如,创建限制工作负载之间的网络和应用程序流的策略。是明确允许的。如果设备或工作负载移动,安全策略和属性随之移动。目标是减少网络攻击面:通过将分段规则应用于工作负载或应用程序,组织可以降低攻击者从一个受损的工作负载或应用程序迁移到另一个的风险。

对于宾夕法尼亚州,部分吸引力在于易于部署和管理,这意味着设施团队可以自行管理网络重新架构。 “我们看着cre在建筑物内部进行单独的VLAN或[私有VLAN],进行MAC过滤,进行访问控制列表或构建楼层防火墙,“Walker说。 “但是当我们开始考虑可扩展性时,它会变得疯狂。对于其中一些选项,我只需要雇佣至少两个人来管理工具集。“

大学选择了Tempered Networks的微分段技术来隔离和掩盖其BACnet流量。供应商的HIPswitch设备在物理网络之上创建一个安全的专用覆盖网络,并且只允许明确信任的系统或端点进入覆盖。 HIPswitch与Conductor,Tempered Networks的集中编排引擎配合使用,可以创建,管理和监控设备配置和se

概念验证有助于塑造宾夕法尼亚州的部署。 Walker说,该团队最初考虑将HIPswitch设备部署到单个控制器级别,但决定向上移动一层 - 到建筑层面 - 这大大简化了管理。 “我们能够创建一组控制器和一组服务器,然后通过覆盖层内的信任关系轻松地将它们连接在一起。”

各个建筑系统根据功能被锁定,而不是按港口。 “如果其中一个控制器受到攻击,他们只能访问数据中心,访问一台服务器。以前,如果有人破坏了建筑物,他们可以访问数据中心和所有暴露的应用程序,“Walker说。 “现在我们可以说:'照明控制器只能与照明服务器通信。电梯控制器只能与电梯服务器通信。'”

Tempered Networks的技术“在这些个人之间建立信任建筑物和我们的数据中心。“它还减少了建筑物之间的交通,这在重建之前是一个问题。”大而扁平的第2层网络上的每一栋建筑都听到了沟通的每一点。现在只有建筑和服务器正在进行通信。“

在BACnet广播风暴或入侵的情况下,很容易关闭来自单个建筑物的流量,Walker说。”之前,因为它是一个大而扁平的第2层雏菊 - 链条一路走来,我不得不关闭可能多个端口。或者如果我关闭一个端口,它可能会关闭了六个建筑物。现在我可以单独控制每个建筑物的流量。“

该技术还可以更容易地进行添加,移动和更改;宾夕法尼亚州立大学可以通过集中协调为网络上的特定设备提供安全的承包商访问。

“我想要一些我们可以轻松部署并立即保护基础设施的东西,”Walker说。

早期成功导致宾夕法尼亚州立大学扩大该项目。最初,设施团队计划在宾夕法尼亚州立大学系统中最大的校园 - 大学公园部署HIP开关。现在,该大学正在将该项目扩展到全州其他校区。

随着宾夕法尼亚州立大学继续扩建其校园物业,HIPswitch的灵活性正在实现他设施团队连接到最偏远的站点。就在最近,Walker的团队在玉米田中间的一座建筑物中部署了一个带有蜂窝连接的HIPswitch,在那里建立光纤连接需要花费更多的时间和金钱。

这种蜂窝功能是一个功能沃克发现比他最初的预期更有用。 “我们能够部署在我们以前无法实现的地方。”

这个故事,“宾夕法尼亚州立大学确保楼宇自动化,物联网交通与微分段”最初由Network World出版 ]