跳到主要内容
登入

MachineMetrics安全

Jesse Mayhew.
  • 更新

在MachinInetics,我们非常认真对待数据的安全性。本文概述了我们的硬件,软件,数据传输和云基础架构的安全措施。

边缘设备

边缘设备是一个小型,网络,工业计算机,运行有限的Linux操作系统(OS)和MachinImetrics软件。我们使用集装箱技术隔离服务,如身份验证,数据收集和机器通信等服务。边缘设备可以根据安装环境和连接的机器以多种不同的方式收集和传输数据。我们根据预期的操作环境和牢记安全配置,配置和安装每个设备。没有用户帐户或交互式登录的设施。为防止对软件配置的未经授权更改以及禁止使用外部驱动器重新启动系统的能力,在基本输入输出系统(BIOS)中禁用外部引导选项。

使用唯一键和网络配置提供每个设备,因此它可以注册并验证和授权到MachineMetrics服务器。访问密钥提供连接到MachineMetrics的软件,所需的最小访问量最小。所有通信都是加密的。钥匙可以通过MachineMetrics刷新或撤销。

边缘设备软件

每个边缘设备运行由Machinimetrics编写的服务集合,以满足需求,例如身份验证,数据收集和与机器通信。每个服务都在单独的Docker容器中运行,该容器将其与其他服务和主操作系统隔离。

该设备仅使传出网络连接且通常不提供任何网络服务。作为与固定组配置主机通信的纯客户端,边缘设备不存在网络攻击曲面。因为它没有运行任何服务,所以无法启动与它的网络连接。

  • 所有与MachinImetrics的通信都是由端口443的出站HTTPS连接启动。
    • 所有与MachinInemetrics的通信通过HTTPS加密。
  • 服务使用Web请求和持久性Web套接字的组合。
  • 使用在配置期间生成的唯一API键进行身份验证服务。
    • 可以通过MachineMetrics远程撤销API键或刷新。
    • API键授予满足网关服务角色所需的MachineMetrics服务器的最小访问量。

身份验证服务

边缘设备身份验证服务管理MachineMetrics API密钥和元数据。

机器通信服务

通信服务运行管理与边缘设备相关联的所有计算机的管理员进程。对于未配置为MTConnect-Native Machines的计算机,主管将配置和启动专用适配器进程,该过程知道如何与给定的计算机类型和收集数据连接。

每个适配器进程都运行一个服务器,该服务器接受来自Supervisor指定的端口的设备中的其他容器中的入站连接,从而发出符合MTConnect适配器协议的数据流。每个适配器进程还将在本地网络上进行出站连接,以连接到MachinImetrics中机器配置中的特定机器,服务器或设备。

数据收集服务

数据收集服务连接到实现MTConnect适配器协议的本地网络上的服务器。这些服务器是由机器通信服务管理的适配器,因此位于边缘设备本身,或者是诸如机器的MTConnect-Native设备。在所有情况下,数据服务只能与在MachinImetrics系统中配置的设备进行连接。

在安装过程中,用于机器数据收集的任何数字IO设备都以只读模式连接。
对于诊断反馈,数据服务将在网络上的ping计算机上,以便报告它们是否已打开。

数据服务收集和聚合机器数据,然后通过预先建立的HTTPS Web套接字将其发送到MachineMetrics云。

配置服务

配置服务允许从MachineMetrics Edge设备配置移动应用程序配置边缘设备的网络设置。该服务将自己作为蓝牙BLE服务宣传到经过身份验证的移动应用程序用户,并且通过蓝牙执行应用程序和服务之间的通信。

代理服务

可选的代理服务在诸如ERP集成的实例中使用,其中本地网络上的客户端必须与MachineMetrics API通信,但本身不能访问Internet。代理服务在本地网络上提供HTTP Web服务,并将预配置的API请求转发到MachinImetrics,将结果返回给本地客户端。本地请求对代理服务器未加密,但转发到Internet的请求通过HTTPS加密。

Machinimetrics云基础设施

MachineMetrics计算基础架构在虚拟私有云(VPC)中托管在Amazon Web系统(AWS)上。


资源被划分为公共和私人地区,并获取资源是凭据控制和限制为必要的最低特权。

用户访问网站的用户访问直接通过登录凭据或Google.comOAuth。
API访问后端由短LEVED身份验证令牌控制。

任何存储的密码都是散列的,从未以清晰的文本存储。

用户帐户是基于角色的,并且每个用户都被分配了最小的才能。


访问数据是基于角色的。

设备管理

MachineMetrics Fleet Management系统用于设备管理,监控和更新。

边缘设备建立了它接收到软件和配置更新的VPN连接。作为辅助方法,设备还通过HTTPS定期连接以检查更新。VPN连接可用于访问它以维护,配置和排除边缘设备的有限MachinineMetrics员工。访问VPN的访问仅限于有限数量的用户,并受到多因素认证方法的保护。

如果您对MachineMetrics安全有任何其他问题或疑虑,请向我们联系support@machinemetrics.com。

    相关文章

    评论

    0评论

      登入留下评论。

      由Zendesk提供支持