In der IT ist Virtualisierung ein Standardprozess, Server werden in Unternehmen nur noch selten anders bereitgestellt. In der OT ist allerdings Vorsicht geboten. Obwohl Server von Prozessleitsystemen zunehmend virtualisiert werden, sind die Anforderungen und Rahmenbedingungen ganz andere. Wir zeigen am Beispiel von Siemens WinCC, warum die Server der OT nur bedingt zu den Virtualisierungsumgebungen der IT passen und worauf Sie besonders achten sollten.
Virtualisierung in der IT
Virtualisierung schafft eine Abstraktionsebene zwischen physischer Hardware und Betriebssystem, in der eine virtuelle Maschine (VM) einen physischen Computer simuliert. So können mehrere Anwendungen und sogar verschiedene Betriebssysteme völlig getrennt voneinander auf der gleichen physischen Hardware betrieben werden. Die virtuellen Maschinen teilen sich die auf dem Host-Computer vorhandenen Ressourcen, wie CPU, Arbeitsspeicher und Netzwerkressourcen, die von einem Hypervisor verwaltet und den virtuellen Systemen bedarfsgerecht zugewiesen werden.
Virtualisierung hat eine Reihe von Vorteilen. Vor allem können Hardwareressourcen effizienter genutzt werden, da es möglich ist, eine Vielzahl von Servern auf einigen wenigen physischen Rechnern zu betreiben. Da virtuelle Maschinen ein Stück weit unabhängig und von der physischen Hardware entkoppelt sind, wird die Bereitstellung, Wartung und Pflege von konfigurierten Servern einfacher. Dadurch lässt sich der Serverbetrieb standardisieren und somit auch besser skalieren, und es wird einfacher, Redundanz zu schaffen.
Virtualisierung passt daher sehr gut zu den treibenden Konzepten der IT: Standardisierung und Automatisierung.
Virtualisierung in der OT
Know-how zu Virtualisierung ist in vielen Unternehmen vorhanden, deswegen liegt es nahe, die Mehrwerte von Virtualisierung auch in der OT nutzen zu wollen. Es gibt aber wichtige Unterschiede, die Sie kennen sollten.
Ziele
Virtualisierung spielt in der OT eine andere Rolle als in der IT. Der Hauptfokus liegt weniger auf effizienter Ressourcennutzung, sondern vielmehr darauf, wichtige Funktionalität zur Verfügung zu stellen, die bisher fehlt. Hier sind einige Beispiele:
- Virtualisierung ermöglicht es, sehr verschiedene Systeme, mitunter mit veralteten Versionsständen und sehr spezifischen Anforderungen, auf der gleichen Commodity-Hardware aufzusetzen. Diese Hardware muss nicht im Shopfloor stehen und muss daher auch nicht vor Staub und Erschütterungen geschützt werden.
- Oft ist es sinnvoll, mehrere Server einzusetzen, um Redundanz zu schaffen, so dass der Anlagenbetrieb auch dann aufrechterhalten werden kann, wenn ein Teil der Hardware ausfällt. Mit Virtualisierung lassen sich Server relativ unkompliziert vervielfältigen und auf verschiedene physische Server aufteilen.
- Virtualisierung ermöglicht außerdem das Aufsetzen von virtuellen Testumgebungen. Da diese gekapselt sind, so dass Tests keine Auswirkungen auf den Host oder andere Prozesse haben, ist es möglich Kompatibilitätsprobleme zu entdecken, ohne den laufenden Betrieb zu stören.
- Darüber hinaus macht es eine Virtualisierungsebene deutlich einfacher, Backups von Systemen zu erstellen, ohne in das Host-Betriebssystem eingreifen zu müssen.
Prioritäten
Unabhängig davon, ob Systeme auf eigener Hardware oder in einer virtuellen Umgebung betrieben werden, oberste Priorität hat immer die Verfügbarkeit der Anlage. Gerade Server für Prozessleitsysteme haben einen sehr hohen Stellenwert in der Automation: Wenn sie nicht verfügbar sind, läuft nichts.
Rahmenbedingungen
Gleichzeitig sind Prozessleitsysteme eigenwillig. Abweichungen von Standards, Integration in Netzwerke und die daraus resultierenden Anforderungen an Virtualisierung passen nicht gut zu den gängigen Konzepten der IT. Das lässt sich am Beispiel von Siemens WinCC sehr gut verdeutlichen.
Ausgangspunkt für eine Virtualisierung von WinCC
WinCC (Windows Control Center) ist eine Visualisierungssoftware von Siemens zur Überwachung und Steuerung von Prozessen auf Microsoft-Windows-Rechnern. WinCC kann entweder als eigenes SCADA-System (Supervisory Control and Data Acquisition) oder als HMI (Human Machine Interface) für ein bestehendes Prozessleitsystem wie PCS7 eingesetzt werden. Skalieren lässt sich WinCC über eine Client-Server-Architektur, in der zum Beispiel ein Server Daten von mehreren Werken zentral sammelt und den Clients an verschiedenen Arbeitsplätzen zur Verfügung stellt.
Die Kommunikation mit einem WinCC-Server erfolgt über ein Bussystem, das aus Terminalbus und Anlagenbus besteht.
- Über den Terminalbus kommuniziert der WinCC-Server mit den Clients und Engineering-Stationen.
- Der Anlagenbus verbindet den WinCC-Server mit den Automatisierungssystemen. Diese Verbindung muss immer und möglichst störungsfrei zur Verfügung stehen.
- Gegebenenfalls gibt es zusätzlich einen Redundanzbus, der den Anlagenbus doppelt.
Grundsätzlich wird die Trennung von Anlagen- und Terminalbus empfohlen. Denn würde die Kommunikation zwischen WinCC-Server und Clients und über denselben Netzwerkadapter erfolgen wie die Kommunikation zwischen WinCC-Server und Automation, könnte das die Performance und Fehlerrate in der Anlagenkommunikation negativ beeinflussen. Außerdem könnten Störungen zwischen Server und Bedienstationen gleichzeitig zu Störungen in der Automation und mitunter sogar zu einem Ausfall der Anlage führen.
Das bedeutet vor allem, dass ein WinCC-Server mehrere Netzwerkkarten braucht, eine für den Terminalbus und eine für den Anlagenbus, plus eine zusätzliche im Fall von Redundanz. Die IP-Adressen von Terminal-, Anlagen- und Redundanzbus müssen sich dabei in unterschiedlichen Subnetzen befinden. Da jedes der Subnetze einen eigenen Standardgateway hat und das zu Problemen beim Routing führen kann, steuert WinCC den Netzwerkverkehr selber.
Heutzutage werden WinCC-Server in der Regel virtualisiert. Das sieht auf den ersten Blick nicht anders aus als bei IT-Systemen.
Wichtig zu verstehen ist aber, dass sich an der eben beschriebenen Netzwerkanbindung von WinCC-Servern nichts ändert: Jeder WinCC-Server, egal ob physisch oder virtuell, braucht eine Verbindung zum Anlagenbus und zum Terminalbus. Auch für virtuelle WinCC-Server müssen also mehrere Netzwerkkarten konfiguriert werden.
Generell empfiehlt Siemens, virtuelle WinCC-Server genauso zu behandeln wie nicht-virtualisierte WinCC-Server.
Hinweise und Tipps für die praktische Umsetzung
Dass bei Prozessleitsystemen – anders als in der IT – die störungsfreie Verfügbarkeit oberste Priorität hat, hat Konsequenzen für die praktische Umsetzung einer Virtualisierung. Es will genau überlegt sein, in welche Virtualisierungsumgebung die Systeme eingebunden und wie sie konfiguriert werden.
Was Sie für eine möglichst reibungslose Virtualisierung beachten müssen, zeigen wir am Beispiel von WinCC.
Kritikalität
Um abschätzen zu können, wie kritisch WinCC-Instanzen sind, klären Sie zu Beginn folgende Fragen:
- Welcher Anspruch besteht an die Verfügbarkeit des Systems? Was passiert, wenn dieses WinCC nicht verfügbar ist?
- Hat dieses WinCC Einfluss auf die Sicherheit von Anlagen und Systemen?
- Wird dieses WinCC auch zum Engineering genutzt oder dient es als reine Visualisierung?
- Wer ist für die Wartung zuständig? (Sie selbst oder ein externer Dienstleister, z.B. Siemens?)
Architektur
Je nachdem wie kritisch die zu virtualisierenden WinCC-Systeme sind, gibt es folgende Ansätze für eine VM-Landschaft:
- Für jede kritische WinCC-Installation gibt es eine dedizierte Virtualisierungsumgebung, in der ausschließlich dieses WinCC betrieben wird.
- Es gibt eine dedizierte Virtualisierungsumgebung ausschließlich für WinCC-Installationen. Mehrere WinCC-Installationen werden dabei in derselben Virtualisierungsumgebung betrieben, werden aber nicht mit anderen virtuellen Maschinen gemischt.
- WinCC-Installationen werden im Mischbetrieb gemeinsam mit anderen virtuellen Maschinen innerhalb einer größeren VM-Landschaft der OT betrieben.
- WinCC-Installationen werden in die Virtualisierungsumgebung der IT eingebunden.
Dabei spielt auch Ihre Netzwerkarchitektur eine Rolle. Planen Sie zum Beispiel, WinCC-Server in die Virtualisierungsumgebung der IT einzubinden, müssen Sie eine direkte Kommunikation von dieser Umgebung in den Anlagenbus ermöglichen. Das gestaltet sich in der Praxis oft schwierig, schon allein aufgrund der dafür nötigen Verkabelung zwischen Rechenzentrum und Werk.
Verantwortungsbereiche
Eine virtuelle WinCC-Landschaft besteht meist aus verschiedenen Systemen und Schichten, die in unterschiedliche Verantwortungsbereiche fallen. Hier sollte bereits im Vorfeld geklärt sein, wer diese jeweils verantwortet.
- Wer verantwortet die zugrundeliegende Hardware und ist gegebenenfalls für Wartung und Austausch zuständig? Hier ist in der Regel der Hardware-Lieferant einbezogen.
- Wer verantwortet die virtuelle Maschine inklusive des Betriebssystems und die Administration des Hypervisors? Wer ist zuständig für Updates oder Sicherheitspatches? Hier kann zum Beispiel VMware eine Rolle spielen.
- Wer verantwortet und konfiguriert die Anwendung selbst? Im Fall von WinCC betrifft das wahrscheinlich Ihre IT und OT zusammen mit dem Support von Siemens.
Technische Anforderungen und Konfiguration
Bei der Virtualisierung von Prozessleitsystemen sollte immer die aktuelle Dokumentation des Herstellers zu Rate gezogen werden.
Siemens beschreibt die Virtualisierung von WinCC, die damit verbundenen Hardware-Anforderungen sowie die Konfiguration des Host-Systems und der Netzwerkkarten in folgendem Dokument: https://support.industry.siemens.com/dl/files/181/49368181/att_958846/v2/49368181_WinCC_virtualization_v2_de.pdf
Netzwerk
Siemens empfiehlt, jeden virtuellen WinCC-Server genauso zu behandeln wie einen nicht-virtualisierten WinCC-Server. Es müssen also die gleichen Netzwerkkarten konfiguriert werden: Auch virtuell benötigen Sie einen separaten Terminalbus, Anlagenbus und Redundanzbus, mit IP-Adressen in unterschiedlichen Subnetzen.
Um die Verfügbarkeit nicht zu gefährden, sollte für die Netzwerkkarte zu einem PROFINET-Anlagenbus oder Redundanzbus kein VLAN genutzt werden. Netzwerkkarten müssen außerdem über Gruppenrichtlinien dem privaten Netzwerkprofil zugewiesen werden. Es darf keine ungenutzten Netzwerkkarten geben oder Netzwerkkarten im öffentlichen Profil.
CPU
Bedenken Sie, dass bei Prozessleitsystemen der Anlagenbus immer verfügbar und möglichst störungsfrei sein muss. Bei der Virtualisierung von WinCC bedeutet das vor allem, dass Sie für den Anlagenbus CPU-Ressourcen reservieren müssen. Andere Anwendungen in derselben Virtualisierungsumgebung haben dann entsprechend weniger Ressourcen zur Verfügung.
Snapshots
Verwenden Sie keine Snapshots im Produktivbetrieb, da das die Leistungsfähigkeit der virtuellen Maschine beeinträchtigen kann, was wiederum Konsequenzen für die Verfügbarkeit Ihrer Anlage hat.
Updates
Nutzen Sie eine aktuelle Version der VMware Tools, deaktivieren Sie aber automatische Updates, da sonst das Host-System automatisch neugestartet werden kann. Während des Neustarts stehen WinCC-Server nicht zur Verfügung und WinCC-Clients können nicht bedient werden.
Unterstützte und nicht-unterstützte Operationen
Informieren Sie sich im Vorfeld, welche Operationen vom Hersteller unterstützt werden. In vielen Fällen schränkt Siemens die essentiellen Features, die aus einem regulären IT-Betrieb bekannt sind, stark ein.
Von Siemens nicht freigegeben sind zum Beispiel das Klonen und Verschieben von virtuellen Maschinen mit SIMATIC-Software, sowie die Möglichkeit, virtuelle Maschinen mittels Suspend/Resume in einen Ruhezustand zu versetzen und den eingefrorenen Zustand später wieder zu reaktivieren. Das gilt auch für Themen wie das automatische Verschieben von VMs, wie es durch HA Konstrukte möglich ist.
Die Hochverfügbarkeit von Siemens WinCC wird NICHT durch die Virtualisierungslösung erreicht, sondern durch die Applikationsredundanz, die WinCC hat. Das bedeutet, dass die Synchronisation und das Thema „Aktive / Passive“ innerhalb der WinCC Anwendung passiert.
Hinweis: Unseren Artikel halten wir natürlich möglichst aktuell, aber er stellt keine direkte Umsetzungsempfehlung dar und bildet nicht alle Siemens-Anforderungen vollständig ab. Bitte prüfen Sie vor einer Umsetzung die einschlägigen Siemens-Dokumente zu Virtualisierung und WinCC.
Fazit
Virtualisierung spielt in der OT eine andere Rolle als in der IT. Außerdem gelten gerade bei Prozessleitsystemen andere Anforderungen und Rahmenbedingungen, die nicht kompatibel mit der Art und Weise sind, wie Virtualisierung in der IT normalerweise betrieben wird.
In der Praxis führt das dazu, dass die Virtualisierung von Prozessleitsystemen anderen Regeln folgt als der Standardprozess der IT und daher gut durchdacht werden sollte. Vor allem die Möglichkeit, virtuelle Maschinen der OT in die Virtualisierungsumgebung der IT einzubinden, führt erfahrungsgemäß zu einer Reihe von Konflikten und Kosten, die die Vorteile in den meisten Fällen nicht aufwiegen.
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
