Sécurité étape par étape avec CODESYS
L'installé CODESYS Development System est menacée par les pirates informatiques dans la mesure où des installations supplémentaires et des bibliothèques utilisées pourraient être manipulées ou remplacées. La signature de packages complémentaires (dans CODESYS Package Designer), bibliothèques (lors de l'enregistrement dans CODESYS), et les contrôles HTML5 (dans le référentiel d'éléments de visualisation) permettent d'y remédier.
Créez un projet pour programmer votre/vos application (s) dans CODESYS.
Créez une gestion des utilisateurs du projet. Configurez les informations d'identification des utilisateurs et leurs autorisations. Vous pouvez configurer individuellement Contrôle d'accès dans le Propriétés de chaque objet.
Chiffrez le projet dans Sûreté catégorie des Paramètres du projet avec au moins un mot de passe, ou mieux encore avec un certificat.
Pour plus d'informations, voir : Développement sécurisé/Protection du code source
Si vous créez une bibliothèque qui doit être installée pour être utilisée dans d'autres projets, protégez-la par une signature. Chaque composant pouvant être installé en plus offre aux pirates la possibilité d'attaquer le système de programmation.
Pour plus d'informations, voir : Protection et signature des bibliothèques compilées
En tant que développeur de bibliothèques, vous pouvez utiliser le
CmpX509Cert.librarybibliothèque pour créer des certificats pour des blocs de fonctions spécifiques sur l'automate.Pour plus d'informations, voir : Bibliothèque
CmpX509Cert.librarypour la génération de certificatsGérez le projet dans un système de contrôle de version tel que CODESYS Git, à des fins de sécurité des données et d'échange sécurisé avec des tiers.
Pour plus d'informations, voir : Gérer un projet dans CODESYS Git ou CODESYS SVN
Avant de télécharger l'application créée :
Chiffrez et/ou signez l'application à l'aide d'un certificat. Il est préférable de commencer les actions nécessaires dans Propriétés boîte de dialogue de l'application sur Sûreté onglet.
Pour plus d'informations, voir : Chiffrer l'application
Vous pouvez utiliser
CmpX509Cert. librarybibliothèque permettant de créer des certificats spécifiques pour une application IEC donnée ou pour une unité de celle-ci.Pour plus d'informations, voir : Bibliothèque
CmpX509Cert.librarypour la génération de certificatsConfigurez la connexion à l'automate et protégez-le :
Assurez-vous que Communication cryptée paramètre de sécurité est activé dans l'éditeur de périphériques. Scannez le réseau à la recherche de l'automate.
Après avoir sélectionné l'automate, vous serez invité à créer et à installer un certificat pour une communication cryptée qui est valide pendant au moins une période limitée.
Lorsque vous y êtes invité, activez la gestion des utilisateurs de l'appareil. À l'invite suivante, configurez l'utilisateur de l'appareil. Connectez-vous à l'automate à l'aide des informations d'identification attribuées à cet effet.
Pour plus d'informations, voir : Chiffrement des communications à l'aide d'un certificat et modification de la politique de sécurité
Vous pouvez maintenant exécuter l'application sur l'automate.
Déterminez si vous souhaitez installer une installation à long terme certificat pour les communications cryptées en ce moment. Vérifiez la politique de sécurité du système d'exécution et ajustez-la si nécessaire.
Pour plus d'informations, voir : Chiffrement des communications à l'aide d'un certificat et modification de la politique de sécurité
L'application est en cours d'exécution sur le contrôleur. Pour améliorer la sécurité, vous pouvez procéder comme suit : Journal d'audit, Exclure les actions critiques spécifiques des utilisateurs via l'application, Utiliser les modes de fonctionnement du PLC, Configuration de la connexion interactive.
Utilisez-vous un serveur OPC UA et des jeux de symboles pour l'échange avec l'automate ?
Chiffrez la communication entre le serveur OPC UA et le client à l'aide d'un certificat qui peut être configuré à l'aide de l'écran de sécurité lors de l'établissement de la connexion. Configurez le CODESYS gestion des utilisateurs et des droits, également pour les actions sur le serveur OPC UA. Restreignez l'accès aux symboles pour des groupes d'utilisateurs d'appareils spécifiques.
Pour plus d'informations, voir : Utilisation d'un serveur OPC UA sécurisé, Configuration des ensembles de symboles
Utilisez-vous un WebVisu ou un TargetVisu ?
Pour les visualisations, vous devez utiliser la « gestion des utilisateurs basée sur l'exécution », qui est liée à la gestion des utilisateurs sur le contrôleur. Pour un WebVisu, la communication avec le serveur Web doit être cryptée par certificat. Vous devez également toujours signer les contrôles HTML5 utilisés, car ils peuvent également être installés et constituent donc une cible pour les pirates informatiques
Vous devez également crypter la communication avec l'automate approprié pour un TargetVisu distant.
Pour plus d'informations, voir : Signature d'un contrôle HTML5, Protection de la communication entre le WebVisu et le navigateur, et Chiffrement de la communication avec une cible distante Visu
Utilisez-vous le Automation Server (CAS) ?
Vous avez déjà attribué un mot de passe de serveur au moment de l'achat. Utilisez l'authentification multifactorielle (MFA) lors de la connexion. Configurez la gestion des utilisateurs sur le CAS et attribuez des autorisations d'accès spécifiques pour les actions sur le serveur et sur les objets du serveur. Configurez la connexion cryptée par certificat entre le serveur d'automatisation et la passerelle Edge. Une « configuration rapide » vous facilite la tâche. Utilisez la fonction « Audit Trail » pour rendre les actions et les accès traçables.
Pour plus d'informations, voir : Sécurité pour CODESYS Automation Server
Utiliser CODESYS Git
Si possible, utilisez des mots de passe SecureString lorsque vous utilisez l'interface de script.
Pour plus d'informations, voir : Gérer un projet dans CODESYS Git ou CODESYS SVN
Pensez à des actions de sauvegarde à temps. La récupération éventuelle des données perdues fait également partie des mesures de sécurité.
Pour plus d'informations, voir : Sauvegarde/Restauration