Moni yritys yrittää lähteä digitalisoimaan prosessejaan. Usein ensimmäinen askel on datan kerääminen tuotannosta antureilla. Tämä data pitää suojata ja sitä pitäisi hyödyntää jotenkin. Amazonin AWS auttaa tässä. Yhtiön valmistuksen erikoisratkaisuista vastaava Jan Metzner selvensi, miten.
IoT alkaa anturista ja oikeastaan siitä pisteestä, missä data generoidaan. AWS tunnetaan suurimpana pilvipalveluntarjoajana, mutta asiakkaitaan se auttaa jo pienimissä IoT-laitteiden mikro-ohjaimissa.
- Meillä on mikro-ohjaimen käyttöjärjestelmä Amazon FreeRTOS, jossa avoimeen käyttöjärjestelmään on lisätty oma protokollapino. Se lisää ohjaimiin TLS-suojauksen ja integroinnin verkkoprotokollaan.
Kun AWS käynnisti IoT Core -palvelut pilvessä, vaatimukseksi esitetttiin, että yhteyksien piti tukea TLS 1.2 -salausprotokollaa. - Monet sanoivat, ettei se ole mahdollista niin pienissä laitteissa, mutta onnistuimme kehittämään ohjelmistopinon, joka tukee Internetin standardia salausta myös pienissä sulautetuissa laitteissa. Tietoturvakirjastot on myös julkaistu MIT-lisenssin alla, joten niitä voivat muutkin FreeRTOS-käyttäjät käyttää, Metzner kehuu.
Anturin ohjaimen kautta IoT-data siirtyy ensin yhdyskäytävään. Siihenkin AWS:llä on ratkaisu. - AWS IoT Greengrass on mikropalvelupohjainen ohjelmisto, joten sen päällä voidaan ajaa erilaisia palveluita, joita voi kehittää pilvessä ja ottaa käyttöön yhdyskäytävässä. Sen avulla voidaan liittyä antureihin tai tehdaslaitteisiin.
Greengrassissa on sama tietoturvan taso kuin pilvessä ajettavassa AWS IoT Coressa. Se voi kommunikoida FreeRTOS-laitteiden kanssa TLS-salattuna. Greengrassilla on yhteys laitetason tietoturvamoduuliin, johon voidaan tallentaa yksityiset salausavaimet. - Datan salaus tapahtuu tässä salausosiossa, joten avain ei lähde minnekään IoT-laitteesta. Avaimeen ei edes pääse käsiksi, Metzner selventää.
Yhä useammin IoT-dataa halutaan prosessoida verkon reunalla. Mitä vähemmän dataa joudutaan siirtämään pilven ja tuotannonvalvonnan välillä, sen parempi. Verkon reunalla pitäisi myös pystyä tekemään päättelyjä. Tämäkin on jo täysin mahdollista.
- Usein näemme esimerkiksi tuotantoympäristöissä, joissa latenssi on tärkeässä roolissa, että koneoppimismalleja halutaan hyödyntää jo IoT-laitteessa tai yhdyskäytävässä. Sagemaker-palvelu voi kääntää koneoppimismallin tavukoodiksi, joka on optimoitu kohdelaitteistolle. Näin voidaan ajaa tekoälyä jo sulautetussa laitteessa, eikä kaikkea dataa tarvitse syöttää pilvipalveluun.
Tässä ei ole kyse vain yksinkertaisesta datapisteiden reuna-arvojen mittaamisesta. Yhä useammin halutaan esimerkiksi koneoppimismallin avulla tunnistaa jotakin videostriimistä. - Jos haluaa tehdä analyysiä pilvessä, se kyllä onnistuu mutta vie tyypillisesti 30-40 millisekuntia.
Yhteydestä riippuen tämä voi hidastaa tuotantolinjaa. Tämän takia asiakkaat voivat haluta, että inferenssi tehdään jo verkon reunalla. AWS:llä on esimerkiksi Panorama-laite, johon voidaan syöttää pilvessä kehitettyjä ML-malleja. – Kyse on black box -tyyppisestä ratkaisusta, jolla voidaan analysoida valvontakameran kuvavirtaa ja tunnistaa siitä haluttuja asioita. Lisäksi laitteella voidaan seurata koneiden lämpötila- ja tärinäarvoja, Metzner kertoo.
Tällaiset päästä-päähän -ratkaisut tekevät elämän helpommaksi asiakkaalle ja tällaisia he usein haluavat erityisesti videostriimien analyysiin. AWS tarjoaa asiakkailleen valmiita ML-malleja, mutta niitä saa myös ostaa Marketplace-kaupasta. - Mallin voi myös rakentaa itse ja käyttää sitä.
Yleensä ajatellaan, että teollisuudessa laitteet on suojattu ja kuluttajien laitteissa suojaus on retuperällä. Jan Metznerin mukaan tähän ei ole mitään pakottavaa syytä.
- Ongelma on se, että monet kulutuslaitteet ovat suojaamattomia. Jokainen laite pitäisi olla suljettu oletusarvoisesti. Näin pitäisi olla firmwaren kirjoittamisesta siihen asti, kun laiteohjelmistoa joudutaan päivittämään. Jos valmistaja huomaa, että laiteohjelmistossa on vika, se pitäisi pystyä päivittämään tietoturvallisesti.
Metznerin mukaan markkinoilla on huonosti suojattuja laitteita, koska valmistajat eivät investoi turvallisuuteen. – Heidän mukaansa on niin monimutkaista rakentaa suojaus sulautettuun laitteeseen. Tämän takia kehitimme FreeRTOSin, jotta suojaus olisi mahdollisimman helppoa.
Jos valmistajat eivät tätäkään tee, AWS voi aina pakottaa asiakkaan suojaamaan laitteensa. Turvattomasti ei AWS:n pilveen voi päästä, eikä sen palveluja, instansseja pääse käyttämään. Tässä AWS:llä on myös palveluita, joilla asiakkaita voi auttaa. Esimerkiksi AWS IoT Device Defender havaitsee, jos jossakin laitteessa on portti auki. Jos operoi suurta joukkoa IoT-laitteita, täytyy olla ratkaisuja, jotka monitoroivat asiakkaan kaikkia laitteita.
- Jos laite on suojattu oikein, siihen on hyvin vaikea päästä kiinni ulkoapäin, Matzner vakuuttaa.
