Büyük IT ve OT Çatışması

Bilgi Teknolojileri (IT) ve Operasyonel Teknolojiler (OT) departmanları, on yıllar boyunca birbirine paralel ama zıt iki evrende var oldular.

IT ekipleri genellikle klimalı, steril sunucu odalarında yaşar; SAP, Apache Kafka ve AWS gibi bulut ve kurumsal sistemlerle uğraşırlar. Onların dünyasında öncelik; her yerden veri erişilebilirliği, hızlı yazılım güncellemeleri ve küresel ölçeklenebilirliktir.

Öte yandan OT ekipleri; gürültülü, tozlu ve hareketli fabrika zemininde çalışırlar. Onların dünyası PLC'ler, robotik kollar, SCADA sistemleri ve yüksek voltajlı makineler etrafında döner. Öncelikleri yüksek operasyonel süreklilik ve fiziksel iş güvenliğidir.

Günümüzde "Endüstri 4.0", bu iki farklı bölümün birleşmesini talep ediyor. Buna IT/OT Yakınsaması (IT/OT Convergence) deniyor. Şirket yönetimi, tedarik zincirini öngörebilmek için fabrikadaki üretim adetlerini canlı ve saniyelik olarak Bulut ERP'sine (Örn: SAP) aktarmak istiyor. Ancak IT departmanı bu veriyi almak için OT departmanına "Siemens PLC'sine güvenlik duvarından (firewall) küçük bir port/delik açıver" dediği anda, OT ekibi önemli siber güvenlik risklerini gerekçe göstererek bunu net bir dille reddeder. Ve sonuna kadar haklıdırlar.

Peki, bu uçurumu nasıl köprüleyeceksiniz?

Sonuçlar yük profiline, donanım kapasitesine ve dağıtım topolojisine bağlıdır.

Yanlış Yöntem: Noktadan Noktaya (Point-to-Point) Spagetti Mimari

Geçmişte IT ve OT'yi birleşitirmek için kullanılan tarihi yaklaşım "noktadan noktaya" (point-to-point) entegrasyonlardı. Kalite ekibi eğer istatistiksel kalite verilerine (SPC) ihtiyaç duyarsa, PLC ile kalite veritabanı arasına doğrudan, geçici bir yazılım kodu (script) yazılırdı. Finans departmanı enerji verisini isterse, akıllı sayaç ile ERP arasına başka bir kablo/kod çekilirdi.

Bu durum, bakımı oldukça zor bir "spagetti mimarisi" yaratır. Çok kırılgandır, birden fazla fabrikanız varsa ölçeklenemez ve en tehlikelisi; sistemdeki her yeni yazılım için fabrikanın güvenlik duvarında dışarıdan içeriye doğru (inbound) onlarca delik açar.

Doğru Yöntem: Birleşik İsim Alanı (Unified Namespace - UNS)

Modern IT/OT yakınsaması, Birleşik İsim Alanı (Unified Namespace - UNS) kavramına dayanır. UNS, tüm şirketinizin o anki canlı durumunu temsil eden tekil ve merkezi bir mesajlaşma aracıdır (genellikle MQTT altyapısıyla çalışır).

Her yeni IT uygulaması için özel entegrasyon kodları yazmak yerine, OT tarafındaki makineler ürettikleri veriyi standart bir formatla UNS'ye yayımlar. Veriyi kullanmak isteyen IT sistemleri ise sadece UNS'ye abone olur ve oradan çeker.

Bu neden önemlidir? Sistemler arasında öngörülebilir bir ayrışma (decoupling) yaratır. SAP ERP sisteminin fabrika zeminindeki bir robotun gizli IP adresini bilmesine gerek yoktur; aynı şekilde o robotun da SAP ERP'sinin çöktüğünden veya bakıma alındığından haberi olmaz. İki taraf da sadece ortadaki merkezi UNS mesajlaşma sunucusuyla konuşur.

Siber Güvenlik Kabusunu Çözmek: "Sadece Dışarı" (Outbound-Only) Mimarisi

Bir UNS altyapınız olsa bile, PLC'den veri çıkarma mekanizması öngörülebilir ve denetlenebilir olmalıdır. Endüstriyel kontrol ağı (Purdue Modeli Seviye 1/2) doğrudan dış internete açılmamalıdır.

İşte tam bu noktada, Proxus IT/OT Köprüsü (Bridge), fabrikayı siber saldırılardan korumak için katı "Sadece Dışarı" (Outbound-Only) mimari ilkelerine güvenir:

1. Dışarıdan İçeriye Port Açılmaz: Proxus Edge Gateway fabrika zemininde yer alır. OT ağındaki cihazlara OPC UA veya Modbus gibi yerel protokollerle bağlanarak veriyi kendi "içeriden" okur.
2. Yukarıya Akış: En kritik nokta burasıdır; Edge Gateway, okuduğu bu veriyi merkez bulut platformuna veya UNS'ye atarken, bağlantıyı kendi başlatarak şifreli bir TLS 1.3 dışarı aktarım (outbound) kanalı kurar. Bağlantı sadece firewall'un "içinden" başlatıldığı için, fabrika ağında bilgisayar korsanlarının girebileceği açık inbound port bulunmaz.
3. Salt-Okunur Trafik: Varsayılan (default) olarak veri sadece aşağıdan yukarıya, yani OT'den IT'ye akar. Eğer üretim sahasına çoğu durumda bir kontrol komutu (yazma/setpoint) gönderilecekse, bu denetlenen ve yönetilen geçitlerden süzülerek geçer. Ancak kullanım senaryolarının %95'inde, Kafka, AWS veya ERP gibi kurumsal IT sistemlerinin sadece veriyi "okumaya" ihtiyacı vardır.

Veri Standardizasyonu: Aynı Dili Konuşmak

Eğer kurduğunuz boru hattı güvende olsa bile, işlenmemiş ham OT verisi çoğu zaman IT ekipleri için "çöptür". Bir PLC'nin içinden DB40.DBD12 adında bir etiket (tag) geldiğinde, bulut yazılımcıları (IT) için bu anlamsız bir harf yığınıdır.

Gerçek bir IT/OT yakınsama platformu, bu ham sinyali IT'nin anlayabileceği bir dile çevirmelidir. Proxus, verileri ERP veya Data Lake'lere yönlendirmeden hemen önce Etiketleri Normalize Eder. Bu sayede DB40.DBD12 etiketi; Fabrika_A / Hat_1 / Punta_Presi / Sıcaklık_Derecesi gibi temiz ve bağlamsal (contextualized) bir yapıya dönüştürülür.

Bulut sistemleri veya yapay zeka araçları bu veriyi teslim aldığında artık temizlenmiş, yapılandırılmış ve büyük veri (Big Data) analizine hazır haldedir.

Sonuç

Gerçek IT/OT yakınsaması, sırf veri almak için fabrika ağı ile kurumsal bulut ağı arasına gelişigüzel kablolar çekmek değildir. Her iki departmanın kırmızı çizgilerine (Güvenlik ve Erişilebilirlik) sonsuz saygı duyan, güvenli ve denetlenebilir bir köprü inşa etmektir.

Birleşik İsim Alanı (UNS) mimarisiyle, Sadece Dışarı (Outbound-Only) politikalarıyla ve otomatik Normalizasyon ile; IT'ye veriyi, OT'ye güvenliği sağlayabilirsiniz.

Ne zaman uygun olmayabilir?

• Düşük frekanslı telemetride daha basit yaklaşımlar yeterli olabilir.
• Tek hatlı küçük tesislerde tam dağıtık mimari maliyet-etkin olmayabilir.
• Katı legacy kısıtları olan ortamlarda kademeli geçiş gerekebilir.
• Emniyet-kritik kapalı çevrim kontrol, PLC/Safety PLC katmanında kalmalıdır.

Bu davranış, topoloji ve yük özelliklerine göre değişebilir.

Sık Sorulan Sorular

IT/OT yakınsamasında "sadece dışarı" ne anlama gelir?

Edge Gateway tüm bağlantıları OT ağından IT/bulut katmanına dışarı doğru başlatır. Fabrika güvenlik duvarında hiçbir gelen (inbound) port açılmaz. Bu yaklaşım, IT/bulut tarafından OT'ye doğrudan geri geçiş riskini ciddi biçimde sınırlar; yine de kimlik, segmentasyon ve izleme kontrollerinin yerini tutmaz. Endüstriyel IoT için temel ağ güvenliği desenlerinden biridir.

IT/OT köprüsünün sahibi kim olmalı - IT mi OT mi?

Tek taraflı değil. En iyi uygulama; OT'nin edge yapılandırmasına (protokoller, tag eşleme), IT'nin bulut altyapısına (broker, veri gölü, IAM) sahip olduğu çapraz-fonksiyonel bir ekiptir. UNS iki takım arasındaki ortak sözleşme olarak hizmet eder.

Uçta veri normalizasyonu nasıl çalışır?

Ham PLC adresleri (ör: DB40.DBD12) semantik topic yollarına (ör: Fabrika_A/Hat1/Pres/Sıcaklık) mühendislik birimi dönüşümü, zaman damgası zenginleştirme ve veri tipi standardizasyonuyla eşlenir. Bu, veri OT ağını terk etmeden Edge Gateway içinde gerçekleşir - tam detay için OT DataOps makalesine bakın.

Kaynaklar

1. IEC 62443 - IT/OT ağ segmentasyonu için güvenlik bölgeleri ve kanalları tanımlayan endüstriyel siber güvenlik çerçevesi.
2. ISA-95 / IEC 62264 - IT/OT köprüsünün kapsadığı fonksiyonel hiyerarşiyi (Seviye 0–4) tanımlayan standart.
3. NIST SP 800-82 - OT ağ koruma stratejileri için temel Endüstriyel Kontrol Sistemleri Güvenliği rehberi.

Proxus IT-OT Entegrasyon Mimarisini İnceleyin →