IoT-Geräte richtig verwalten – so geht’s
Bei IoT-Lösungen spielt das Device Lifecycle Management eine wichtige Rolle. Wir verraten, welche acht Phasen ein IoT-Gerät durchlebt – und worauf dabei zu achten ist.
Das Internet of Things ist weiterhin auf dem Vormarsch und bietet Unternehmen viele Möglichkeiten zu neuen, innovativen Geschäftsmodellen. Während die Anzahl vernetzter Geräte rasant wächst, wird die einfache Verwaltung und Fernsteuerung von IoT-Hardware immer wichtiger. Aus diesem Grund kommt dem IoT Device Lifecycle Management eine grosse Bedeutung zu.
Ein ganzheitlicher Ansatz zur Verwaltung der eingesetzten Geräte hilft, deren Lebenszeit zu verlängern – und trägt so zum Erfolg des eigenen IoT-Use-Cases bei. Der Lebenszyklus eines IoT-Geräts unterscheidet sich je nach Branche und Anwendungsfall, dennoch kann er grob in diese Abschnitte unterteilt werden:
Bezug der Hardware (für Edge Devices oder Gateways)
Initiales Device Setup und Vulnerability
ManagementDevice Provisioning
Connectivity Setup
Over-the-air-Updates
Monitoring
Wiederverkauf
Deprovisioning/Entsorgung
Im Folgenden soll auf diese einzelnen Phasen genauer eingegangen werden. Nicht zuletzt im Hinblick auf die Wahl einer geeigneten Cloud-Plattform ist es entscheidend, dass die nachstehend beschriebenen Prozesse weitestgehend automatisiert werden können. Nur so skaliert die eigene IoT-Lösung auch beim Einsatz vieler Devices.
1. Bezug der Hardware
IoT-Devices können über drei Arten mit dem Internet verbunden werden: direkt, über einen Field Gateway oder über ein Edge Device, das als Field Gateway dient. Ein Field Gateway kann etwa ein Mobilfunk-Gateway mit SIM-Karte sein oder auch ein Protokoll-Umwandler, der ein Nicht-IP-fähiges Gerät ans Internet anschliesst. Edge Devices besitzen in der Regel auch Gateway-Funktionalitäten, können darüber hinaus aber auch die Business-Logik lokal ausführen; etwa in Form von Containern, die von der Cloud geladen werden.
Für Field Gateways oder Edge Devices muss ein Hersteller evaluiert und eine Lieferkette etabliert werden. Je nach Cloud-Plattform gibt es ein Zertifizierungsprogramm, das die geeignete Hardware in einem Katalog ausweist.
2. Initiales Device Setup und Vulnerability Management
Anschliessend erfolgt ein initiales Device Setup – sprich, die Installation des Betriebssystems und allenfalls des Edge Frameworks auf den Edge Devices oder Field Gateways. Im Idealfall liefert der Hersteller bereits vorinstallierte Geräte inklusive allenfalls benötigter Lizenzen.
Eine besondere Herausforderung stellt schliesslich das Vulnerability Management des Software-Stacks dar: Es muss ein Prozess etabliert werden, in dem neu bekannt gewordene Sicherheitslücken schnell beurteilt und Patches zeitnah ausgespielt werden können. Unter Umständen bietet der Hardwarelieferant bereits entsprechende Möglichkeiten.
Auch das Device-Hardening – also das Erhöhen der Gerätesicherheit – sollte mit dem Hardwarelieferanten besprochen werden. Unter anderem muss sichergestellt sein, dass keine unnötigen Dienste auf dem Device laufen und alle Ports geschlossen sind. Dazu gehört auch die Absicherung des physischen Zugriffs auf die Geräte. Das Device Hardening wie auch entsprechende Test-Suiten sollten automatisiert werden.
3. Device Provisioning
Beim Device Provisioning wird das Gerät im IoT-System registriert und so konfiguriert, dass es Daten an das System sendet und sich im Unternehmensnetzwerk authentifiziert. Häufig geschieht das über Zertifikate, die auf dem Gerät installiert werden. Gewisse IoT-Plattformen bieten auch einen gesonderten Device-Provisionierungs-Service, mit dem dieser Schritt automatisiert werden kann.
Dennoch bleibt ein gewisser Implementierungsaufwand, um die Device-Provisionierung an die eigenen Prozesse und Systeme anzupassen. Entscheidend ist, ob das Gerät bereits vor der Auslieferung oder erst im Feld provisioniert wird: Bei einer Provisionierung im Vorfeld muss damit gerechnet werden, dass das Device über längere Zeit nicht mehr mit der Cloud verbunden ist – etwa, weil es in einem Lager aufbewahrt und erst später eingesetzt wird. Dies kann dazu führen, dass Zertifikate ablaufen, bevor das Device in Betrieb genommen wird.
Bei einer Provisionierung im Feld müssen Servicetechniker geschult werden, um das Device vor Ort provisionieren zu können. Wird für die Device-Authentifizierung ein Zertifikat verwendet, muss allenfalls eine eigene Public-Key-Infrastruktur aufgebaut werden.
Neben den Zugangsdaten wird bei der Provisionierung auch die initiale Konfiguration auf das Gerät gespielt. Auch hier sollte die Cloud-Plattform bereits einen Automatisierungsmechanismus anbieten, zum Beispiel mit Vorlagen (Device Templates), die automatisch auf gewisse Gerätegruppen angewendet werden.
4. Connectivity Setup
Grundsätzlich kann jedes IoT-Device (bzw. jeder Field Gateway) auf drei Arten mit dem Internet verbunden werden: über eine lokale Infrastruktur (LAN, WLAN), über einen eigenen Zugang durch Breitband-Mobilfunk oder über LPWAN (Low-Power Wide Area Network). In Zukunft wird auch der Zugang über Satelliten eine realistische Option sein.
Der Mobilfunk-Zugang kann idealerweise bereits vor der Auslieferung konfiguriert werden. Die grösste Herausforderung liegt in der Verwaltung der Mobilfunk-Verträge (inkl. Roaming) und der dazugehörigen SIM-Karten beziehungsweise eSIM-fähigen Devices. Beim Zugang via LAN/WLAN müssen für jedes einzelne Device die lokalen Netzwerk-Zugangsdaten konfiguriert werden inklusive möglicher Proxy- und DNS-Server. Dies ist häufig nicht von vornherein möglich, da nicht bekannt ist, welches Gerät in welchem lokalen Netzwerk installiert wird. Gerade die Proxy-Server stellen dabei eine grosse Herausforderung dar, insbesondere wenn sie die TLS-Verbindung zum Cloud-Gateway unterbrechen (TLS Interception).
LPWAN-Verbindungen haben ihre ganz eigenen Herausforderungen und decken ihre eigene Kategorie von IoT-Use-Cases ab.
5. Over-the-air-Updates
Ist das Device im Feld installiert, konfiguriert und mit der Cloud verbunden, sollte es aus der Cloud aktualisiert werden können. Dies betrifft insbesondere Sicherheitspatches im Software-Stack, aber auch das Einspielen von neuen Server-TLS-Root-Zertifikaten des Cloud-Gateways oder Konfigurationsupdates. Bei Edge-Computing muss die Cloud-Plattform auch ein Lifecycle Management für Container-Images anbieten, die auf die Devices geladen werden sollten.
Im Fehlerfall sollte die Update-Funktionalität automatisch ein Rollback auf ein funktionierendes Setup machen können. Es sollte sichergestellt sein, dass mit der Remote-Update-Funktionalität auch Geräte mit alter Software noch aktualisiert werden können.
6. Monitoring
Solange IoT-Geräte aktiv sind, sollten sie über die Cloud überwacht werden. Man spricht hier von einem Flotten-Monitoring, da sowohl jedes einzelne Gerät als auch alle Gerätegruppen überwacht werden – sowohl im Hinblick auf den Gerätezustand als auch auf die Konfiguration, den Status von Edge-Containern und auf System-Parameter wie die Auslastung oder der Energieverbrauch.
Unter Umständen gehört auch ein automatisiertes Scanning auf Malware zum Monitoring der Edge Devices. Ebenso sollten Tests aus dem Device Hardening auch im Feld regelmässig durchgeführt werden können.
7. Wiederverkauf
Wie ein Auto in seinem Leben mehrfach den Besitzer wechselt, können auch IoT-fähige Geräte und Maschinen wiederverkauft werden. Dabei stellt sich die Frage, wie mit den eigenen Daten umgegangen werden soll: Welche Daten darf ein Käufer von einem IoT-Gerät einsehen, wenn er dieses erwirbt? Berücksichtigt meine IoT-Plattform, dass ein IoT-Gerät in seinem Leben den Besitzer beziehungsweise Mandanten wechselt?
8. Deprovisioning/Entsorgung
Bei der Deprovisionierung muss sichergestellt werden, dass das Gerät in der Cloud abgemeldet wird und somit die darauf gespeicherten Zugangsdaten ungültig sind. Dies stellt eine Herausforderung dar, falls die Cloud nur das Root-Zertifikat kennt und alle davon abgeleiteten Zertifikate akzeptiert werden.
----------
Entscheidungshilfe für die richtige IoT-Cloud-Plattform
Das Booklet "Entscheidungshilfe für die richtige IoT-Cloud-Plattform" von bbv ist ein praktisches Nachschlagewerk für Verantwortliche von IoT-Projekten. Der Fokus des Booklets liegt vor allem auf Themen, die bei der Auswahl der Plattform oder generell zu Beginn eines IoT-Vorhabens eine wichtige Rolle spielen. Dazu bietet es zahlreiche Checklisten und Entscheidungshilfen an.
Die Inhalte des Booklets wurden aus mehreren IoT-Projekten gesammelt, dazu werden Best Practices aufgezeigt. Das Booklet behandelt unter anderem die Themen: Arten von IoT-Cloud-Plattformen, Funktionalität und Innovation, Konnektivität, Skalierbarkeit, Verfügbarkeit, Sicherheit, Vendor-Lock-in und Compliance.
Bestellen Sie das Booklet via Mail (info@bbv.ch) oder laden Sie es hier herunter (PDF).
----------
bbv Software Services AG
Blumenrain 10
6002 Luzern
info@bbv.ch
+41 41 429 01 11