宾夕法尼亚州立大学作保楼宇自动化，物联网业务与微分段

这是一次在宾夕法尼亚州立大学获得基于BACnet流量手柄。

BACnet是一种通信协议，用于楼宇自动化和控制(BAC)系统，如供暖、通风和空调(HVAC)、照明、门禁控制和火灾探测。宾州州立大学BACnet的因为它的开放性。

“任何设备，任何制造商 - 只要他们谈话的BACnet，我们可以将它们集成，”汤姆·沃克，在工厂自动化服务组的系统设计专家说：宾夕法尼亚州立大学。“这是一个非常棒的协议，但你必须知道部署它的怪癖，尤其是在规模上。”

一个特殊之处是，BACnet是容易产生广播风暴。并与数百BACnet系统上运行多个校区，公然穿越网络，宾夕法尼亚州立大学是担心在网络的其他部分性能降低和潜在安全漏洞。

“我大约四年前，这个基础设施接手，我就成平面，在整个主校区二层网络传播，”沃克说。他和他的团队决定段的BACnet流量从大学的共享基础架构，以提高安全性和可管理性。

宾州州立大学的设施自动化服务集团负责包括自动化工程、网络管理和监控学校数字化连接的建筑等功能。

楼宇自动化系统让团队能够远程控制空调系统，例如，所以教室和办公室都适当地加热和冷却，为学生和职员。自动化控制还有助于确保关键研究实验室的安全运行。

“我们有冰川 - 它是不可替代的，”沃克说。“因此，我们在冰柜监测，以确保那些不除霜自己。”还有一个宾夕法尼亚州立大学的建筑，那里的温度被控制到一定程度的十分之一的地下室原子钟。

设施自动化包括物联网

该工厂自动化服务这个组织覆盖了很多地区——宾州州立大学有3200万平方英尺的建筑，分布在数十个州范围内的校园和22000英亩的土地上。

在640多名的建筑，也有系统，设备分数和传感器监测条件。他们收集的数据继续增长。

“我们过去只是建设自动化。但是多年来，我们已经开始合并更多的组件。我们现在管理着所有不同的公共事业——废水、水处理、蒸汽厂、电力分配，甚至冷水分配，”沃克说。

“这是我们团队的进步。我们在大楼里接进了更多的东西——所有让大楼运转的东西。我们通过我们的网络基础设施将这些数据带回数据中心，然后将其转移到云上，或将其传递给其他分析系统来分析数据。”2020欧洲杯预赛

该工厂自动化集团开始跟踪电梯使用，例如。“我们发现一个电梯是在一天内做了1900人次。这是我们的洞察力从未有过的，这解释了为什么电梯不断打破，”沃克说。

这听起来很像物联网，但对设备自动化团队，这只是一切如常。“这个物联网的业务 - 这是一个时髦词，”沃克说。“我们一直在做永远的物联网。这就是楼宇自动化的。它采取控制建筑和促使他们再次通过网络，这样我们就可以远程管理的建设。”

微分段更好的贴合比的VLAN，防火墙或访问控制列表

宾夕法尼亚州立大学的决定升级其楼宇自动化系统的主要驱动因素是在现场，以确保通信的需要。BACnet的基础设施是直接的和无线的蜂窝网络连接的网络。访问控制是一个问题。

大学正在进行的32.8亿美元资本支出计划——专注于现有设施的更新和系统——意味着常数附近建设在过去的几年里,源源不断的承包商在电信室,利用建筑自动化系统和安装流氓接入交换机和无线接入点。“这些承包商会带来他们自己的交换机，把它们接入我们的平面第二层网络。或者他们会增加自己的接入点和无线路由器，”沃克说。“管理起来非常复杂。”

这也是一个潜在的攻击载体，其楼宇自动化团队旨在消除。“这是主要目的：揣摩清理网络和同样安全的最佳方式，”沃克说。

该解决方案是微分段，这使得宾州州立减少数百BACnet系统的它的网络攻击面和集中控制 - 无需在升级过程中破坏了传统网络。

一般来说，microsegmentation使企业能够彼此隔离工作负载并分别将其固定。它使流量比传统的网络安全技术，如防火墙，虚拟局域网（VLAN）和访问控制列表（ACL）的更精细划分。

组织可以根据不同类型的流量调整安全设置，例如，创建将工作负载之间的网络和应用程序流限制为显式允许的策略。如果设备或工作负载移动，安全策略和属性也随之移动。目标是减少网络攻击面:通过将分割规则应用于工作负载或应用程序，组织可以减少攻击者从一个受损害的工作负载或应用程序转移到另一个的风险。

宾州，上诉的部分是易于部署和管理的，这意味着该设施团队可以管理它自己的网络重新架构。“我们期待在创建单独的VLAN或[专用VLAN]建筑物内，做MAC过滤，在做访问控制列表，或者做建筑级防火墙，”沃克说。“但是，当我们开始寻找可扩展性，它变得疯狂。对于其中的一些选择，我必须雇用至少有两个以上的人只是管理工具集。”

这所大学却选择微分段技术，从炼成网络隔离和掩盖它的BACnet流量。供应商的HIPswitch设备在物理网络之上创建了一个安全的、私有的覆盖网络，只有显式可信的系统或端点才允许覆盖。hipswitch与导体，回火网络创建集中式编排引擎，管理和监控设备配置和安全策略。

一个证明的概念帮助塑造宾夕法尼亚州立大学的部署。以建设水平 - - 原先被认为部署HIPswitch设备到单个控制器的水平，但决定将一个层的团队，大大简化了管理，沃克说。“我们能够创建控制器和服务器组的组，然后很容易的权利，通过覆盖内的信任关系一起配合他们。”

各个建筑系统锁定基于功能性，而不是口。“如果这些控制器中的一个被攻破，他们只能访问到数据中心，一台服务器。2020欧洲杯预赛而在此之前，如果有人破坏的建筑物，他们可以得到访问暴露的数据中心和所有的应用程序，“沃克说，”现在，我们可以说：“照明控制器只能跟照明服务器。2020欧洲杯预赛电梯控制器只能跟电梯服务器。””

缓增网络的技术“在那些独立的建筑和我们的数据中心之间建立了信任。2020欧洲杯预赛“它还减少了建筑物之间的交通，这是重建之前的一个问题。”“在大而平的第二层网络上的每一座建筑都能听到每一点通信。现在只有大楼和服务器在通信。”

在BACnet的广播风暴或入侵的情况下，很容易从一个单一的建筑关闭交通，沃克说。“在此之前，因为它是一个大的，平面第2层菊花链中的所有出路，我不得不关闭也许多个端口。或者，如果我关掉一个端口，它可能会关闭半打建筑物。现在，我可以单独从各个建筑物的控制流量“。

该技术也使得它更容易做增加，移动和改变;宾夕法尼亚州立大学可以提供安全的承包商访问特定的设备通过集中编排在网络上。

“我想要的东西，我们可以轻松地部署，并立即固定基础设施了，”沃克说。

早期的成功导致宾夕法尼亚州立大学拓展项目。最初，设施团队计划在大学园区，在宾州州立大学系统中最大的校园部署HIPswitches。现在的大学正在扩大该项目的校园全州范围的其余部分。

随着宾夕法尼亚州立大学继续扩建校园，hipswitch的灵活性使得设施团队能够连接到最偏远的地点。就在最近，沃克的团队在一片玉米地中央的一栋建筑里安装了一个HIPswitch，它可以连接蜂窝网络，在那里建立光纤连接需要花费更多的时间和金钱。

这细胞的能力是一种功能沃克发现比他最初的预期更加有用。“我们能够在地方部署我们不能去了。”