OT/IT segmentation cho MES: chia mạng nhà máy đúng cách
PLC không bao giờ exposed Internet. MES bridge ở DMZ, IT chỉ đọc. Audit mọi command write tới PLC. ISO 9001 không phải checkbox — phải đúng kiến trúc.
Vì sao bài này
Trong 5 dự án MES gần nhất, 3 nhà máy ban đầu đã expose PLC ra LAN office. Một sự cố ransomware là toàn bộ dây chuyền nằm im. Bài này về cách segment đúng.
Kiến trúc 3 vùng
- Internet → Firewall L1 → IT zone (offices, ERP, BI)
- IT zone → Firewall L2 (DMZ) → MES bridge (read PLC, expose REST/MQTT to IT)
- MES bridge → Firewall L3 (strict) → OT zone (PLC, HMI, sensors) — KHÔNG có route ra Internet
Read-only by default
PLC tag mở cho MES bridge chỉ READ. Mọi command WRITE phải: 1. Đi qua REST API có authentication 2. Yêu cầu role-based permission 3. Log vào audit trail bất biến (append-only) 4. 4-eyes confirm cho production-critical (vd thay recipe)
OPC UA > Modbus cho mới deploy
- OPC UA có cert-based auth + transport encryption
- Modbus TCP plain — phù hợp legacy nhưng cần wrap qua VPN/SSH tunnel
ISO 9001 + FDA traceability
Không chỉ là PDF policy. Architecture phải support:
- Append-only audit log (PostgreSQL với trigger preventing UPDATE/DELETE)
- Watermark dashboard (Grafana panel auto-stamp username + timestamp)
- Per-batch traceability từ raw material → ship date
Bài học từ một sự cố thật
Năm ngoái 1 nhà máy bị ransomware vào IT zone. PLC vùng OT không bị ảnh hưởng vì firewall L3 chặn — production tiếp tục chạy 100% trong khi IT khôi phục.
Cost của firewall L3 + 2 ngày setup = ~$3000. Cost của 1 ngày dừng production = ~$30,000+.
ROI rõ.