ENET-WP038A-PT-P, Travessia segura de dados IACS pela … · Travessia segura de dados IACS pela...

Travessia segura de dados IACS pela Zona Desmilitarizada Industrial

Relatório técnico

Maio de 2015

Número de referência do documento: ENET-WP038A-PT-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment. • Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Travessia segura de dados IACS

ENET-WP038A-PT-P


As redes do sistema de controle e automação industrial (IACS) geralmente estão abertas por padrão; a abertura facilita a coexistência da tecnologia e a interoperabilidade de dispositivos IACS. A abertura também exige que as redes IACS estejam protegidas por configuração e arquitetura, ou seja, defendam o limite. Muitas organizações e organismos de normalização recomendam a segmentação das redes de sistemas empresariais a partir de redes em toda a planta por meio do uso de uma Zona Desmilitarizada Industrial (IDMZ).

A IDMZ existe como uma rede separada, localizada em um nível entre as Zonas Empresariais e Industriais, normalmente conhecida como Nível 3,5. Um ambiente de IDMZ é composto por vários dispositivos de infraestrutura que incluem firewalls, servidores VPN, espelhos de aplicação IACS e servidores de proxy reverso, além de dispositivos de infraestrutura de rede como switches, roteadores e serviços virtualizados.

A Converged Plantwide Ethernet (CPwE) é a arquitetura subjacente que oferece serviços de rede padrão para dispositivos, equipamentos e disciplinas de informação e controle encontrados em aplicações de IACS modernas. A arquitetura CPwE fornece orientações de design e implementação para atingir os requisitos em tempo real de comunicação, confiabilidade, expansibilidade, segurança e resiliência do IACS.

A IDMZ CPwE para aplicações IACS é levada ao mercado por meio de uma aliança estratégica entre a Cisco Systems® e a Rockwell Automation. A IDMZ CPwE detalha considerações de projeto para ajudar com o projeto e a implementação bem-sucedidos de uma IDMZ para compartilhar dados IACS na IDMZ de maneira segura.

Segurança industrial holísticaNenhum produto, tecnologia ou metodologia sozinho consegue proteger aplicações IACS completamente. A proteção de ativos IACS requer uma abordagem de segurança com defesa profunda, que aborda as ameaças internas e externas à segurança. Essa abordagem utiliza várias camadas de defesa (física, procedimental e eletrônica) em níveis de IACS separados que abordam diferentes tipos de ameaças.

Observação Os requisitos de segurança para uma IDMZ física devem reconhecer as necessidades das aplicações IACS, já que os dados devem passar, de maneira segura, da Zona Industrial para a Zona Empresarial. Separadamente, a Network Address Translation (NAT) e os Serviços de Identidade são parte da arquitetura de segurança geral da CPwE. Cada um deles está disponível separadamente, completando a abordagem de segurança industrial holística da CPwE.

1 pela Zona Desmilitarizada Industrial


Segurança industrial holística

A Estrutura de Segurança de Rede Industrial CPwE (Figura1), que usa uma abordagem com defesa profunda, está alinhada a padrões de segurança industrial como Segurança de Sistemas de Controle e Automação Industrial ISA/IEC-62443 (anteriormente ISA-99) e Segurança de Sistema de Controle Industrial (ICS) NIST 800-82.

Projetar e implementar uma estrutura de segurança de rede de IACS abrangente deve servir como uma extensão natural do IACS. A segurança de rede não deve ser implementada como uma ideia adicional. A estrutura de segurança de rede industrial deve ser generalizada e central para o IACS. No entanto, para implantações de IACS existentes, as mesmas camadas com defesa profunda podem ser aplicadas de maneira incremental para ajudar a aprimorar a atitude de segurança do IACS.

As camadas com defesa profunda da CPwE (Figura1) incluem:

• Engenheiros de sistemas de controle (destacados em castanho): reforço de dispositivos IACS (por exemplo, físico e eletrônico), reforço de dispositivos de infraestrutura (por exemplo, segurança portuária), segmentação de rede, autenticação, autorização e contabilização (AAA) de aplicações IACS

• Engenheiros de sistemas de controle em colaboração com engenheiros de rede de TI (destacados em azul): firewall de política com base em zona na aplicação IACS, reforço de sistema operacional, reforço de dispositivos de rede (por exemplo, controle de acesso, resistência), políticas de acesso de LAN wireless

• Arquitetos de segurança de TI em colaboração com engenheiros de sistemas de controle (destacados em roxo): serviços de identidade (com fio e wireless), Active Directory (AD), servidores de acesso remoto, firewalls de fábrica, melhores práticas de projeto de Zona Desmilitarizada Industrial (IDMZ)

Figura1 Estrutura de segurança de rede industrial da CPwE

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••

2Travessia segura de dados IACS pela Zona Desmilitarizada Industrial

ENET-WP038A-PT-P


Zona Desmilitarizada Industrial

Zona Desmilitarizada IndustrialÀs vezes conhecida como uma rede de perímetro, a IDMZ (Figura 2) é um buffer que impõe políticas de segurança de dados entre uma rede confiável (Zona Industrial) e uma rede não confiável (Zona Empresarial). A IDMZ é uma camada adicional de defesa profunda para compartilhar com segurança serviços de rede e dados IACS entre as Zonas Empresarial e Industrial. O conceito de zona desmilitarizada é comum em redes de TI tradicionais, mas seu uso ainda está começando para aplicações IACS.

Para compartilhamento seguro de dados IACS, a IDMZ contém ativos que atuam como intermediários entre as zonas. Existem vários métodos para intermediar dados IACS na IDMZ:

• Usar um espelho de aplicação, como uma interface PI a PI para FactoryTalk® Historian

• Usar os serviços do Microsoft® Remote Desktop Gateway (RD Gateway)

• Usar um servidor proxy reverso

Esses métodos de intermedição, que ajudam a ocultar e proteger a existência e as características dos servidores da Zona Industrial de clientes e servidores na Zona Empresarial, estão destacados na Figura 2 e são cobertos na IDMZ CPwE

Figura 2 Modelo lógico da CPwE

Os princípios de projeto de alto nível da IDMZ (Figura 3) incluem:

• Todo o tráfego da rede IACS de ambos os lados da IDMZ termina na IDMZ; nenhum tráfego IACS atravessa diretamente a IDMZ:

– Não há caminho direto entre as zonas Empresarial e Industrial

– Não há protocolos comuns em cada firewall lógico

• O tráfego IACS EtherNet/IP™ não entra na IDMZ; ele permanece dentro da ZONA INDUSTRIAL

• Os serviços primários não ficam armazenados permanentemente na IDMZ

• Todos os dados são transitórios; a IDMZ não armazenará dados de maneira permanente

• Defina subzonas funcionais na IDMZ para segmentar o acesso a serviços de rede e dados IACS (por exemplo, zona de parceiro confiável, operações e TI)

• Uma IDMZ projetada corretamente terá o recurso de ser desligada se for comprometida e ainda permitir que a Zona Industrial opere sem interrupções

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Remote Gateway Services

Patch Management

AV Server

Application Mirror

Web Services Operations

Reverse Proxy

Enterprise Network

Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.

FactoryTalkApplication

Server

FactoryTalk Directory

Engineering Workstation

Remote Access Server

FactoryTalkClient

Operator Interface

FactoryTalkClient

Engineering Workstation

Operator Interface

Batch Control

Discrete Control

Drive Control

ContinuousProcess Control

Safety Control

Sensors Drives Actuators Robots

Enterprise

Security

Zone

Industrial

Demilitarized

Zone

Industrial

Security

Zone(s)

Cell/Area

Zone(s)

WebE -Mail

CIP

Site Operations

Area Supervisory

Control

Basic Control

Process

Firewall

Firewall

3746

24


ENET-WP038A-PT-P


IDMZ Converged Plantwide Ethernet

Figura 3 Conceitos de alto nível da Zona Desmilitarizada Industrial

IDMZ Converged Plantwide Ethernet O CPwE IDMZ Cisco Validated Design (CVD) descreve as considerações de projeto e os requisitos fundamentais para ajudar a projetar e implantar uma IDMZ com sucesso. Os serviços de rede e dados IACS entre as Zonas Empresarial e Industrial incluem:

• Uma visão geral da IDMZ e as considerações de projeto fundamentais

• Uma estrutura de arquitetura resiliente de CPwE:

– Firewalls de IDMZ redundantes

– Switches Ethernet redundantes de distribuição/agregação

• Metodologias para atravessar com segurança dados IACS pela IDMZ:

– Espelho de aplicação

– Proxy reverso

– Serviços remotos de gateway de área de trabalho

• Metodologias para atravessar com segurança serviços de rede pela IDMZ

• Casos de uso de CPwE IDMZ:

– Aplicações IACS: por exemplo, Secure File Transfer, aplicações FactoryTalk (FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition (SE), FactoryTalk ViewPoint, FactoryTalk AssetCentre, Studio 5000®)

– Serviços de rede: por exemplo, Active Directory (AD), Identity Services Engine (ISE), controle de controlador de LAN wireless (WLC) e provisionamento de pontos de acesso wireless (CAPWAP), Network Time Protocol

– Acesso remoto seguro

• Etapas importantes e considerações de projeto para a configuração e implementação da IDMZ

Observação Esta versão da arquitetura CPwE se concentra em EtherNet/IP, que é acionada pelo protocolo industrial comum (CIP) ODVA. Consulte a seção Protocolos de Comunicação IACS do Guia de implementação e projeto da CPwE.

No Direct IACS Traffic

Enterprise Security

Zone

IndustrialSecurity

Zone

Disconnect Point

Disconnect Point

IDMZReplicated Services

Untrusted ? Trusted?

Trusted 3746

25


ENET-WP038A-PT-P


Site da Rockwell Automation:

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

Site da Cisco:

http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html

A Cisco é líder mundial em redes, transformando a forma como as pessoas se conectam, comunicam e colaboram. Informações sobre a Cisco podem ser encontradas em

www.cisco.com. Para notícias atuais, acesse http://newsroom.cisco.com. Os equipamentos da Cisco na Europa são fornecidos pela Cisco Systems International BV,

subsidiária da Cisco Systems, Inc.

www.cisco.com

Matriz corporativa nas Américas

Cisco Systems, Inc.

San Jose, CA

Matriz corporativa na Ásia-Pacífico

Cisco Systems (USA) Pte. Ltd.

Cingapura

Matriz corporativa na Europa

Cisco Systems International BV

Amsterdã, Holanda

A Cisco tem mais de 200 escritórios no mundo todo. Endereços, números de telefones e faxes podem ser encontrados no site da Cisco em www.cisco.com/go/offices.

Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou suas afiliadas nos EUA e em outros países. Para exibir uma lista com as marcas comer-

ciais da Cisco, visite: www.cisco.com/go/trademarks. As marcas comerciais de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra

parceiro não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1110R)

A Rockwell Automation é fornecedora líder de soluções de alimentação, controle e informações que permitem aos clientes obter produtos mais rapidamente no mercado,

reduzindo os custos totais de propriedade, melhorando a utilização dos ativos da fábrica e minimizando os riscos nos ambientes de produção.

www.rockwellautomation.com

Américas:

Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496 EUA

Tel: (1) 414.382.2000, fax: (1) 414.382.4444

Ásia-Pacífico:

Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

Tel: (852) 2887 4788, fax: (852) 2508 1846

Europa/Oriente Médio/África:

Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Bélgica

Tel: (32) 2 663 0600, fax: (32) 2 663 0640

Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 e Studio 5000 são marcas comerciais da Rockwell

Automation, Inc. EtherNet/IP é uma marca comercial da ODVA.

© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Todos os direitos reservados.

Publicação ENET-WP038A-PT-P - Maio de 2015

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html

ENET-WP038A-PT-P, Travessia segura de dados IACS pela … · Travessia segura de dados IACS pela...

Documents

Transcript of ENET-WP038A-PT-P, Travessia segura de dados IACS pela … · Travessia segura de dados IACS pela...