enet-wp038a-pt-p, travessia segura de dados iacs pela … · travessia segura de dados iacs pela...
TRANSCRIPT
Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
Relatório técnico
Maio de 2015
Número de referência do documento: ENET-WP038A-PT-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment. • Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
Travessia segura de dados IACS
ENET-WP038A-PT-P
Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
As redes do sistema de controle e automação industrial (IACS) geralmente estão abertas por padrão; a abertura facilita a coexistência da tecnologia e a interoperabilidade de dispositivos IACS. A abertura também exige que as redes IACS estejam protegidas por configuração e arquitetura, ou seja, defendam o limite. Muitas organizações e organismos de normalização recomendam a segmentação das redes de sistemas empresariais a partir de redes em toda a planta por meio do uso de uma Zona Desmilitarizada Industrial (IDMZ).
A IDMZ existe como uma rede separada, localizada em um nível entre as Zonas Empresariais e Industriais, normalmente conhecida como Nível 3,5. Um ambiente de IDMZ é composto por vários dispositivos de infraestrutura que incluem firewalls, servidores VPN, espelhos de aplicação IACS e servidores de proxy reverso, além de dispositivos de infraestrutura de rede como switches, roteadores e serviços virtualizados.
A Converged Plantwide Ethernet (CPwE) é a arquitetura subjacente que oferece serviços de rede padrão para dispositivos, equipamentos e disciplinas de informação e controle encontrados em aplicações de IACS modernas. A arquitetura CPwE fornece orientações de design e implementação para atingir os requisitos em tempo real de comunicação, confiabilidade, expansibilidade, segurança e resiliência do IACS.
A IDMZ CPwE para aplicações IACS é levada ao mercado por meio de uma aliança estratégica entre a Cisco Systems® e a Rockwell Automation. A IDMZ CPwE detalha considerações de projeto para ajudar com o projeto e a implementação bem-sucedidos de uma IDMZ para compartilhar dados IACS na IDMZ de maneira segura.
Segurança industrial holísticaNenhum produto, tecnologia ou metodologia sozinho consegue proteger aplicações IACS completamente. A proteção de ativos IACS requer uma abordagem de segurança com defesa profunda, que aborda as ameaças internas e externas à segurança. Essa abordagem utiliza várias camadas de defesa (física, procedimental e eletrônica) em níveis de IACS separados que abordam diferentes tipos de ameaças.
Observação Os requisitos de segurança para uma IDMZ física devem reconhecer as necessidades das aplicações IACS, já que os dados devem passar, de maneira segura, da Zona Industrial para a Zona Empresarial. Separadamente, a Network Address Translation (NAT) e os Serviços de Identidade são parte da arquitetura de segurança geral da CPwE. Cada um deles está disponível separadamente, completando a abordagem de segurança industrial holística da CPwE.
1 pela Zona Desmilitarizada Industrial
Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
Segurança industrial holística
A Estrutura de Segurança de Rede Industrial CPwE (Figura1), que usa uma abordagem com defesa profunda, está alinhada a padrões de segurança industrial como Segurança de Sistemas de Controle e Automação Industrial ISA/IEC-62443 (anteriormente ISA-99) e Segurança de Sistema de Controle Industrial (ICS) NIST 800-82.
Projetar e implementar uma estrutura de segurança de rede de IACS abrangente deve servir como uma extensão natural do IACS. A segurança de rede não deve ser implementada como uma ideia adicional. A estrutura de segurança de rede industrial deve ser generalizada e central para o IACS. No entanto, para implantações de IACS existentes, as mesmas camadas com defesa profunda podem ser aplicadas de maneira incremental para ajudar a aprimorar a atitude de segurança do IACS.
As camadas com defesa profunda da CPwE (Figura1) incluem:
• Engenheiros de sistemas de controle (destacados em castanho): reforço de dispositivos IACS (por exemplo, físico e eletrônico), reforço de dispositivos de infraestrutura (por exemplo, segurança portuária), segmentação de rede, autenticação, autorização e contabilização (AAA) de aplicações IACS
• Engenheiros de sistemas de controle em colaboração com engenheiros de rede de TI (destacados em azul): firewall de política com base em zona na aplicação IACS, reforço de sistema operacional, reforço de dispositivos de rede (por exemplo, controle de acesso, resistência), políticas de acesso de LAN wireless
• Arquitetos de segurança de TI em colaboração com engenheiros de sistemas de controle (destacados em roxo): serviços de identidade (com fio e wireless), Active Directory (AD), servidores de acesso remoto, firewalls de fábrica, melhores práticas de projeto de Zona Desmilitarizada Industrial (IDMZ)
Figura1 Estrutura de segurança de rede industrial da CPwE
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
2Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
ENET-WP038A-PT-P
Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
Zona Desmilitarizada Industrial
Zona Desmilitarizada IndustrialÀs vezes conhecida como uma rede de perímetro, a IDMZ (Figura 2) é um buffer que impõe políticas de segurança de dados entre uma rede confiável (Zona Industrial) e uma rede não confiável (Zona Empresarial). A IDMZ é uma camada adicional de defesa profunda para compartilhar com segurança serviços de rede e dados IACS entre as Zonas Empresarial e Industrial. O conceito de zona desmilitarizada é comum em redes de TI tradicionais, mas seu uso ainda está começando para aplicações IACS.
Para compartilhamento seguro de dados IACS, a IDMZ contém ativos que atuam como intermediários entre as zonas. Existem vários métodos para intermediar dados IACS na IDMZ:
• Usar um espelho de aplicação, como uma interface PI a PI para FactoryTalk® Historian
• Usar os serviços do Microsoft® Remote Desktop Gateway (RD Gateway)
• Usar um servidor proxy reverso
Esses métodos de intermedição, que ajudam a ocultar e proteger a existência e as características dos servidores da Zona Industrial de clientes e servidores na Zona Empresarial, estão destacados na Figura 2 e são cobertos na IDMZ CPwE
Figura 2 Modelo lógico da CPwE
Os princípios de projeto de alto nível da IDMZ (Figura 3) incluem:
• Todo o tráfego da rede IACS de ambos os lados da IDMZ termina na IDMZ; nenhum tráfego IACS atravessa diretamente a IDMZ:
– Não há caminho direto entre as zonas Empresarial e Industrial
– Não há protocolos comuns em cada firewall lógico
• O tráfego IACS EtherNet/IP™ não entra na IDMZ; ele permanece dentro da ZONA INDUSTRIAL
• Os serviços primários não ficam armazenados permanentemente na IDMZ
• Todos os dados são transitórios; a IDMZ não armazenará dados de maneira permanente
• Defina subzonas funcionais na IDMZ para segmentar o acesso a serviços de rede e dados IACS (por exemplo, zona de parceiro confiável, operações e TI)
• Uma IDMZ projetada corretamente terá o recurso de ser desligada se for comprometida e ainda permitir que a Zona Industrial opere sem interrupções
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Remote Gateway Services
Patch Management
AV Server
Application Mirror
Web Services Operations
Reverse Proxy
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
FactoryTalkApplication
Server
FactoryTalk Directory
Engineering Workstation
Remote Access Server
FactoryTalkClient
Operator Interface
FactoryTalkClient
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
ContinuousProcess Control
Safety Control
Sensors Drives Actuators Robots
Enterprise
Security
Zone
Industrial
Demilitarized
Zone
Industrial
Security
Zone(s)
Cell/Area
Zone(s)
WebE -Mail
CIP
Site Operations
Area Supervisory
Control
Basic Control
Process
Firewall
Firewall
3746
24
3Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
ENET-WP038A-PT-P
Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
IDMZ Converged Plantwide Ethernet
Figura 3 Conceitos de alto nível da Zona Desmilitarizada Industrial
IDMZ Converged Plantwide Ethernet O CPwE IDMZ Cisco Validated Design (CVD) descreve as considerações de projeto e os requisitos fundamentais para ajudar a projetar e implantar uma IDMZ com sucesso. Os serviços de rede e dados IACS entre as Zonas Empresarial e Industrial incluem:
• Uma visão geral da IDMZ e as considerações de projeto fundamentais
• Uma estrutura de arquitetura resiliente de CPwE:
– Firewalls de IDMZ redundantes
– Switches Ethernet redundantes de distribuição/agregação
• Metodologias para atravessar com segurança dados IACS pela IDMZ:
– Espelho de aplicação
– Proxy reverso
– Serviços remotos de gateway de área de trabalho
• Metodologias para atravessar com segurança serviços de rede pela IDMZ
• Casos de uso de CPwE IDMZ:
– Aplicações IACS: por exemplo, Secure File Transfer, aplicações FactoryTalk (FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition (SE), FactoryTalk ViewPoint, FactoryTalk AssetCentre, Studio 5000®)
– Serviços de rede: por exemplo, Active Directory (AD), Identity Services Engine (ISE), controle de controlador de LAN wireless (WLC) e provisionamento de pontos de acesso wireless (CAPWAP), Network Time Protocol
– Acesso remoto seguro
• Etapas importantes e considerações de projeto para a configuração e implementação da IDMZ
Observação Esta versão da arquitetura CPwE se concentra em EtherNet/IP, que é acionada pelo protocolo industrial comum (CIP) ODVA. Consulte a seção Protocolos de Comunicação IACS do Guia de implementação e projeto da CPwE.
No Direct IACS Traffic
Enterprise Security
Zone
IndustrialSecurity
Zone
Disconnect Point
Disconnect Point
IDMZReplicated Services
Untrusted ? Trusted?
Trusted 3746
25
4Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
ENET-WP038A-PT-P
Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
Site da Rockwell Automation:
http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf
Site da Cisco:
http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html
A Cisco é líder mundial em redes, transformando a forma como as pessoas se conectam, comunicam e colaboram. Informações sobre a Cisco podem ser encontradas em
www.cisco.com. Para notícias atuais, acesse http://newsroom.cisco.com. Os equipamentos da Cisco na Europa são fornecidos pela Cisco Systems International BV,
subsidiária da Cisco Systems, Inc.
www.cisco.com
Matriz corporativa nas Américas
Cisco Systems, Inc.
San Jose, CA
Matriz corporativa na Ásia-Pacífico
Cisco Systems (USA) Pte. Ltd.
Cingapura
Matriz corporativa na Europa
Cisco Systems International BV
Amsterdã, Holanda
A Cisco tem mais de 200 escritórios no mundo todo. Endereços, números de telefones e faxes podem ser encontrados no site da Cisco em www.cisco.com/go/offices.
Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou suas afiliadas nos EUA e em outros países. Para exibir uma lista com as marcas comer-
ciais da Cisco, visite: www.cisco.com/go/trademarks. As marcas comerciais de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra
parceiro não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1110R)
A Rockwell Automation é fornecedora líder de soluções de alimentação, controle e informações que permitem aos clientes obter produtos mais rapidamente no mercado,
reduzindo os custos totais de propriedade, melhorando a utilização dos ativos da fábrica e minimizando os riscos nos ambientes de produção.
www.rockwellautomation.com
Américas:
Rockwell Automation
1201 South Second Street
Milwaukee, WI 53204-2496 EUA
Tel: (1) 414.382.2000, fax: (1) 414.382.4444
Ásia-Pacífico:
Rockwell Automation
Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
Tel: (852) 2887 4788, fax: (852) 2508 1846
Europa/Oriente Médio/África:
Rockwell Automation
NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Bélgica
Tel: (32) 2 663 0600, fax: (32) 2 663 0640
Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 e Studio 5000 são marcas comerciais da Rockwell
Automation, Inc. EtherNet/IP é uma marca comercial da ODVA.
© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Todos os direitos reservados.
Publicação ENET-WP038A-PT-P - Maio de 2015