ENET-WP038A-ES-P, Circulación segura de datos del...
Transcript of ENET-WP038A-ES-P, Circulación segura de datos del...
Circulación segura de datos del IACS a través de la zona desmilitarizada industrial
Documentación técnica
Mayo de 2015
Número de referencia del documento: ENET-WP038A-ES-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment. • Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
Circulación segura de datos de IACS a través
ENET-WP038A-ES-P
Circulación segura de datos de IACS a través de la zona desmilitarizada industrial
Las redes del sistema de automatización y control industrial (IACS, por sus siglas en inglés) normalmente están abiertas de manera predeterminada, ya que esto facilita la coexistencia de la tecnología y la interoperabilidad de los dispositivos del IACS. La apertura también implica la necesidad de proteger las redes del IACS mediante configuración y arquitectura, es decir, defender el borde. Muchas organizaciones y muchos organismos de normalización recomiendan segmentar las redes de los sistemas empresariales y aislarlas de las redes de fábrica mediante una zona desmilitarizada industrial (IDMZ, por sus siglas en inglés).
La IDMZ existe en forma de red independiente a un nivel entre las zonas industrial y empresarial (conocido comúnmente como nivel 3.5). Un entorno IDMZ se compone de numerosos dispositivos de infraestructura, como firewalls, servidores VPN, espejos de la aplicación del IACS y servidores proxy inversos, además de dispositivos de infraestructura de red como switches, routers y servicios virtualizados.
Ethernet convergente en la planta (CPwE, por sus siglas en inglés) es la arquitectura subyacente que proporciona servicios de red estándar para las disciplinas de control e información, los dispositivos y los equipos que se encuentran en las aplicaciones del IACS modernas. La arquitectura CPwE proporciona las pautas de diseño e implementación necesarias para cumplir los requisitos de comunicación en tiempo real, confiabilidad, escalabilidad, seguridad y resistencia del IACS.
La IDMZ CPwE para aplicaciones del IACS ha sido lanzada al mercado a través de una alianza estratégica entre Cisco Systems® y Rockwell Automation. La IDMZ CPwE proporciona consideraciones de diseño que permiten diseñar e implementar con éxito una IDMZ y compartir datos del IACS a través de esta.
Seguridad industrial integralNingún producto, tecnología o metodología puede, por sí solo, proteger por completo las aplicaciones del IACS. La protección de activos del IACS requiere un planteamiento de seguridad de protección total, que se ocupe de las amenazas de seguridad tanto internas como externas. Este planteamiento utiliza múltiples capas de protección (física, electrónica y de procedimiento) a niveles independientes del IACS que se ocupan de distintos tipos de amenazas.
Nota Los requisitos de seguridad para una IDZM física deben tener en cuenta las necesidades de la aplicación del IACS, ya que los datos deben pasar de la zona industrial a la empresarial de manera segura. Por su lado, la traducción de direcciones de red (NAT) y los servicios de identidad forman parte de la arquitectura de seguridad global de CPwE. Cada uno está disponible por separado y completa el planteamiento de seguridad industrial integral de CPwE.
1 de la zona desmilitarizada industrial
Circulación segura de datos de IACS a través de la zona desmilitarizada industrial
Seguridad industrial integral
La estructura de seguridad de red industrial de CPwE (Figura1), que utiliza un planteamiento de protección total, se ajusta a normas de seguridad industrial como ISA/IEC-62443 (anteriormente ISA-99) Seguridad de los sistemas de automatización y control industrial (IACS) y NIST 800-82 Seguridad del sistema de control industrial (ICS).
Diseñar e implementar una estructura de seguridad de red global del IACS debería ser una extensión natural del propio IACS. La seguridad de la red no se debe implementar como elemento secundario. La estructura de seguridad de la red industrial debería ser generalizada y básica en el IACS. No obstante, en implementaciones del IACS ya existentes, se pueden aplicar las mismas capas de protección total de manera incremental para ayudar a mejorar la política de seguridad del IACS.
Las capas de protección total de CPwE (Figura1) incluyen:
• Ingenieros de sistemas de control (resaltados en color tostado): refuerzo de dispositivos del IACS (por ejemplo, físico y electrónico), refuerzo de dispositivos de infraestructura (por ejemplo, seguridad de puerto), segmentación de red, autenticación, autorización y contabilidad de la aplicación del IACS.
• Ingenieros de sistemas de control en colaboración con ingenieros de redes IT (resaltados en azul): firewalls según política específica de la zona en la aplicación del IACS, refuerzo de sistema operativo, refuerzo de dispositivo de red (por ejemplo, control de acceso, resistencia) políticas de acceso a LAN inalámbrica.
• Arquitectos de seguridad IT en colaboración con ingenieros de sistemas de control (resaltados en morado): servicios de identidad (conectados e inalámbricos), Active Directory (AD), servidores de acceso remoto, firewalls de planta, mejores prácticas de diseño de la zona desmilitarizada industrial (IDMZ).
Figura1 Estructura de seguridad de red industrial de CPwE
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
2Circulación segura de datos de IACS a través de la zona desmilitarizada industrial
ENET-WP038A-ES-P
Circulación segura de datos de IACS a través de la zona desmilitarizada industrial
Zona desmilitarizada industrial
Zona desmilitarizada industrialIDMZ, también denominada red perimetral (Figura 2), es un búfer que refuerza las políticas de seguridad de datos entre una red confiable (zona industrial) y una red no confiable (zona empresarial). IDMZ es una capa adicional de protección total que permite compartir datos del IACS y servicios de red de forma segura entre las zonas industrial y empresarial. El concepto de zona desmilitarizada es habitual en las redes IT tradicionales, pero su adopción sigue siendo reciente en aplicaciones del IACS.
Para el intercambio seguro de datos del IACS, IDMZ contiene activos que actúan como intermediarios entre las zonas. Existen numerosos métodos de intermediación de datos del IACS a través de IDMZ:
• Uso de un espejo de aplicación, como una interface PI a PI para FactoryTalk® Historian.
• Uso de servicios de puerta de enlace de escritorio remoto (RD Gateway) de Microsoft®.
• Uso de un servidor proxy inverso.
Estos métodos de intermediación, que ayudan a ocultar y proteger la existencia y las características de los servidores de la zona industrial de los clientes y servidores de la zona empresarial, aparecen resaltados en Figura 2 y se incluyen en IDMZ CPwE.
Figura 2 Modelo lógico de CPwE
Los principios de diseño de una IDMZ de alto nivel (Figura 3) incluyen:
• Todo el tráfico de red del IACS procedente de cualquiera de los lados de la IDMZ termina en la IDMZ; no hay tráfico del IACS que atraviese directamente la IDMZ:
– No existe una ruta directa entre las zonas industrial y empresarial
– No existen protocolos comunes en cada firewall lógico.
• El tráfico del IACS EtherNet/IP™ no accede a la IDMZ; permanece dentro de la zona industrial.
• Los servicios principales no se almacenan de manera permanente en la IDMZ.
• Todos los datos son temporales; la IDMZ no almacena datos de forma permanente.
• Establecimiento de subzonas funcionales dentro de la IDMZ para segmentar el acceso a datos del IACS y servicios de red (por ejemplo, zona de IT, operaciones y socio de confianza).
• Una IDMZ con un diseño adecuado soporta la capacidad de desconexión en caso de amenaza, lo que permite que la zona industrial siga funcionando sin interrupción.
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Remote Gateway Services
Patch Management
AV Server
Application Mirror
Web Services Operations
Reverse Proxy
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
FactoryTalkApplication
Server
FactoryTalk Directory
Engineering Workstation
Remote Access Server
FactoryTalkClient
Operator Interface
FactoryTalkClient
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
ContinuousProcess Control
Safety Control
Sensors Drives Actuators Robots
Enterprise
Security
Zone
Industrial
Demilitarized
Zone
Industrial
Security
Zone(s)
Cell/Area
Zone(s)
WebE -Mail
CIP
Site Operations
Area Supervisory
Control
Basic Control
Process
Firewall
Firewall
3746
24
3Circulación segura de datos de IACS a través de la zona desmilitarizada industrial
ENET-WP038A-ES-P
Circulación segura de datos de IACS a través de la zona desmilitarizada industrial
IDMZ Ethernet convergente en la planta
Figura 3 Conceptos de alto nivel de la zona desmilitarizada industrial
IDMZ Ethernet convergente en la plantaEl diseño validado por Cisco (CVD) de IDMZ CPwE describe los requisitos principales y las consideraciones de diseño que permiten diseñar e implementar una IDMZ con éxito. Los servicios de red y datos del IACS entre las zonas industrial y empresarial incluyen:
• Descripción y consideraciones de diseño de una IDMZ
• Marco estructural de una CPwE resistente:
– Firewalls de IDMZ redundantes
– Switches Ethernet de distribución/agregación redundante
• Metodologías para la circulación segura de datos del IACS a través de la IDMZ:
– Espejo de aplicación
– Proxy inverso
– Servicios de gateway de escritorio remoto
• Metodologías para la circulación segura de servicios de red a través de la IDMZ
• Casos de uso de la IDMZ CPwE:
– Aplicaciones del IACS: por ejemplo, transferencia segura de archivos, aplicaciones FactoryTalk (FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition (SE), FactoryTalk ViewPoint, FactoryTalk AssetCentre, Studio 5000®)
– Servicios de red: por ejemplo, Active Directory (AD), Identity Services Engine (ISE), controlador para LAN inalámbrica (WLC), control y aprovisionamiento de puntos de acceso inalámbrico (CAPWAP), Network Time Protocol
– Acceso remoto seguro
• Pasos y consideraciones de diseño importantes para la implementación y configuración de la IDMZ
Nota Esta versión de la arquitectura CPwE se centra en EtherNet/IP, y la controla el protocolo industrial común (CIP) de ODVA. Consulte la sección IACS Communication Protocols del documento CPwE Design and Implementation Guide.
No Direct IACS Traffic
Enterprise Security
Zone
IndustrialSecurity
Zone
Disconnect Point
Disconnect Point
IDMZReplicated Services
Untrusted ? Trusted?
Trusted 3746
25
4Circulación segura de datos de IACS a través de la zona desmilitarizada industrial
ENET-WP038A-ES-P
Circulación segura de datos de IACS a través de la zona desmilitarizada industrial
Sitio web de Rockwell Automation:
http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf
Sitio web de Cisco:
http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html
Cisco es el líder mundial en redes que transforman la manera en que las personas se conectan, comunican y colaboran. Puede encontrar información acerca de Cisco en
www.cisco.com. Para conocer las últimas noticias vaya a http://newsroom.cisco.com. Los equipos Cisco en Europa los suministra Cisco Systems International BV, empresa
subsidiaria de entera propiedad de Cisco Systems, Inc.
www.cisco.com
Sede en AméricaCisco Systems, Inc.
San Jose, CA
Sede en Asia PacíficoCisco Systems (USA) Pte. Ltd.
Singapur
Sede en EuropaCisco Systems International BV
Ámsterdam, Países Bajos
Cisco cuenta con más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y fax se indican en el sitio web de Cisco en www.cisco.com/go/offices.
Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y/o sus filiales en EE.UU. y otros países. Para ver la lista de marcas comerciales
de Cisco, vaya a la URL: www.cisco.com/go/trademarks. Las marcas comerciales de terceros que se mencionan pertenecen a sus respectivos propietarios. El uso de la palabra
socio no implica una relación de asociación entre Cisco y cualquier otra compañía. (1110R)
Rockwell Automation es uno de los principales proveedores de soluciones de alimentación, control e información que permiten a los clientes llevar productos al mercado
con mayor rapidez, reducir el costo total de propiedad, utilizar mejor los activos de la planta y minimizar los riesgos en sus entornos de fabricación.
www.rockwellautomation.com
América:Rockwell Automation
1201 South Second Street
Milwaukee, WI 53204-2496 EE.UU.
Tel.: (1) 414.382.2000, Fax: (1) 414.382.4444
Asia Pacífico:Rockwell Automation
Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
Tel.: (852) 2887.4788, Fax: (852) 2508.1846
Europa/Oriente Medio/África: Rockwell Automation
NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Bélgica
Tel.: (32) 2 663 0600, Fax: (32) 2 663 0640
Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 y Studio 5000 son marcas comerciales de
Rockwell Automation, Inc. EtherNet/IP es una marca comercial de ODVA.
© 2015 Cisco Systems, Inc. y Rockwell Automation, Inc. Todos los derechos reservados.
Publicación ENET-WP038A-ES-P - Mayo 2015