ENET-WP038A-ES-P, Circulación segura de datos del IACS a ... · IDMZ es una capa adicional de...

Circulación segura de datos del IACS a través de la zona desmilitarizada industrial

Documentación técnica

Mayo de 2015

Número de referencia del documento: ENET-WP038A-ES-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment. • Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Circulación segura de datos de IACS a través

ENET-WP038A-ES-P

Circulación segura de datos de IACS a través de la zona desmilitarizada industrial

Las redes del sistema de automatización y control industrial (IACS, por sus siglas en inglés) normalmente están abiertas de manera predeterminada, ya que esto facilita la coexistencia de la tecnología y la interoperabilidad de los dispositivos del IACS. La apertura también implica la necesidad de proteger las redes del IACS mediante configuración y arquitectura, es decir, defender el borde. Muchas organizaciones y muchos organismos de normalización recomiendan segmentar las redes de los sistemas empresariales y aislarlas de las redes de fábrica mediante una zona desmilitarizada industrial (IDMZ, por sus siglas en inglés).

La IDMZ existe en forma de red independiente a un nivel entre las zonas industrial y empresarial (conocido comúnmente como nivel 3.5). Un entorno IDMZ se compone de numerosos dispositivos de infraestructura, como firewalls, servidores VPN, espejos de la aplicación del IACS y servidores proxy inversos, además de dispositivos de infraestructura de red como switches, routers y servicios virtualizados.

Ethernet convergente en la planta (CPwE, por sus siglas en inglés) es la arquitectura subyacente que proporciona servicios de red estándar para las disciplinas de control e información, los dispositivos y los equipos que se encuentran en las aplicaciones del IACS modernas. La arquitectura CPwE proporciona las pautas de diseño e implementación necesarias para cumplir los requisitos de comunicación en tiempo real, confiabilidad, escalabilidad, seguridad y resistencia del IACS.

La IDMZ CPwE para aplicaciones del IACS ha sido lanzada al mercado a través de una alianza estratégica entre Cisco Systems® y Rockwell Automation. La IDMZ CPwE proporciona consideraciones de diseño que permiten diseñar e implementar con éxito una IDMZ y compartir datos del IACS a través de esta.

Seguridad industrial integralNingún producto, tecnología o metodología puede, por sí solo, proteger por completo las aplicaciones del IACS. La protección de activos del IACS requiere un planteamiento de seguridad de protección total, que se ocupe de las amenazas de seguridad tanto internas como externas. Este planteamiento utiliza múltiples capas de protección (física, electrónica y de procedimiento) a niveles independientes del IACS que se ocupan de distintos tipos de amenazas.

Nota Los requisitos de seguridad para una IDZM física deben tener en cuenta las necesidades de la aplicación del IACS, ya que los datos deben pasar de la zona industrial a la empresarial de manera segura. Por su lado, la traducción de direcciones de red (NAT) y los servicios de identidad forman parte de la arquitectura de seguridad global de CPwE. Cada uno está disponible por separado y completa el planteamiento de seguridad industrial integral de CPwE.

1 de la zona desmilitarizada industrial


Seguridad industrial integral

La estructura de seguridad de red industrial de CPwE (Figura1), que utiliza un planteamiento de protección total, se ajusta a normas de seguridad industrial como ISA/IEC-62443 (anteriormente ISA-99) Seguridad de los sistemas de automatización y control industrial (IACS) y NIST 800-82 Seguridad del sistema de control industrial (ICS).

Diseñar e implementar una estructura de seguridad de red global del IACS debería ser una extensión natural del propio IACS. La seguridad de la red no se debe implementar como elemento secundario. La estructura de seguridad de la red industrial debería ser generalizada y básica en el IACS. No obstante, en implementaciones del IACS ya existentes, se pueden aplicar las mismas capas de protección total de manera incremental para ayudar a mejorar la política de seguridad del IACS.

Las capas de protección total de CPwE (Figura1) incluyen:

• Ingenieros de sistemas de control (resaltados en color tostado): refuerzo de dispositivos del IACS (por ejemplo, físico y electrónico), refuerzo de dispositivos de infraestructura (por ejemplo, seguridad de puerto), segmentación de red, autenticación, autorización y contabilidad de la aplicación del IACS.

• Ingenieros de sistemas de control en colaboración con ingenieros de redes IT (resaltados en azul): firewalls según política específica de la zona en la aplicación del IACS, refuerzo de sistema operativo, refuerzo de dispositivo de red (por ejemplo, control de acceso, resistencia) políticas de acceso a LAN inalámbrica.

• Arquitectos de seguridad IT en colaboración con ingenieros de sistemas de control (resaltados en morado): servicios de identidad (conectados e inalámbricos), Active Directory (AD), servidores de acceso remoto, firewalls de planta, mejores prácticas de diseño de la zona desmilitarizada industrial (IDMZ).

Figura1 Estructura de seguridad de red industrial de CPwE

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••

2Circulación segura de datos de IACS a través de la zona desmilitarizada industrial

ENET-WP038A-ES-P


Zona desmilitarizada industrial

Zona desmilitarizada industrialIDMZ, también denominada red perimetral (Figura 2), es un búfer que refuerza las políticas de seguridad de datos entre una red confiable (zona industrial) y una red no confiable (zona empresarial). IDMZ es una capa adicional de protección total que permite compartir datos del IACS y servicios de red de forma segura entre las zonas industrial y empresarial. El concepto de zona desmilitarizada es habitual en las redes IT tradicionales, pero su adopción sigue siendo reciente en aplicaciones del IACS.

Para el intercambio seguro de datos del IACS, IDMZ contiene activos que actúan como intermediarios entre las zonas. Existen numerosos métodos de intermediación de datos del IACS a través de IDMZ:

• Uso de un espejo de aplicación, como una interface PI a PI para FactoryTalk® Historian.

• Uso de servicios de puerta de enlace de escritorio remoto (RD Gateway) de Microsoft®.

• Uso de un servidor proxy inverso.

Estos métodos de intermediación, que ayudan a ocultar y proteger la existencia y las características de los servidores de la zona industrial de los clientes y servidores de la zona empresarial, aparecen resaltados en Figura 2 y se incluyen en IDMZ CPwE.

Figura 2 Modelo lógico de CPwE

Los principios de diseño de una IDMZ de alto nivel (Figura 3) incluyen:

• Todo el tráfico de red del IACS procedente de cualquiera de los lados de la IDMZ termina en la IDMZ; no hay tráfico del IACS que atraviese directamente la IDMZ:

– No existe una ruta directa entre las zonas industrial y empresarial

– No existen protocolos comunes en cada firewall lógico.

• El tráfico del IACS EtherNet/IP™ no accede a la IDMZ; permanece dentro de la zona industrial.

• Los servicios principales no se almacenan de manera permanente en la IDMZ.

• Todos los datos son temporales; la IDMZ no almacena datos de forma permanente.

• Establecimiento de subzonas funcionales dentro de la IDMZ para segmentar el acceso a datos del IACS y servicios de red (por ejemplo, zona de IT, operaciones y socio de confianza).

• Una IDMZ con un diseño adecuado soporta la capacidad de desconexión en caso de amenaza, lo que permite que la zona industrial siga funcionando sin interrupción.

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Remote Gateway Services

Patch Management

AV Server

Application Mirror

Web Services Operations

Reverse Proxy

Enterprise Network

Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.

FactoryTalkApplication

Server

FactoryTalk Directory

Engineering Workstation

Remote Access Server

FactoryTalkClient

Operator Interface

FactoryTalkClient

Engineering Workstation

Operator Interface

Batch Control

Discrete Control

Drive Control

ContinuousProcess Control

Safety Control

Sensors Drives Actuators Robots

Enterprise

Security

Zone

Industrial

Demilitarized

Zone

Industrial

Security

Zone(s)

Cell/Area

Zone(s)

WebE -Mail

CIP

Site Operations

Area Supervisory

Control

Basic Control

Process

Firewall

Firewall

3746

24


ENET-WP038A-ES-P


IDMZ Ethernet convergente en la planta

Figura 3 Conceptos de alto nivel de la zona desmilitarizada industrial

IDMZ Ethernet convergente en la plantaEl diseño validado por Cisco (CVD) de IDMZ CPwE describe los requisitos principales y las consideraciones de diseño que permiten diseñar e implementar una IDMZ con éxito. Los servicios de red y datos del IACS entre las zonas industrial y empresarial incluyen:

• Descripción y consideraciones de diseño de una IDMZ

• Marco estructural de una CPwE resistente:

– Firewalls de IDMZ redundantes

– Switches Ethernet de distribución/agregación redundante

• Metodologías para la circulación segura de datos del IACS a través de la IDMZ:

– Espejo de aplicación

– Proxy inverso

– Servicios de gateway de escritorio remoto

• Metodologías para la circulación segura de servicios de red a través de la IDMZ

• Casos de uso de la IDMZ CPwE:

– Aplicaciones del IACS: por ejemplo, transferencia segura de archivos, aplicaciones FactoryTalk (FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition (SE), FactoryTalk ViewPoint, FactoryTalk AssetCentre, Studio 5000®)

– Servicios de red: por ejemplo, Active Directory (AD), Identity Services Engine (ISE), controlador para LAN inalámbrica (WLC), control y aprovisionamiento de puntos de acceso inalámbrico (CAPWAP), Network Time Protocol

– Acceso remoto seguro

• Pasos y consideraciones de diseño importantes para la implementación y configuración de la IDMZ

Nota Esta versión de la arquitectura CPwE se centra en EtherNet/IP, y la controla el protocolo industrial común (CIP) de ODVA. Consulte la sección IACS Communication Protocols del documento CPwE Design and Implementation Guide.

No Direct IACS Traffic

Enterprise Security

Zone

IndustrialSecurity

Zone

Disconnect Point

Disconnect Point

IDMZReplicated Services

Untrusted ? Trusted?

Trusted 3746

25


ENET-WP038A-ES-P


Sitio web de Rockwell Automation:

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

Sitio web de Cisco:

http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html

Cisco es el líder mundial en redes que transforman la manera en que las personas se conectan, comunican y colaboran. Puede encontrar información acerca de Cisco en

www.cisco.com. Para conocer las últimas noticias vaya a http://newsroom.cisco.com. Los equipos Cisco en Europa los suministra Cisco Systems International BV, empresa

subsidiaria de entera propiedad de Cisco Systems, Inc.

www.cisco.com

Sede en AméricaCisco Systems, Inc.

San Jose, CA

Sede en Asia PacíficoCisco Systems (USA) Pte. Ltd.

Singapur

Sede en EuropaCisco Systems International BV

Ámsterdam, Países Bajos

Cisco cuenta con más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y fax se indican en el sitio web de Cisco en www.cisco.com/go/offices.

Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y/o sus filiales en EE.UU. y otros países. Para ver la lista de marcas comerciales

de Cisco, vaya a la URL: www.cisco.com/go/trademarks. Las marcas comerciales de terceros que se mencionan pertenecen a sus respectivos propietarios. El uso de la palabra

socio no implica una relación de asociación entre Cisco y cualquier otra compañía. (1110R)

Rockwell Automation es uno de los principales proveedores de soluciones de alimentación, control e información que permiten a los clientes llevar productos al mercado

con mayor rapidez, reducir el costo total de propiedad, utilizar mejor los activos de la planta y minimizar los riesgos en sus entornos de fabricación.

www.rockwellautomation.com

América:Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496 EE.UU.

Tel.: (1) 414.382.2000, Fax: (1) 414.382.4444

Asia Pacífico:Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

Tel.: (852) 2887.4788, Fax: (852) 2508.1846

Europa/Oriente Medio/África: Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Bélgica

Tel.: (32) 2 663 0600, Fax: (32) 2 663 0640

Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 y Studio 5000 son marcas comerciales de

Rockwell Automation, Inc. EtherNet/IP es una marca comercial de ODVA.

© 2015 Cisco Systems, Inc. y Rockwell Automation, Inc. Todos los derechos reservados.

Publicación ENET-WP038A-ES-P - Mayo 2015

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html

ENET-WP038A-ES-P, Circulación segura de datos del IACS a ... · IDMZ es una capa adicional de...

Documents

Transcript of ENET-WP038A-ES-P, Circulación segura de datos del IACS a ... · IDMZ es una capa adicional de...