Post on 10-Dec-2018
transcript
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
PUBLIC INFORMATION
Connected Enterprise – Integrandoo Corporativo ao chão de fábricaJorge Rosa
1
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
É um monte de coisas
2
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
The Internet of Things
3
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Things… Coisas…
4
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved. 5
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Oportunidade
6
IoT
INFORMATIONTECHNOLOGY
Connected Enterprise é nossa visão de integraçãoIT/OT
OPERATIONSTECHNOLOGY
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved. 7
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
8
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
O Facebook
9
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Eficiência Operacional
10
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Informação em tempo real
Fieldbus
Internet
AutomationNetwork
EnterpriseNetwork
DeviceNetwork
Discrete Safety PowerMotion Process
Ethernet
ProgrammableControllers
ProgrammableAutomationControllers
Robots
MotionControllers
ServoDrives
Encoders
I/O
Drives
Cameras VoiceAsset
Management
HMIOperatorConsoles
Historian EnergyManagement
Instruments
Valves
SafetyControllers
SafetyI/O
Drivesw/ Safety
LightCurtains
Drives
Starters
Overloads
SmartMotor
Controllers
ProcessControllers
BarcodeScanners
EmailSecure RemoteAccess
EtherNet/IP
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Rockwell Automation StratixSwitches Gerenciáveis com Tecnologia Cisco
O melhor da Cisco Cisco IOS™ Conjunto de recursos e arquitetura Catalyst™ CLI (linhas de comando) e gerenciador de dispositivos Integração segura com a rede corporativa
O melhor da Rockwell Automation Common Industrial Protocol (CIP) interface com a arquitetura
integrada da Rockwell Automation™ RSLogix 5000™ para configuração via Add-on Profile (AOP) Lógica pré-definida com tags lógicos para diagnósticos FactoryTalk™ faceplates para visualização
O melhor para o chão de fábrica Compact flash para substituição com“zero-configuração” Níveis de proteção compatíveis com ambiente Industrial Configurações de fábrica para Automação Industrial Fácil manutenção
Um produto único no mercado ……Integrando os ambientes corporativo e de manufatura
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Switch Industrial Stratix
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Switch Industrial Cisco
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Stratix 5700 – Vencedor do Control Engineering 2014 Engineers Choice Award
15
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Ferramenta de Configuração Web
A programação certa para o dispositivo certo
SmartportsConfigurações pré-definidas:
– Otimize o fluxo da porta– Maximize a performance
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Ferramentas para Monitorar a rede
Solução para os problemas de rede
• Utilize os faceplates para monitorar o tráfego e diagnóstico da rede
• Status em tempo real no RSLogix 5000
• Tags pré-configuradas no Logix
• Cisco Network Assistant (CNA)
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Switches - Faceplates
Help
Faceplates pré-configurados para monitoramento e configuração
AlarmsConfiguration
StatusTrending
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Conecte-se com seus dispositivos
19
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved. 20
Segurança de Redes
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Tendências de Segurança em Redes IndustriaisPadrões estabelecidos de Segurança Industrial
21
International Society of Automation ISA-99 Industrial Automation and Control System (IACS) Security Defesa-em-Camadas. Implementação de DMZ.
National Institute of Standards and Technology. NIST 800-82 Industrial Control System (ICS) Security Defesa-em-Camadas Implementação de DMZ .
Department of Homeland Security / Idaho National Lab. DHS INL/EXT-06-11478 Control Systems Cyber Security: Defense-in-Depth Strategies Defesa-em-Camadas Implementação de DMZ Uma aplicação segura depende de multiplas camadas de proteção.
Segurança Industrial deve ser implementada como um sistema.
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Tendências de segurança IndustrialModelo Lógico para Zonas Seguras
22
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Remote Gateway Services
Patch Management
AV Server
Application Mirror
Web Services Operations
ApplicationServer
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
FactoryTalkApplication
Server
FactoryTalk Directory
Engineering Workstation
Remote Access Server
FactoryTalkClient
Operator Interface
FactoryTalkClient
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
ContinuousProcess Control
Safety Control
Sensors Drives Actuators Robots
EnterpriseSecurity Zone
IndustrialDMZ
IndustrialSecurity Zone
Cell/Area Zone
WebE-Mail
CIP
Firewall
Firewall
Site Operationsand Control
Area Supervisory
Control
Basic Control
Process
Logical ModelConverged Multi-discipline Industrial Network
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Rede Industrial ConvergênteArquitetura de Rede
Célula de AcessoNível 0-2
Rede de Produção
Nível 3
DemilitarizedZone
(DMZ)
Controle Real-Time Convergência <100ms
Tráfego Multicast Simplicidade
Integração MFG
SegmentaçãoRedes Multi-Serviço
Aplicações e Gerenciamento de Segurança
Controle de AcessoProteção contra Ameaças
Rede CorporativaNível 4-5
Gbps Link for Failover Detection
Firewall(Active)
Firewall(Standby)
FactoryTalk Application Servers
CiscoASA 5500
CiscoCatalyst Switch
Network Services
Cisco Catalyst6500/4500
Cisco Cat. 3750StackWise
Switch Stack
Patch ManagementTerminal ServicesApplication Mirror
AV Server
Cell/Area #1(Redundant Star Topology)
Drive
Controller
HMI Distributed I/O
Controller
DriveDrive
HMI
Distributed I/O
HMI
Cell/Area #2(Ring Topology)
Cell/Area #3(Bus/Star Topology)
Rockwell AutomationStratix 8000
Layer 2 Access Switch
Controller
Integração de IT CorporativaColaboração
WirelessOtimização de AplicaçãoWeb Apps DNS FTP
Internet
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved. 24
Network Security FrameworkZona Desmilitarizada (DMZ)
UNTRUSTED
TRUSTED
BROKER DMZProxy
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Segurança de Rede• Segurança Física – limitar o acesso físico a
pessoas autorizadas: areas, paineis de controle, dispositivos, cabeamentos e sala de controle –acompanhamento e monitoração de visitantes
• Segurança de Rede – infra-estrutura – utilizaçãode firewalls com IDS/IPS e proteção da integridade dos equipamentos de redes comoSwitchs e Roteadores
• Manuseio de Computadores – gerenciamento de patchs, utilizar software antivirus e remoção de aplicativos, protocolos e serviços não utilizados
• Segurança de Aplicação – utilizar software de controle de acesso, autenticação e auditoria
• Manuseio de dispositivos – utilizargerenciamento de mudanças e restringir o acesso
Defensein Depth
Computer
Device
Physical
Network
Application
Múltiplas camadasde proteção
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Defesa-em-CamadasProtegendo o Controlador : Exemplos
26
Procedimento Físico: Restringir o acesso ao painel a pessoal não-autorizado Colocar a chave do Controlador Logix Controller em “RUN”
Digital - Logix Controller CPU Lock Tool. Acesso protegido por senha aos controladores
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Defesa-em-CamadasProtegendo o Controlador : Exemplos
27
Projeto - Logix Controller Data Access Control Usuarios podem definir o Acesso Externo à tags como Read/Write, Read Only, ou None Útil para controlar quais tags podem ser modificadas de uma IHM ou outra aplicação externa. Uma conexão confiável e criptografada é estabelecida entre o RSLogix 5000 o controlador
Logix. Garante que tags designadas como Read-Only ou None podem ser alteradas apenas pelo RSLogix
5000. Tags tambem podem ser definidas com “constantes”.
“Contantes”não podem ser alteradas pela lógica do controlador.
Aumenta a segurançade tags
especialmente quando usadas emconjuto com FactoryTalk Security ou
a CPU Lock tool
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Defesa-em-CamadasSegurança de Aplicação: Exemplos
28
• Use o FactoryTalk Security para– Gerenciar ameaça interna autenticando o usuário
e autorizando o uso de softwares Rockwell Automationusados para acesar dispositivos de automação.
• Como funciona?– Provê A&A centralizada verificando a identidade de cada usuário e;– Permitindo ou negando cada requisição de usuário para realizar um
conjunto particular de ações no sistema
FactoryTalk Security Server
Request Permission
Grant -or-Deny Access
User authorization
A&A Authority(Domain
Controller)
+ all FactoryTalk Securityenabled software
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Regras de Usuários (Grupos FT Windows) Contas de Usuários (Usuários FT ou Windows) Computadores e Grupos de Computadores Politicas de Segurança de Sistema Politicas de Segurança de Produtos Controladores devem ser seguros Segurança dos Controladores
por área
FactoryTalk Security
Use FactoryTalk Security para…Gerenciar as ameaças internas, autenticar o usuário e autorizar o uso de aplicativos de software para acessar os dispositivos de automação
Como isto funciona?O software possui um gerenciamento centralizado para verificar as permissões de cada usuário e conceder ou não as solicitações do usuário para executar uma ação sobre o recurso dentro do sistema.
(Passo 1) Solicitaçãode Acesso
(Passo 2) AcessoPermitido ou Negado
Security Authority(FactoryTalk Directory)
(Todos os softwares possuem o FactoryTalk Security habilitado)
(Passo 3 - opcional) AutorizaO acesso para um dispositivo
específico
29
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Autorização de Aplicação
30
Atua como uma lista em branco de aplicações para "aceitar" ou "negar" o acesso ao Directory a partir de aplicações FactoryTalk criadas. Gerenciamento do acesso por: App, Versão, Computador e Fabricante (RA). A coluna do fabricante mostra a assinatura digital que verifica a autenticidade do
software.
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Solução Rockwell – Camadas
31
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Defesa-em-CamadasSegurança de Rede
32
Segurança não é um componente(“cadeado”).
Modelo de Segurança completopara Defesa-em-Camadas.
Política de Segurança Industrial. Implementação de DMZ . Projeto de uma Politica de Acesso
Remoto, com implementaçãorobusta & segura.
Serviços de Segurança de Rede NãoDevem comprometer Operação da
Celula ou Area
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Arquiteturas de Convergência
33
Requisitos da Aplicação:-Conexão remota à planta.-Acesso Indireto.-Regras da Cooporação: Envolvimento de TI. Infraestrutura comum de TI. Obdecer os padrões de segurança
emergentes para Sistemas de Automaçãoe Controle.
defesa-em-Camadas. DMZ. Requisitos de Gerenciamento de
Mudanças.
FactoryTalk Application Servers• View
• Historian• AssetCentre
• Transaction Manager
FactoryTalk Services Platform• Directory
• Security/Audit
Data Servers
Levels 0–2
Cell/Area Zones
Demilitarized Zone (DMZ)
Demilitarized Zone (DMZ)
Enterprise Zone
Levels 4 and 5
Industrial Zone Site Operations and
ControlLevel 3
Internet
Enterprise ZoneLevels 4 and 5
EnterpriseWAN
EnterpriseData Center
Gbps Link Failover
Detection
Firewall(Active)Firewall
(Standby)
Patch ManagementApplication Mirror
AV Server
Remote Access Server• Remote Desktop Services
• RSLogix 5000• FactoryTalk View Studio
Catalyst6500/4500
Remote Engineeror Partner
EnterpriseConnectedEngineer
Enterprise Edge
Firewall
VPN Client
Catalyst 3750StackWise
Switch Stack
EtherNet/IP
IPSE CVP N
LP
SSV
N
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved. 34
Stratix 5900
Physical features RJ-45 Gigabit WAN 4 – 10/100Base-Tx LAN
ports Shock /Vibration &
Extended Temperature
Stratix 5900 Site-to-Site: VPN. Perfil industrial
Network features ACL / Firewall DHCP QoS VLAN NAT
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Physical Network Security in the Panel
• Keyed solutions for copper and fiber
• USB Type A, B Ports• Lock-in, Blockout products
secure connections
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
O que é o Industrial Data Center?
36
Solução completa Turn key: Hardware
Software
Factory assembly
Configuração On-site
Documentação
Suporte TechConnectSM
Líderes de mercado em colaboração com Rockwell Automation para ajudar seusnegócios a terem todos os benefícios de virtualização e conexão entre chão de fábrica
e o ambiente Corporativo.
Model Shown: Essentials+
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Um número único para suporte
37
Suporte disponível 24x7 ou monitoração remotaSuporte disponível 24x7 ou monitoração remota
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Serviços para Industrial Network & Security
38
Avaliação• Avaliar o estado atual do programa de segurança, formulação de políticas de segurança,• Avaliar o estado atual do projeto de implantação da rede
Desenvolvimento/Planejamento• Desenvolver e planejar a infraestrutura da rede• Desenvolver e planejar o programa de segurança, politicas, infraestrutura, plano de continuidade
Implantação• Instalação e configuração da rede• Instalação do programa de segurança, projeto de infrastrutura e treinamento de segurança
Auditoria• Audit current architecture compared to governing body (ODVA, IEEE,
ISO/IEC, ANSI/TIA) • Audit security program compared to governing body (NERC CIP, ISA -99,
NIST 800-53, NIST 800-82Gerenciamento/Monitoração
• Gerencia, mantem e monitor o tempo de operação da rede e desvios operacionais• Gerencia Serviços de Segurança (Resposta a incidente, programa de recuperação,
monitoração)
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Mais Informações
39
http://rockwellautomation.com/security
Serviços de Avaliação
TecnologiaSegurança
SegurançaFAQ
Security Resources
ArquiteturasReferencia
ServiçosSegurança
secure@ra.rockwell.com
Liderança & Padrões
MS Patch Qualificação
Knowledgebasec/ Notas Técnicas
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Material AdicionalCisco and Rockwell Automation Alliance
40
Websites http://www.ab.com/networks/architectures.html
Guias de Projeto Converged Plantwide Ethernet (CPwE)
Guias de Aplicação Fiber Optic Infrastructure Application Guide
Education Series Whitepapers
Top 10 Recommendations for Plantwide EtherNet/IP Deployments
Securing Manufacturing Computer and Controller Assets Production Software within Manufacturing Reference
Architectures Achieving Secure Remote Access to Plant Floor Applications
and Data
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Industrial IP Advantage
www.industrial-ip.org
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Perguntas?
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
PUBLIC INFORMATION
Obrigado!!!
43