Condivisione sicura dei dati IACS nella zona IDMZ
Dossier
Maggio 2015
Numero di riferimento documento: ENET-WP038A-IT-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment. • Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
Condivisione
ENET-WP038A-IT-P
Condivisione sicura dei dati IACS nella zona IDMZ
Le reti dei sistemi di controllo e automazione industriale (Industrial Automation and Control System, IACS) sono in genere aperte per default. Questa caratteristica rende possibili sia la coesistenza di tecnologie diverse sia l'interoperabilità tra dispositivi IACS. A fronte di tale apertura è inoltre necessario che le reti IACS siano protette a livello di configurazione e architettura, per ottenere quella che viene definita la difesa dei confini. Numerosi organismi normativi e organizzazioni consigliano di separare le reti aziendali dalle reti a livello di impianto di produzione mediante la creazione di una zona cuscinetto o zona IDMZ (Industrial Demilitarized Zone).
La zona IDMZ è una rete separata che si trova ad un livello, comunemente definito livello 3.5, compreso tra la Zona Industriale e la Zona Aziendale. Un ambiente IDMZ è costituito da numerosi dispositivi di infrastruttura, inclusi firewall, server VPN, sistemi di mirroring delle applicazioni IACS e server proxy inversi, oltre che da dispositivi di rete quali switch, router e servizi virtualizzati.
L'architettura Converged Plantwide Ethernet (CPwE) sottostante fornisce servizi di rete standard per le discipline, i dispositivi e le apparecchiature di controllo e gestione delle informazioni presenti nelle applicazioni IACS più recenti. Con l'architettura CPwE vengono fornite indicazioni di progettazione e implementazione per soddisfare i requisiti di comunicazione in tempo reale, affidabilità, scalabilità, sicurezza e resilienza dei sistemi IACS.
L'architettura CPwE IDMZ per le applicazioni IACS è stato realizzato grazie a un'alleanza strategica tra Cisco Systems® e Rockwell Automation. I dettagli includono considerazioni utili per la progettazione e l'implementazione di una zona IDMZ in cui sia possibile condividere in modo sicuro i dati IACS.
Sicurezza industriale olisticaNon esiste un singolo prodotto o una singola tecnologia o metodologia in grado di proteggere completamente le applicazioni IACS. Per la protezione degli asset IACS è necessario adottare un approccio di tipo defense-in-depth, che consenta di affrontare le minacce alla sicurezza sia interne che esterne. Tale approccio è basato su più livelli di difesa (fisico, procedurale ed elettronico) destinati a livelli IACS distinti in grado di affrontare tipi diversi di minacce.
Nota I requisiti di sicurezza di una zona IDMZ fisica devono includere anche le esigenze delle applicazioni IACS in quanto i dati devono passare in modo sicuro dalla zona industriale a quella aziendale. Anche il servizio NAT (Network Address Translation) e i Servizi di identità fanno parte dell'architettura di sicurezza generale del design CPwE. Disponibili separatamente, i due tipi di servizi completano l'approccio olistico alla sicurezza industriale dell'architettura CPwE.
1 sicura dei dati IACS nella zona IDMZ
Condivisione sicura dei dati IACS nella zona IDMZ
Sicurezza industriale olistica
Il framework di sicurezza delle reti industriali CPwE (Figura1), basato su un approccio di tipo defense-in-depth, è allineato a standard quali ISA/IEC-62443 (in precedenza ISA-99) per la sicurezza dei sistemi di controllo e automazione industriale (IACS) e NIST 800-82 per la sicurezza dei sistemi di controllo industriale (ICS).
La progettazione e l'implementazione di un framework completo per la sicurezza delle reti IACS devono essere considerate come un'estensione naturale del sistema IACS. La sicurezza di rete, infatti, non deve essere implementata a posteriori. Il framework di sicurezza delle reti industriali deve essere pervasivo e conglobato nel sistema IACS. Per le distribuzioni di sistemi IACS esistenti, tuttavia, è possibile applicare gli stessi livelli di tipo defense-in-depth in modo incrementale per contribuire a migliorare la posizione di sicurezza del sistema IACS.
I livelli di tipo defense-in-depth dell'architettura CPwE (Figura1) includono il coinvolgimento di:
• Tecnici dei sistemi di controllo (evidenziati in marrone chiaro): rafforzamento dei dispositivi IACS (ad esempio, fisici ed elettronici), rafforzamento dei dispositivi di infrastruttura (ad esempio, sicurezza delle porte), segmentazione delle reti, autenticazione, autorizzazione e accounting (AAA) delle applicazioni IACS
• Tecnici dei sistemi di controllo in collaborazione con tecnici di reti IT (evidenziati in blu): firewall di politiche basate su zone a livello di applicazione IACS, rafforzamento del sistema operativo, rafforzamento dei dispositivi di rete (ad esempio, controllo degli accessi, resilienza), politiche di accesso LAN wireless
• Architetti della sicurezza IT in collaborazione con tecnici dei sistemi di controllo (evidenziati in viola): servizi di identità (cablati e wireless), Active Directory (AD), server di accesso remoto, firewall di impianto, best practice per la progettazione di una zona IDMZ
Figura1 Framework di sicurezza delle reti industriali CPwE
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
2Condivisione sicura dei dati IACS nella zona IDMZ
ENET-WP038A-IT-P
Condivisione sicura dei dati IACS nella zona IDMZ
Zona cuscinetto a livello industriale o IDMZ
Zona cuscinetto a livello industriale o IDMZTalvolta definita rete perimetrale, la zona IDMZ (Figura 2) è un buffer che applica politiche di sicurezza dei dati nel passaggio da una rete attendibile (Zona industriale) a una rete non attendibile (Zona aziendale) . La zona IDMZ costituisce un livello aggiuntivo dell'approccio defense-in-depth per condividere in modo sicuro i dati IACS e i servizi di rete tra la zona industriale e quella aziendale. Il concetto di zona cuscinetto viene comunemente applicato nelle reti IT tradizionali, ma non ha ancora trovato pieno riconoscimento nelle applicazioni IACS.
Per condividere i dati IACS in totale sicurezza, la zona IDMZ contiene apparati che svolgono il ruolo di intermediari tra le zone. Esistono diversi metodi per trasferire i dati IACS nella zona IDMZ:
• Un sistema di mirroring delle applicazioni, ad esempio un'interfaccia PI-to-PI per FactoryTalk® Historian
• Servizi Microsoft® Remote Desktop Gateway (RD Gateway)
• Un server proxy inverso
Questi metodi di trasferimento, che consentono di nascondere e proteggere l'esistenza e le caratteristiche dei server della zona industriale dai sistemi client e server della zona aziendale, sono evidenziati nella Figura 2 e sono illustrati nella sezione CPwE IDMZ.
Figura 2 Modello logico dell'architettura CPwE
I principi di progettazione di alto livello della zona IDMZ (Figura 3) includono:
• Tutto il traffico di rete IACS da entrambi i lati della zona IDMZ termina nella zona IDMZ; il traffico IACS non attraversa direttamente la zona IDMZ:
– Nessun percorso diretto tra zona industriale e zona aziendale
– Nessun protocollo di uso comune in ciascun firewall logico
• Il traffico IACS EtherNet/IP™ non entra nella zona IDMZ, ma rimane all'interno della zona industriale
• Nessun servizio primario è archiviato in modo permanente nella zona IDMZ
• Tutti i dati sono transitori e non vengono archiviati in modo permanente nella zona IDMZ
• È necessario configurare sottozone di tipo funzionale all'interno della zona IDMZ per segmentare l'accesso ai dati IACS e ai servizi di rete (ad esempio, una zona IT, operazioni e partner attendibili)
• Una zona IDMZ correttamente progettata deve prevedere la possibilità di una disconnessione in caso di danneggiamento, consentendo al tempo stesso alla zona industriale di continuare ad essere operativa
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Remote Gateway Services
Patch Management
AV Server
Application Mirror
Web Services Operations
Reverse Proxy
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
FactoryTalkApplication
Server
FactoryTalk Directory
Engineering Workstation
Remote Access Server
FactoryTalkClient
Operator Interface
FactoryTalkClient
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
ContinuousProcess Control
Safety Control
Sensors Drives Actuators Robots
Enterprise
Security
Zone
Industrial
Demilitarized
Zone
Industrial
Security
Zone(s)
Cell/Area
Zone(s)
WebE -Mail
CIP
Site Operations
Area Supervisory
Control
Basic Control
Process
Firewall
Firewall
3746
24
3Condivisione sicura dei dati IACS nella zona IDMZ
ENET-WP038A-IT-P
Condivisione sicura dei dati IACS nella zona IDMZ
CPwE (Converged Plantwide Ethernet) IDMZ
Figura 3 Concetti di alto livello alla base della progettazione di una zona IDMZ
CPwE (Converged Plantwide Ethernet) IDMZL'architettura approvata da Cisco (Cisco Validated Design, CVD) CPwE IDMZ definisce i requisiti chiave e le considerazioni necessarie per la progettazione e la distribuzione di una zona IDMZ. I dati IACS e i servizi di rete condivisi tra la zona industriale e quella aziendale includono:
• Panoramica della zona IDMZ e considerazioni chiave sulla progettazione
• Framework architettonico CPwE resiliente:
– Firewall IDMZ ridondanti
– Switch Ethernet di distribuzione/aggregazione ridondanti
• Metodologie per condividere in modo sicuro i dati IACS nella zona IDMZ:
– Sistema di mirroring delle applicazioni
– Server proxy inverso
– Servizi Remote Desktop Gateway
• Metodologie per condividere in modo sicuro i servizi di rete nella zona IDMZ
• Casi di utilizzo del design CPwE IDMZ:
– Applicazioni IACS, ad esempio applicazioni per il trasferimento sicuro di file, applicazioni FactoryTalk (FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition (SE), FactoryTalk ViewPoint, FactoryTalk AssetCentre, Studio 5000®)
– Servizi di rete, ad esempio Active Directory (AD), Identity Services Engine (ISE), controller LAN wireless (WLC), controllo e provisioning di punti di accesso wireless (CAPWAP), protocollo NTP (Network Time Protocol)
– Accesso remoto sicuro
• Procedure importanti e considerazioni sulla progettazione per l'implementazione e la configurazione di una zona IDMZ
Nota Questa versione dell'architettura CPwE è incentrata su EtherNet/IP, che è basato sul protocollo CIP (Common Industrial Protocol) di ODVA. Consultare la sezione relativa ai protocolli di comunicazione IACS della guida alla progettazione e all'implementazione dell'architettura CPwE.
No Direct IACS Traffic
Enterprise Security
Zone
IndustrialSecurity
Zone
Disconnect Point
Disconnect Point
IDMZReplicated Services
Untrusted ? Trusted?
Trusted 3746
25
4Condivisione sicura dei dati IACS nella zona IDMZ
ENET-WP038A-IT-P
Condivisione sicura dei dati IACS nella zona IDMZ
Sito Web di Rockwell Automation:
http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf
Sito Web di Cisco:
http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html
Cisco è un’azienda leader mondiale nella fornitura di soluzioni di rete che trasforma il modo in cui le persone si connettono, comunicano e collaborano. Informazioni su Cisco
sono disponibili all’indirizzo www.cisco.com. Per le ultime novità, è possibile visitare il sito Web all'indirizzo http://newsroom.cisco.com. Le apparecchiature Cisco sono
fornite in Europa da Cisco Systems International BV, una consociata interamente controllata da Cisco Systems, Inc.
www.cisco.com
Sede principale AmericheCisco Systems, Inc.
San Jose, CA
Sede principale Asia PacificoCisco Systems (USA) Pte. Ltd.
Singapore
Sede principale EuropaCisco Systems International BV
Amsterdam, Paesi Bassi
Cisco vanta oltre 200 uffici in tutto il mondo. Gli indirizzi, i numeri di telefono e i numeri di fax sono elencati sul sito Web di Cisco all’indirizzo www.cisco.com/go/offices.
Cisco e il logo Cisco sono marchi commerciali o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in alcuni altri Paesi. Per visualizzare l'elenco dei marchi
commerciali Cisco, visitare il sito Web all'indirizzo www.cisco.com/go/trademarks. I marchi di terze parti citati nel presente documento sono di proprietà dei rispettivi proprietari.
L’uso della parola partner non implica un rapporto di partnership tra Cisco e qualsiasi altra società. (1110R)
Rockwell Automation è un leader nella fornitura di soluzioni di potenza, controllo e informazione che consentono ai clienti di abbreviare i tempi di accesso al mercato, ridurre
i costi totali di esercizio dei prodotti, sfruttare al meglio le risorse dell’impianto e ridurre al minimo i rischi negli ambienti di produzione.
www.rockwellautomation.com
Americhe:Rockwell Automation
1201 South Second Street
Milwaukee, WI 53204-2496 USA
Tel.: (1) 414.382.2000, Fax: (1) 414.382.4444
Asia Pacifico:Rockwell Automation
Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
Tel.: (852) 2887 4788, Fax: (852) 2508 1846
Europa/Medio Oriente/Africa: Rockwell Automation
NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Belgio
Tel.: (32) 2 663 0600, Fax: (32) 2 663 0640
Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 e Studio 5000 sono marchi commerciali di
Rockwell Automation, Inc. EtherNet/IP è un marchio commerciale di ODVA.
© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Tutti i diritti riservati.
Pubblicazione ENET-WP038A-IT-P - Maggio 2015