DMZ na Integração TI x TA, para o PI...

© Copyr i gh t 2014 -15 OSIso f t , LLC.

Presented by

DMZ na

Integração TI x

TA, para o PI

System

Eduardo Teixeira

Pedro Henrique Moura Costa - TSA

© Copyr i gh t 2014 -15 OSIso f t , LLC. 2

TSA Engenharia

Mais de 600 projetos executados - 30% - Turn-key

300 funcionários – Belo Horizonte , Vitória e Parauapebas

Presente em mais de 80 clientes nas áreas de mineração, metalurgia, siderurgia, cimento, petroquímica, energia elétrica e petróleo e gás

21 anos de atuação nacional e internacional

Faturamento 50 milhões

© Copyr i gh t 2014 -15 OSIso f t , LLC. 3

TSA Engenharia – PIMS

A EMPRESA

09 Anos de experiência.

É a principal empresa integradora PIMS no Brasil

Equipe PIMS com mais de 20 profissionais

© Copyr i gh t 2014 -15 OSIso f t , LLC. 4

TSA Engenharia – Clientes

© Copyr i gh t 2014 -15 OSIso f t , LLC. 5

Necessidades do projeto

• Implantação da solução PIMS em 3 unidades

distintas, porém atendendo aos mesmos

requisitos

• Prover a segregação de funções entre TI x TA e

simultaneamente prover a integração entre

ambos os domínios

• Elevar ao máximo o nível de segurança

© Copyr i gh t 2014 -15 OSIso f t , LLC. 6

Proposta Inicial: Infraestrutura PI System

Domínio Aplicativos

Historiador •PIMS Server Archives – (DataBase)

•Ferramentas de gerenciamento PIMS

Ferramentas Analíticas •Softwares proprietários para cálculos matemáticos

•Software proprietários para batelada (Batch)

•Driver OLEDB para PIMS

Distribuição •Software proprietário para Notificação de alarmes & eventos

•Software para estruturação de TAG´s

•Desenvolvimentos customizados (Framework)

•Driver OLEDB para PIMS

DB Relacional •Banco de dados relacional

Cliente •Editor de planilhas eletrônicas

•Plugin para planilhas eletrônicas

•Software Cliente para o PIMS

•Navegador para internet

Colaboração •Software para colaboração

© Copyr i gh t 2014 -15 OSIso f t , LLC. 7

A solução (Mais com menos)

Domínio Aplicativos Produtos

Historiador •PIMS Server Archives – (DataBase)

•Ferramentas de gerenciamento PIMS

•Software para Notificação de alarmes &

eventos

•PI Server

•PI-SMT

•PI Notifications

Aplicação /

Colaboração

•Software para estruturação de TAG´s

•Desenvolvimentos customizados

(Framework)

•Softwares proprietários para cálculos

matemáticos

•Software proprietários para batelada (Batch)

•Driver OLEDB para PIMS

•Software para colaboração

•PI AF

•.Net Framework

•PI ACE

•PI Batch

•PI OLEDB

• Microsoft Sharepoint

Foundation 2010 / Integração

com Reporting Services

•PI WebParts

DB Relacional •Banco de dados relacional •Microsoft SQL Server 2012

Cliente •Editor de planilhas eletrônicas

•Plugin para Microsoft Excel 2007 SP2 ou

superior

•Software Cliente para o PIMS

•Navegador para internet

•Microsoft Office 2010 Pro

•PI DataLink (Excel)

•PI Visualization

•Internet Explorer 10

© Copyr i gh t 2014 -15 OSIso f t , LLC. 8

Segredo: Servidores virtualizados e

integração com a Microsoft• Centralização: Único servidor físico, além do menor gasto econômico com diversos

equipamentos, gera economia na manutenção do ambiente.

• Segregação de funções: Tanto os serviços de operação, administração e

desenvolvimento são divididas e poderão ser geridas por diferentes frentes.

• Balanceamento de carga: Cada camada da solução será responsável pelo

processamento de suas competências de forma isolada.

• Escalabilidade vertical e horizontal: Adicionar novos servidores para melhorar o

ambiente de processamento a qualquer momento, bem como elevar novos

aplicativos (customizados ou terceiros) para suportar as mudanças de negócio.

• Segurança: Toda aplicação será integrada no diretório de redes (AD) Corporativo,

tanto para a solução do PIMS como para colaboração com o Microsoft Sharepoint.

• Economia:– Virtualização: Redução na aquisição de hardware, melhoria na gestão, manutenção, energia elétrica entre

outras.

– Adoção de solução colaborativa: O Microsoft Sharepoint permitirá economia em horas de engenharia e

integrado com os produtos da OSISoft, permitirá soluções out-of-box, reduzindo o desenvolvimento e

mitigando erros em fases do desenvolvimento de software.

© Copyr i gh t 2014 -15 OSIso f t , LLC.

Presented by

Segurança e

responsabilidades:

Segregando papeis

de TI x TA utilizando

DMZ

© Copyr i gh t 2014 -15 OSIso f t , LLC. 10

Antes, o que é DMZ?

• DMZ, ou "zona desmilitarizada", é uma pequena

rede situada entre outras duas redes;

normalmente é empregada para hospedar

serviços que possuem acesso externo junto em

uma rede local, limitando assim o potencial

dano em caso de invasão. A configuração é

realizada através de VLANS, Switchs e do uso

de Firewalls, que controlam as requisições entre

as duas redes separadas(TI-TA) e a DMZ.

© Copyr i gh t 2014 -15 OSIso f t , LLC. 11

Papéis e Responsabilidades: O PI

System compartilhado entre a TI x TA

• O PI System, por sua essência, pode ser

considerado como um sistema híbrido do

ponto de vista de redes, visto que, para a

maioria dos casos, o dado de processo é

proveniente do ambiente de TA e sua publicação

no ambiente corporativo, comumente tratado

como TI.

© Copyr i gh t 2014 -15 OSIso f t , LLC. 12

Solução: Uso da DMZ?

• Pelas características proprietárias e distintas

dos dois ambientes TI e TA, observa-se a

existência de governanças específicas na

gestão desses universos.

• Devido à isso o, que fazer com o PI System,

garantindo a não vulnerabilidade no tráfego de

informação entre esses ambientes?

© Copyr i gh t 2014 -15 OSIso f t , LLC.

Presented by

Diferentes soluções

para o mesmo

problema

© Copyr i gh t 2014 -15 OSIso f t , LLC. 14

Como manter a segurança e permitir o

Single sign-on (SSO)

• A grande parcela dos usuários do PI System são

provenientes da rede corporativa

• O PI System é uma aplicação habilitada para

diretórios.

© Copyr i gh t 2014 -15 OSIso f t , LLC. 15

Arquitetura 1 – Cross-Domain

PI Interface & OPC Server

Data Sources (DCS, PLC, and so on...)

DMZ

Corporate

Network

Process

Control

Network

Automation NetworkSQL Server

2008PI Server,

Notification& Batch

PI AF, ACE & WebParts

`

`

`

Estabelecer a relação de confiança (one-way)

Domínio Corporativo confiável dentro Domínio DMZ

Criar um novo domínio

Data Sources(DCS, PLC, and soon...)

PI Interface & OPC Server

DMZ DC

Reaproveitar um

servidor (Não

recomendado)

© Copyr i gh t 2014 -15 OSIso f t , LLC. 16

Arquitetura 2 – AD LDS or AD FS

PI Interface & OPC Server

Data Sources (DCS, PLC, and so on...)

DMZ

Corporate

Network

Process

Control

Network

Automation NetworkSQL Server

2008PI Server,

Notification & Batch

PI AF, ACE & WebParts

`

`

`

Sincronismo contas - LAN p/ DMZ.

Se LDS = Habilitar este serviço no PI

Server senão FS = Criar novo servidor

Data Sources (DCS, PLC, and so on...)

PI Interface & OPC Server

Corporate AD with LDS

DMZ AD LDS orFS

Não seria preciso

criar um novo

domínio

© Copyr i gh t 2014 -15 OSIso f t , LLC. 17

Arquitetura 3 – PI-2-PI

PI Interface & OPC Server

Data Sources (DCS, PLC, and so on...)

DMZ

Corporate

Network

Process

Control

Network

Automation Network

SQL Server 2008

PI Server, Notification

& Batch

PI AF, ACE & WebParts

`

`

`

Usuários utilizariam o

SSOTodos servidores PI no

domínio corporativo

PI Server(DB Replication)

Data Sources(DCS, PLC, and soon...)

PI Interface & OPC Server

© Copyr i gh t 2014 -15 OSIso f t , LLC. 18

Arquitetura 4 – Third-party solution -

Interface Gateway

PI Interface & OPC Server

Data Sources (DCS, PLC, and so on...)

DMZ

Corporate

Network

Process

Control

Network

Automation Network

SQL Server 2008

PI Server, Notification

& Batch

PI AF, ACE & WebParts

`

`

`

Usuários utilizam

SSOServidores no domínio

corporativo

Third-party appGateway, such as

Matrikon, Kepware...

Data Sources(DCS, PLC, and soon...)

PI Interface & OPC Server

© Copyr i gh t 2014 -15 OSIso f t , LLC. 19

Arquitetura 5 – Custom APP

PI Interface & OPC Server

Data Sources (DCS, PLC, and so on...)

DMZ

Corporate

Network

Process

Control

Network

Automation Network

SQL Server 2008

PI Server, Notification &

Batch

PI AF, ACE & WebParts

`

`

`

Usuários

utilizariam SSO

Servidores

no domínio

corporativo

Interface

Data Sources (DCS, PLC, and so on...)

PI Interface & OPC Server

Utilizando

o PI SDK

© Copyr i gh t 2014 -15 OSIso f t , LLC. 20

Arquitetura Final – Menor custo Maior Gestão

PI Interface & OPC Server

Data Sources (DCS, PLC, and so on...)

DMZ

Corporate

Network

Process

Control

Network

Automation NetworkSQL Server 2008

PI Server, Notification &

Batch

PI AF, ACE & WebParts

`

`

`

Data Sources (DCS, PLC, and so on...)

PI Interface & OPC Server

Confirar os protocolos de

comunicação do PI

System para o domínio

corporativo

Usuários utilizam

SSO

Todos Servidores do PI estão nas

políticas de TI (WSUS, Polices, etc)

© Copyr i gh t 2014 -15 OSIso f t , LLC. 21

• Maior controle de acesso à

rede onde se encontra o PI

System e

consequentemente maior

segurança ao sistema

contra tráfego de rede

indesejado.

Solution Results and Benefits

Resultados

Business Challenge

• Reduzir qualquer risco de

invasão indesejada ao PI

System.

Implementação de uma

arquitetura de rede com a

utilização de DMZ.

Adotar a arquitetura da rede utilizando-se

uma DMZ, permitiu o maior controle de

acesso do que entra e do que sai da DMZ,

através de uma camada adicional de

segurança. Essa estratégia reduziu ainda

mais a vulnerabilidade do tráfego de

informações não desejadas na rede,

limitando um potencial dano em caso de

invasão e acesso aos dados do PI System.

© Copyr i gh t 2014 -15 OSIso f t , LLC. 22

Eduardo Batista Teixeira

eduardo.teixeira@valefert.com

Analista de Arquitetura de TI

Vale Fertilizantes

Pedro Henrique Moura Costa

pedro.costa@tsaengenharia.com.br

Analista de Sistemas

TSA Engenharia

© Copyr i gh t 2014 -15 OSIso f t , LLC.

Brought to you by