Upload
doanbao
View
217
Download
1
Embed Size (px)
Citation preview
© Copyr i gh t 2014 -15 OSIso f t , LLC.
Presented by
DMZ na
Integração TI x
TA, para o PI
System
Eduardo Teixeira
Pedro Henrique Moura Costa - TSA
© Copyr i gh t 2014 -15 OSIso f t , LLC. 2
TSA Engenharia
Mais de 600 projetos executados - 30% - Turn-key
300 funcionários – Belo Horizonte , Vitória e Parauapebas
Presente em mais de 80 clientes nas áreas de mineração, metalurgia, siderurgia, cimento, petroquímica, energia elétrica e petróleo e gás
21 anos de atuação nacional e internacional
Faturamento 50 milhões
© Copyr i gh t 2014 -15 OSIso f t , LLC. 3
TSA Engenharia – PIMS
A EMPRESA
09 Anos de experiência.
É a principal empresa integradora PIMS no Brasil
Equipe PIMS com mais de 20 profissionais
© Copyr i gh t 2014 -15 OSIso f t , LLC. 4
TSA Engenharia – Clientes
© Copyr i gh t 2014 -15 OSIso f t , LLC. 5
Necessidades do projeto
• Implantação da solução PIMS em 3 unidades
distintas, porém atendendo aos mesmos
requisitos
• Prover a segregação de funções entre TI x TA e
simultaneamente prover a integração entre
ambos os domínios
• Elevar ao máximo o nível de segurança
© Copyr i gh t 2014 -15 OSIso f t , LLC. 6
Proposta Inicial: Infraestrutura PI System
Domínio Aplicativos
Historiador •PIMS Server Archives – (DataBase)
•Ferramentas de gerenciamento PIMS
Ferramentas Analíticas •Softwares proprietários para cálculos matemáticos
•Software proprietários para batelada (Batch)
•Driver OLEDB para PIMS
Distribuição •Software proprietário para Notificação de alarmes & eventos
•Software para estruturação de TAG´s
•Desenvolvimentos customizados (Framework)
•Driver OLEDB para PIMS
DB Relacional •Banco de dados relacional
Cliente •Editor de planilhas eletrônicas
•Plugin para planilhas eletrônicas
•Software Cliente para o PIMS
•Navegador para internet
Colaboração •Software para colaboração
© Copyr i gh t 2014 -15 OSIso f t , LLC. 7
A solução (Mais com menos)
Domínio Aplicativos Produtos
Historiador •PIMS Server Archives – (DataBase)
•Ferramentas de gerenciamento PIMS
•Software para Notificação de alarmes &
eventos
•PI Server
•PI-SMT
•PI Notifications
Aplicação /
Colaboração
•Software para estruturação de TAG´s
•Desenvolvimentos customizados
(Framework)
•Softwares proprietários para cálculos
matemáticos
•Software proprietários para batelada (Batch)
•Driver OLEDB para PIMS
•Software para colaboração
•PI AF
•.Net Framework
•PI ACE
•PI Batch
•PI OLEDB
• Microsoft Sharepoint
Foundation 2010 / Integração
com Reporting Services
•PI WebParts
DB Relacional •Banco de dados relacional •Microsoft SQL Server 2012
Cliente •Editor de planilhas eletrônicas
•Plugin para Microsoft Excel 2007 SP2 ou
superior
•Software Cliente para o PIMS
•Navegador para internet
•Microsoft Office 2010 Pro
•PI DataLink (Excel)
•PI Visualization
•Internet Explorer 10
© Copyr i gh t 2014 -15 OSIso f t , LLC. 8
Segredo: Servidores virtualizados e
integração com a Microsoft• Centralização: Único servidor físico, além do menor gasto econômico com diversos
equipamentos, gera economia na manutenção do ambiente.
• Segregação de funções: Tanto os serviços de operação, administração e
desenvolvimento são divididas e poderão ser geridas por diferentes frentes.
• Balanceamento de carga: Cada camada da solução será responsável pelo
processamento de suas competências de forma isolada.
• Escalabilidade vertical e horizontal: Adicionar novos servidores para melhorar o
ambiente de processamento a qualquer momento, bem como elevar novos
aplicativos (customizados ou terceiros) para suportar as mudanças de negócio.
• Segurança: Toda aplicação será integrada no diretório de redes (AD) Corporativo,
tanto para a solução do PIMS como para colaboração com o Microsoft Sharepoint.
• Economia:– Virtualização: Redução na aquisição de hardware, melhoria na gestão, manutenção, energia elétrica entre
outras.
– Adoção de solução colaborativa: O Microsoft Sharepoint permitirá economia em horas de engenharia e
integrado com os produtos da OSISoft, permitirá soluções out-of-box, reduzindo o desenvolvimento e
mitigando erros em fases do desenvolvimento de software.
© Copyr i gh t 2014 -15 OSIso f t , LLC.
Presented by
Segurança e
responsabilidades:
Segregando papeis
de TI x TA utilizando
DMZ
© Copyr i gh t 2014 -15 OSIso f t , LLC. 10
Antes, o que é DMZ?
• DMZ, ou "zona desmilitarizada", é uma pequena
rede situada entre outras duas redes;
normalmente é empregada para hospedar
serviços que possuem acesso externo junto em
uma rede local, limitando assim o potencial
dano em caso de invasão. A configuração é
realizada através de VLANS, Switchs e do uso
de Firewalls, que controlam as requisições entre
as duas redes separadas(TI-TA) e a DMZ.
© Copyr i gh t 2014 -15 OSIso f t , LLC. 11
Papéis e Responsabilidades: O PI
System compartilhado entre a TI x TA
• O PI System, por sua essência, pode ser
considerado como um sistema híbrido do
ponto de vista de redes, visto que, para a
maioria dos casos, o dado de processo é
proveniente do ambiente de TA e sua publicação
no ambiente corporativo, comumente tratado
como TI.
© Copyr i gh t 2014 -15 OSIso f t , LLC. 12
Solução: Uso da DMZ?
• Pelas características proprietárias e distintas
dos dois ambientes TI e TA, observa-se a
existência de governanças específicas na
gestão desses universos.
• Devido à isso o, que fazer com o PI System,
garantindo a não vulnerabilidade no tráfego de
informação entre esses ambientes?
© Copyr i gh t 2014 -15 OSIso f t , LLC.
Presented by
Diferentes soluções
para o mesmo
problema
© Copyr i gh t 2014 -15 OSIso f t , LLC. 14
Como manter a segurança e permitir o
Single sign-on (SSO)
• A grande parcela dos usuários do PI System são
provenientes da rede corporativa
• O PI System é uma aplicação habilitada para
diretórios.
© Copyr i gh t 2014 -15 OSIso f t , LLC. 15
Arquitetura 1 – Cross-Domain
PI Interface & OPC Server
Data Sources (DCS, PLC, and so on...)
DMZ
Corporate
Network
Process
Control
Network
Automation NetworkSQL Server
2008PI Server,
Notification& Batch
PI AF, ACE & WebParts
`
`
`
Estabelecer a relação de confiança (one-way)
Domínio Corporativo confiável dentro Domínio DMZ
Criar um novo domínio
Data Sources(DCS, PLC, and soon...)
PI Interface & OPC Server
DMZ DC
Reaproveitar um
servidor (Não
recomendado)
© Copyr i gh t 2014 -15 OSIso f t , LLC. 16
Arquitetura 2 – AD LDS or AD FS
PI Interface & OPC Server
Data Sources (DCS, PLC, and so on...)
DMZ
Corporate
Network
Process
Control
Network
Automation NetworkSQL Server
2008PI Server,
Notification & Batch
PI AF, ACE & WebParts
`
`
`
Sincronismo contas - LAN p/ DMZ.
Se LDS = Habilitar este serviço no PI
Server senão FS = Criar novo servidor
Data Sources (DCS, PLC, and so on...)
PI Interface & OPC Server
Corporate AD with LDS
DMZ AD LDS orFS
Não seria preciso
criar um novo
domínio
© Copyr i gh t 2014 -15 OSIso f t , LLC. 17
Arquitetura 3 – PI-2-PI
PI Interface & OPC Server
Data Sources (DCS, PLC, and so on...)
DMZ
Corporate
Network
Process
Control
Network
Automation Network
SQL Server 2008
PI Server, Notification
& Batch
PI AF, ACE & WebParts
`
`
`
Usuários utilizariam o
SSOTodos servidores PI no
domínio corporativo
PI Server(DB Replication)
Data Sources(DCS, PLC, and soon...)
PI Interface & OPC Server
© Copyr i gh t 2014 -15 OSIso f t , LLC. 18
Arquitetura 4 – Third-party solution -
Interface Gateway
PI Interface & OPC Server
Data Sources (DCS, PLC, and so on...)
DMZ
Corporate
Network
Process
Control
Network
Automation Network
SQL Server 2008
PI Server, Notification
& Batch
PI AF, ACE & WebParts
`
`
`
Usuários utilizam
SSOServidores no domínio
corporativo
Third-party appGateway, such as
Matrikon, Kepware...
Data Sources(DCS, PLC, and soon...)
PI Interface & OPC Server
© Copyr i gh t 2014 -15 OSIso f t , LLC. 19
Arquitetura 5 – Custom APP
PI Interface & OPC Server
Data Sources (DCS, PLC, and so on...)
DMZ
Corporate
Network
Process
Control
Network
Automation Network
SQL Server 2008
PI Server, Notification &
Batch
PI AF, ACE & WebParts
`
`
`
Usuários
utilizariam SSO
Servidores
no domínio
corporativo
Interface
Data Sources (DCS, PLC, and so on...)
PI Interface & OPC Server
Utilizando
o PI SDK
© Copyr i gh t 2014 -15 OSIso f t , LLC. 20
Arquitetura Final – Menor custo Maior Gestão
PI Interface & OPC Server
Data Sources (DCS, PLC, and so on...)
DMZ
Corporate
Network
Process
Control
Network
Automation NetworkSQL Server 2008
PI Server, Notification &
Batch
PI AF, ACE & WebParts
`
`
`
Data Sources (DCS, PLC, and so on...)
PI Interface & OPC Server
Confirar os protocolos de
comunicação do PI
System para o domínio
corporativo
Usuários utilizam
SSO
Todos Servidores do PI estão nas
políticas de TI (WSUS, Polices, etc)
© Copyr i gh t 2014 -15 OSIso f t , LLC. 21
• Maior controle de acesso à
rede onde se encontra o PI
System e
consequentemente maior
segurança ao sistema
contra tráfego de rede
indesejado.
Solution Results and Benefits
Resultados
Business Challenge
• Reduzir qualquer risco de
invasão indesejada ao PI
System.
Implementação de uma
arquitetura de rede com a
utilização de DMZ.
Adotar a arquitetura da rede utilizando-se
uma DMZ, permitiu o maior controle de
acesso do que entra e do que sai da DMZ,
através de uma camada adicional de
segurança. Essa estratégia reduziu ainda
mais a vulnerabilidade do tráfego de
informações não desejadas na rede,
limitando um potencial dano em caso de
invasão e acesso aos dados do PI System.
© Copyr i gh t 2014 -15 OSIso f t , LLC. 22
Eduardo Batista Teixeira
Analista de Arquitetura de TI
Vale Fertilizantes
Pedro Henrique Moura Costa
Analista de Sistemas
TSA Engenharia
© Copyr i gh t 2014 -15 OSIso f t , LLC.
Brought to you by