Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

Relatório técnico

Maio de 2015

Número de referência do documento: ENET-WP037A-PT-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment.

• Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Implantação de serviços de identidade em uma arquit

ENET-WP037A-PT-P

Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

Conforme os métodos de acesso à rede Industrial se expandem, a complexidade do gerenciamento da segurança de acesso de rede e do controle de riscos desconhecidos continua a aumentar. Com uma crescente demanda por acesso na fábrica por parte de empreiteiros (como fabricantes de máquinas e integradores de sistemas), as redes em toda a fábrica enfrentam ameaças contínuas à segurança.

As redes do sistema de controle e automação industrial (IACS) geralmente estão abertas por padrão, o que facilita a coexistência da tecnologia e a interoperabilidade do IACS. As redes IACS devem ser protegidas por configuração e arquitetura, já que os computadores desconhecidos de empreiteiros apresentam desafios para a segurança das operações em toda a fábrica.

A gestão e a segurança da coexistência em evolução das tecnologias na fábrica exigem uma abordagem diferente. A Converged Plantwide Ethernet (CPwE) utiliza o Cisco Identity Services Engine (ISE) para suportar o acesso seguro centralmente gerenciado de computador com ou wireless às redes IACS por parte do pessoal da fábrica e dos empreiteiros.

A CPwE é a arquitetura subjacente que oferece serviços de rede padrão para dispositivos, equipamentos e disciplinas de informação e controle encontrados em aplicações de IACS modernas. O Cisco ISE é utilizado em conjunto com a arquitetura CPwE para oferecer uma camada adicional e dinâmica de segurança de controle de acesso de rede, identificando o computador baseado na Microsoft®, o sistema operacional e o usuário conectado para levar as políticas de segurança até a infraestrutura de rede que o computador está acessando. A arquitetura CPwE fornece orientações de projeto e implementação para atingir os requisitos em tempo real de comunicação, confiabilidade, expansibilidade, segurança e resiliência do IACS. O Cisco ISE constrói em cima da arquitetura da rede e das melhores práticas definidas com um modelo de arquitetura gerenciado de forma centralizada em que o departamento de TI mantém o gerenciamento da plataforma Cisco ISE que opera na zona industrial.

O CPwE Identity Services é levado ao mercado por meio de uma aliança estratégica entre a Cisco Systems® e a Rockwell Automation. O CPwE Identity Services Cisco Validated Design (CVD) fornece orientações de projeto e implementação para o Cisco Identity Services Engine dentro da zona industrial.

1etura Converged Plantwide Ethernet

Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

Controle de acesso seguro

Controle de acesso seguro

Conforme o número de computadores conhecidos e desconhecidos que se conectam à rede IACS continua a aumentar, os métodos para o gerenciamento de soluções de segurança diferentes e da mitigação de riscos continuam a amadurecer. A segurança física já não é suficiente para impedir as tentativas de acesso a uma rede IACS. Com a proliferação contínua da conectividade de computadores de empreiteiros e os já restritos recursos operacionais em toda a fábrica, o impacto potencial da não identificação e da não remediação das ameaças à segurança apresenta risco significativo às operações em toda a fábrica. O CPwE Identity Services é uma nova abordagem para a gestão e a segurança da fábrica em evolução.

A proteção de ativos IACS requer uma abordagem de segurança com defesa profunda gerenciável centralmente que aborde as ameaças internas à segurança. O Cisco ISE suporta métodos de acesso com e sem fio para proteger diferentes métodos de acesso às redes IACS por parte do pessoal da fábrica e de empreiteiros.

A Estrutura de Segurança de Rede Industrial CPwE (Figura1) usa uma abordagem com defesa profunda e está alinhada a padrões de segurança industrial como Segurança de IACS ISA/IEC-62443 (anteriormente ISA-99) e Segurança de Sistema de Controle Industrial (ICS) NIST 800-82.

Projetar e implementar uma estrutura de segurança de acesso de rede IACS abrangente deve ser uma extensão natural do IACS e não deve ser implementada como uma ideia adicional. A estrutura de segurança de acesso de rede industrial deve ser generalizada e central para o IACS. No entanto, além das implantações de IACS existentes, as mesmas camadas com defesa profunda podem ser aplicadas de maneira incremental para ajudar a aprimorar a atitude de segurança de acesso do IACS.

As camadas com defesa profunda da CPwE (Figura1) incluem:

• Engenheiros de sistemas de controle (destacados em castanho): reforço de dispositivos IACS (por exemplo, físico e eletrônico), reforço de dispositivos de infraestrutura (por exemplo, segurança portuária), segmentação de rede, autenticação, autorização e contabilização (AAA) de aplicações IACS

• Engenheiros de sistemas de controle em colaboração com engenheiros de rede de TI (destacados em azul): firewall de política com base em zona na aplicação IACS, reforço de sistema operacional, reforço de dispositivos de rede (como controle de acesso, resistência), políticas de acesso de LAN com fio e wireless

• Arquitetos de segurança de TI em colaboração com engenheiros de sistemas de controle (destacados em roxo): serviços de identidade (com fio e sem fio), Active Directory (AD), servidores de acesso remoto, firewalls de fábrica, melhores práticas de projeto de Zona Desmilitarizada Industrial (IDMZ)

2Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

ENET-WP037A-PT-P

Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

Gestão de políticas de acesso de rede unificada para CPwE

Figura1 Estrutura de segurança de rede industrial da CPwE

Gestão de políticas de acesso de rede unificada para CPwE

O Cisco Identity Services Engine capacita a TI empresarial para ajudar a garantir o acesso com fio e wireless altamente protegido dentro da fábrica, oferecendo:

• Gestão centralizada de políticas abrangente

• Integração de dispositivo aprimorada

• Aplicação dinâmica

Um modelo de política baseado em regras e orientado por atributos é fornecido para criar políticas de controle de acesso. O Cisco ISE inclui a capacidade de criar políticas refinadas. Atributos também podem ser criados de maneira dinâmica e salvos para uso posterior conforme novas operações e novos dispositivos de gestão forem introduzidos à rede IACS.

Como mostrado na Figura 2, o CPwE Identity Services é compatível com vários repositórios de identidade externos, incluindo o Active Directory para autenticação e autorização. Os administradores de rede em toda a fábrica podem configurar e gerenciar centralmente o acesso com e sem fio para funcionários, convidados, fornecedores e empreiteiros, com base em serviços de autenticação e autorização disponíveis a partir de um console GUI baseado na Web. O Cisco ISE simplifica a administração ao oferecer gestão central integrada a partir de uma única interface administrativa para ambientes de rede distribuída.

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••

3Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

ENET-WP037A-PT-P

Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

Serviços de identidade Converged Plantwide Ethernet

Figura 2 Serviços de identidade unificada para acesso com e sem fio

Por meio da incorporação do Cisco ISE, políticas de provisão são aplicadas na rede em tempo real, de forma que os usuários tenham acesso consistente a seus serviços a partir de conexões com e sem fio:

• Dispositivos desconhecidos são direcionados para um destino seguro definido administrativamente, sem acesso a recursos locais dentro das operações do lado da fábrica.

• Dispositivos confiáveis têm acesso às plataformas essenciais dentro da zona industrial.

Esses recursos de detecção de dispositivos são integrados nos switches Allen-Bradley® Stratix e Cisco® e nos controladores LAN sem fio (WIC) da Cisco, controlando centralmente a criação de perfis em toda a rede no ponto de entrada e sem os custos e o gerenciamento de aparelhos de sobreposição, dispositivos autônomos ou substituição de infraestrutura.

Serviços de identidade Converged Plantwide EthernetA criação de perfis de dispositivos dentro da zona industrial é baseada em um serviço de gerador de perfis de dispositivos que identifica computadores específicos que se conectam à rede em toda a fábrica. O serviço de criação de perfis no Cisco ISE identifica computadores específicos que se conectam a uma porta de conveniência do switch dentro da zona de área/célula e sua localização, ou após a conexão inicial à rede wireless da fábrica. Os dispositivos específicos são perfilados com base nas políticas de criação de perfis de ponto de extremidade configuradas no Cisco ISE, que depois concede permissão aos computadores específicos para acessarem a rede em toda a fábrica com base no resultado da avaliação da política ou encaminha o computador não confiável a um destino seguro administrativamente definido. O serviço de criação de perfis facilita o gerenciamento de autenticação usando o controle de acesso de autenticação com base em portas 802.1X padrão IEEE, compatível nos switches Ethernet industriais (IES) Stratix e Cisco compatíveis na arquitetura CPwE.

Por meio da criação de perfis de computadores, o Cisco ISE garantirá que apenas computadores confiáveis do pessoal da fábrica e de empreiteiros acessem a rede em toda a fábrica. Com base na identidade do usuário ou do computador, o Cisco ISE envia regras de acesso seguro ao Stratix

EnterpriseWAN

Firewalls(Active/Standby)

MCC

Enterprise Zone: Levels 4-5

IO

Level 3Site Operations

Drive

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

FactoryTalk Client

Internet

ExternalDMZ / Firewall

WGB

IO

WLC (Active)

ISE PSN

WLC (Standby)

PACPAC

PACLevels 0-2Cell/Area Zone

Distribution switch

LWAP

3746

40

WLC (Enterprise)

ISE MnT

ISE PAN/PSN

Remote Access Server (RAS)

ISE Synchronization

ISE Logging

Laptop Client

Core switches

Core switches

4Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

ENET-WP037A-PT-P

Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

Resumo

ou ao Cisco IES, de forma que a aplicação consistente das políticas esteja garantida para as operações em toda a fábrica, de onde quer que o usuário ou o computador esteja tentando acessar a rede.

O CPwE Identity Services possibilita flexibilidade centralizada em toda a fábrica na decisão de como implementar políticas para convidados. O Cisco ISE oferece um portal de registro de autoatendimento para que o pessoal da fábrica, os fornecedores, os parceiros e os convidados registrem e configurem novos dispositivos automaticamente, de acordo com as políticas empresariais definidas pelas operações em toda a fábrica. O CPwE Identity Services permite que a TI estabeleça a criação de perfis e a provisão automatizadas de dispositivos em toda a fábrica, além de manter o processo simples para que o pessoal da fábrica entre com seus computadores na rede em toda a fábrica com ajuda limitada da TI.

ResumoNa zona industrial, o CPwE Identity Services:

• Oferece gestão centralizada de identidade sensível ao contexto, essencial para a gestão do controle de acesso dentro de uma zona industrial.

• Determina se os usuários estão acessando a rede em um computador autorizado e em conformidade com as políticas e atribui o acesso com base na função de usuário atribuído, no grupo e nas políticas associadas. Variáveis como funcionário, fornecedor, parceiro, cargo, localização e tipo de dispositivo são levadas em consideração.

• Concede acesso a usuários autenticados a segmentos específicos da zona industrial com base nos resultados da autenticação.

As redes IACS dependem da interoperabilidade de IACS e da coexistência de tecnologias. Da mesma forma, as redes IACS também devem ser protegidas, impedindo que dispositivos desconhecidos e não confiáveis ameacem as operações em toda a fábrica. O CPwE Identity Services é uma camada centralmente gerenciada de proteção de acesso à rede além de redes industriais com e sem fio distribuídas na zona industrial. A integração do Identity Services na Zona Industrial oferece uma gama de opções de controle de acesso para as operações em toda a fábrica. O CPwE Identity Services cria e distribui políticas de acesso em tempo real, permitindo que o pessoal da fábrica e os empreiteiros tenham acesso consistente a partir de qualquer lugar em que acessem a rede em toda a fábrica.

Nota Esta versão da arquitetura CPwE se concentra em EtherNet/IP, que é acionada pelo protocolo industrial comum (CIP) ODVA. Consulte a seção Protocolos de Comunicação IACS do Guia de implementação e projeto da CPwE.

Site da Rockwell Automation

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

Site da Cisco:

http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html

5Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

ENET-WP037A-PT-P

Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet

A Cisco é líder mundial em redes, transformando a forma como as pessoas se conectam, comunicam e colaboram. Informações sobre a Cisco podem ser encontradas em

www.cisco.com. Para notícias atuais, acesse http://newsroom.cisco.com. Os equipamentos da Cisco na Europa são fornecidos pela Cisco Systems International BV,

subsidiária da Cisco Systems, Inc.

www.cisco.com

Matriz corporativa nas AméricasCisco Systems, Inc.

San Jose, CA

Matriz corporativa na Ásia-PacíficoCisco Systems (USA) Pte. Ltd.

Cingapura

Matriz corporativa na EuropaCisco Systems International BV

Amsterdã, Holanda

A Cisco tem mais de 200 escritórios no mundo todo. Endereços, números de telefones e faxes podem ser encontrados no site da Cisco em www.cisco.com/go/offices.

Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou suas afiliadas nos EUA e em outros países. Para exibir uma lista com as marcas comer-

ciais da Cisco, visite: www.cisco.com/go/trademarks. As marcas comerciais de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra

parceiro não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1110R)

A Rockwell Automation é fornecedora líder de soluções de alimentação, controle e informações que permitem aos clientes obter produtos mais rapidamente no mercado,

reduzindo os custos totais de propriedade, melhorando a utilização dos ativos da fábrica e minimizando os riscos nos ambientes de produção.

www.rockwellautomation.com

Américas:Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496 EUA

Tel: (1) 414.382.2000, fax: (1) 414.382.4444

Ásia-Pacífico:Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

Tel: (852) 2887 4788, fax: (852) 2508 1846

Europa/Oriente Médio/África: Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Bélgica

Tel: (32) 2 663 0600, fax: (32) 2 663 0640

Allen-Bradley, FactoryTalk, Integrated Architecture, Stratix 8000, Stratix 5700, Stratix 8000 e Studio 5000 são

marcas comerciais da Rockwell Automation, Inc.

Microsoft é uma marca comercial da Microsoft Systems. EtherNet/IP é uma marca comercial da ODVA.

© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Todos os direitos reservados.

Publicação ENET-WP037A-PT-P Maio de 2015