Upload
duongkhue
View
213
Download
0
Embed Size (px)
Citation preview
Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
Relatório técnico
Maio de 2015
Número de referência do documento: ENET-WP037A-PT-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment.
• Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
Implantação de serviços de identidade em uma arquit
ENET-WP037A-PT-P
Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
Conforme os métodos de acesso à rede Industrial se expandem, a complexidade do gerenciamento da segurança de acesso de rede e do controle de riscos desconhecidos continua a aumentar. Com uma crescente demanda por acesso na fábrica por parte de empreiteiros (como fabricantes de máquinas e integradores de sistemas), as redes em toda a fábrica enfrentam ameaças contínuas à segurança.
As redes do sistema de controle e automação industrial (IACS) geralmente estão abertas por padrão, o que facilita a coexistência da tecnologia e a interoperabilidade do IACS. As redes IACS devem ser protegidas por configuração e arquitetura, já que os computadores desconhecidos de empreiteiros apresentam desafios para a segurança das operações em toda a fábrica.
A gestão e a segurança da coexistência em evolução das tecnologias na fábrica exigem uma abordagem diferente. A Converged Plantwide Ethernet (CPwE) utiliza o Cisco Identity Services Engine (ISE) para suportar o acesso seguro centralmente gerenciado de computador com ou wireless às redes IACS por parte do pessoal da fábrica e dos empreiteiros.
A CPwE é a arquitetura subjacente que oferece serviços de rede padrão para dispositivos, equipamentos e disciplinas de informação e controle encontrados em aplicações de IACS modernas. O Cisco ISE é utilizado em conjunto com a arquitetura CPwE para oferecer uma camada adicional e dinâmica de segurança de controle de acesso de rede, identificando o computador baseado na Microsoft®, o sistema operacional e o usuário conectado para levar as políticas de segurança até a infraestrutura de rede que o computador está acessando. A arquitetura CPwE fornece orientações de projeto e implementação para atingir os requisitos em tempo real de comunicação, confiabilidade, expansibilidade, segurança e resiliência do IACS. O Cisco ISE constrói em cima da arquitetura da rede e das melhores práticas definidas com um modelo de arquitetura gerenciado de forma centralizada em que o departamento de TI mantém o gerenciamento da plataforma Cisco ISE que opera na zona industrial.
O CPwE Identity Services é levado ao mercado por meio de uma aliança estratégica entre a Cisco Systems® e a Rockwell Automation. O CPwE Identity Services Cisco Validated Design (CVD) fornece orientações de projeto e implementação para o Cisco Identity Services Engine dentro da zona industrial.
1etura Converged Plantwide Ethernet
Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
Controle de acesso seguro
Controle de acesso seguro
Conforme o número de computadores conhecidos e desconhecidos que se conectam à rede IACS continua a aumentar, os métodos para o gerenciamento de soluções de segurança diferentes e da mitigação de riscos continuam a amadurecer. A segurança física já não é suficiente para impedir as tentativas de acesso a uma rede IACS. Com a proliferação contínua da conectividade de computadores de empreiteiros e os já restritos recursos operacionais em toda a fábrica, o impacto potencial da não identificação e da não remediação das ameaças à segurança apresenta risco significativo às operações em toda a fábrica. O CPwE Identity Services é uma nova abordagem para a gestão e a segurança da fábrica em evolução.
A proteção de ativos IACS requer uma abordagem de segurança com defesa profunda gerenciável centralmente que aborde as ameaças internas à segurança. O Cisco ISE suporta métodos de acesso com e sem fio para proteger diferentes métodos de acesso às redes IACS por parte do pessoal da fábrica e de empreiteiros.
A Estrutura de Segurança de Rede Industrial CPwE (Figura1) usa uma abordagem com defesa profunda e está alinhada a padrões de segurança industrial como Segurança de IACS ISA/IEC-62443 (anteriormente ISA-99) e Segurança de Sistema de Controle Industrial (ICS) NIST 800-82.
Projetar e implementar uma estrutura de segurança de acesso de rede IACS abrangente deve ser uma extensão natural do IACS e não deve ser implementada como uma ideia adicional. A estrutura de segurança de acesso de rede industrial deve ser generalizada e central para o IACS. No entanto, além das implantações de IACS existentes, as mesmas camadas com defesa profunda podem ser aplicadas de maneira incremental para ajudar a aprimorar a atitude de segurança de acesso do IACS.
As camadas com defesa profunda da CPwE (Figura1) incluem:
• Engenheiros de sistemas de controle (destacados em castanho): reforço de dispositivos IACS (por exemplo, físico e eletrônico), reforço de dispositivos de infraestrutura (por exemplo, segurança portuária), segmentação de rede, autenticação, autorização e contabilização (AAA) de aplicações IACS
• Engenheiros de sistemas de controle em colaboração com engenheiros de rede de TI (destacados em azul): firewall de política com base em zona na aplicação IACS, reforço de sistema operacional, reforço de dispositivos de rede (como controle de acesso, resistência), políticas de acesso de LAN com fio e wireless
• Arquitetos de segurança de TI em colaboração com engenheiros de sistemas de controle (destacados em roxo): serviços de identidade (com fio e sem fio), Active Directory (AD), servidores de acesso remoto, firewalls de fábrica, melhores práticas de projeto de Zona Desmilitarizada Industrial (IDMZ)
2Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
ENET-WP037A-PT-P
Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
Gestão de políticas de acesso de rede unificada para CPwE
Figura1 Estrutura de segurança de rede industrial da CPwE
Gestão de políticas de acesso de rede unificada para CPwE
O Cisco Identity Services Engine capacita a TI empresarial para ajudar a garantir o acesso com fio e wireless altamente protegido dentro da fábrica, oferecendo:
• Gestão centralizada de políticas abrangente
• Integração de dispositivo aprimorada
• Aplicação dinâmica
Um modelo de política baseado em regras e orientado por atributos é fornecido para criar políticas de controle de acesso. O Cisco ISE inclui a capacidade de criar políticas refinadas. Atributos também podem ser criados de maneira dinâmica e salvos para uso posterior conforme novas operações e novos dispositivos de gestão forem introduzidos à rede IACS.
Como mostrado na Figura 2, o CPwE Identity Services é compatível com vários repositórios de identidade externos, incluindo o Active Directory para autenticação e autorização. Os administradores de rede em toda a fábrica podem configurar e gerenciar centralmente o acesso com e sem fio para funcionários, convidados, fornecedores e empreiteiros, com base em serviços de autenticação e autorização disponíveis a partir de um console GUI baseado na Web. O Cisco ISE simplifica a administração ao oferecer gestão central integrada a partir de uma única interface administrativa para ambientes de rede distribuída.
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
3Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
ENET-WP037A-PT-P
Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
Serviços de identidade Converged Plantwide Ethernet
Figura 2 Serviços de identidade unificada para acesso com e sem fio
Por meio da incorporação do Cisco ISE, políticas de provisão são aplicadas na rede em tempo real, de forma que os usuários tenham acesso consistente a seus serviços a partir de conexões com e sem fio:
• Dispositivos desconhecidos são direcionados para um destino seguro definido administrativamente, sem acesso a recursos locais dentro das operações do lado da fábrica.
• Dispositivos confiáveis têm acesso às plataformas essenciais dentro da zona industrial.
Esses recursos de detecção de dispositivos são integrados nos switches Allen-Bradley® Stratix e Cisco® e nos controladores LAN sem fio (WIC) da Cisco, controlando centralmente a criação de perfis em toda a rede no ponto de entrada e sem os custos e o gerenciamento de aparelhos de sobreposição, dispositivos autônomos ou substituição de infraestrutura.
Serviços de identidade Converged Plantwide EthernetA criação de perfis de dispositivos dentro da zona industrial é baseada em um serviço de gerador de perfis de dispositivos que identifica computadores específicos que se conectam à rede em toda a fábrica. O serviço de criação de perfis no Cisco ISE identifica computadores específicos que se conectam a uma porta de conveniência do switch dentro da zona de área/célula e sua localização, ou após a conexão inicial à rede wireless da fábrica. Os dispositivos específicos são perfilados com base nas políticas de criação de perfis de ponto de extremidade configuradas no Cisco ISE, que depois concede permissão aos computadores específicos para acessarem a rede em toda a fábrica com base no resultado da avaliação da política ou encaminha o computador não confiável a um destino seguro administrativamente definido. O serviço de criação de perfis facilita o gerenciamento de autenticação usando o controle de acesso de autenticação com base em portas 802.1X padrão IEEE, compatível nos switches Ethernet industriais (IES) Stratix e Cisco compatíveis na arquitetura CPwE.
Por meio da criação de perfis de computadores, o Cisco ISE garantirá que apenas computadores confiáveis do pessoal da fábrica e de empreiteiros acessem a rede em toda a fábrica. Com base na identidade do usuário ou do computador, o Cisco ISE envia regras de acesso seguro ao Stratix
EnterpriseWAN
Firewalls(Active/Standby)
MCC
Enterprise Zone: Levels 4-5
IO
Level 3Site Operations
Drive
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
FactoryTalk Client
Internet
ExternalDMZ / Firewall
WGB
IO
WLC (Active)
ISE PSN
WLC (Standby)
PACPAC
PACLevels 0-2Cell/Area Zone
Distribution switch
LWAP
3746
40
WLC (Enterprise)
ISE MnT
ISE PAN/PSN
Remote Access Server (RAS)
ISE Synchronization
ISE Logging
Laptop Client
Core switches
Core switches
4Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
ENET-WP037A-PT-P
Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
Resumo
ou ao Cisco IES, de forma que a aplicação consistente das políticas esteja garantida para as operações em toda a fábrica, de onde quer que o usuário ou o computador esteja tentando acessar a rede.
O CPwE Identity Services possibilita flexibilidade centralizada em toda a fábrica na decisão de como implementar políticas para convidados. O Cisco ISE oferece um portal de registro de autoatendimento para que o pessoal da fábrica, os fornecedores, os parceiros e os convidados registrem e configurem novos dispositivos automaticamente, de acordo com as políticas empresariais definidas pelas operações em toda a fábrica. O CPwE Identity Services permite que a TI estabeleça a criação de perfis e a provisão automatizadas de dispositivos em toda a fábrica, além de manter o processo simples para que o pessoal da fábrica entre com seus computadores na rede em toda a fábrica com ajuda limitada da TI.
ResumoNa zona industrial, o CPwE Identity Services:
• Oferece gestão centralizada de identidade sensível ao contexto, essencial para a gestão do controle de acesso dentro de uma zona industrial.
• Determina se os usuários estão acessando a rede em um computador autorizado e em conformidade com as políticas e atribui o acesso com base na função de usuário atribuído, no grupo e nas políticas associadas. Variáveis como funcionário, fornecedor, parceiro, cargo, localização e tipo de dispositivo são levadas em consideração.
• Concede acesso a usuários autenticados a segmentos específicos da zona industrial com base nos resultados da autenticação.
As redes IACS dependem da interoperabilidade de IACS e da coexistência de tecnologias. Da mesma forma, as redes IACS também devem ser protegidas, impedindo que dispositivos desconhecidos e não confiáveis ameacem as operações em toda a fábrica. O CPwE Identity Services é uma camada centralmente gerenciada de proteção de acesso à rede além de redes industriais com e sem fio distribuídas na zona industrial. A integração do Identity Services na Zona Industrial oferece uma gama de opções de controle de acesso para as operações em toda a fábrica. O CPwE Identity Services cria e distribui políticas de acesso em tempo real, permitindo que o pessoal da fábrica e os empreiteiros tenham acesso consistente a partir de qualquer lugar em que acessem a rede em toda a fábrica.
Nota Esta versão da arquitetura CPwE se concentra em EtherNet/IP, que é acionada pelo protocolo industrial comum (CIP) ODVA. Consulte a seção Protocolos de Comunicação IACS do Guia de implementação e projeto da CPwE.
Site da Rockwell Automation
http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf
Site da Cisco:
http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html
5Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
ENET-WP037A-PT-P
Implantação de serviços de identidade em uma arquitetura Converged Plantwide Ethernet
A Cisco é líder mundial em redes, transformando a forma como as pessoas se conectam, comunicam e colaboram. Informações sobre a Cisco podem ser encontradas em
www.cisco.com. Para notícias atuais, acesse http://newsroom.cisco.com. Os equipamentos da Cisco na Europa são fornecidos pela Cisco Systems International BV,
subsidiária da Cisco Systems, Inc.
www.cisco.com
Matriz corporativa nas AméricasCisco Systems, Inc.
San Jose, CA
Matriz corporativa na Ásia-PacíficoCisco Systems (USA) Pte. Ltd.
Cingapura
Matriz corporativa na EuropaCisco Systems International BV
Amsterdã, Holanda
A Cisco tem mais de 200 escritórios no mundo todo. Endereços, números de telefones e faxes podem ser encontrados no site da Cisco em www.cisco.com/go/offices.
Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou suas afiliadas nos EUA e em outros países. Para exibir uma lista com as marcas comer-
ciais da Cisco, visite: www.cisco.com/go/trademarks. As marcas comerciais de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra
parceiro não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1110R)
A Rockwell Automation é fornecedora líder de soluções de alimentação, controle e informações que permitem aos clientes obter produtos mais rapidamente no mercado,
reduzindo os custos totais de propriedade, melhorando a utilização dos ativos da fábrica e minimizando os riscos nos ambientes de produção.
www.rockwellautomation.com
Américas:Rockwell Automation
1201 South Second Street
Milwaukee, WI 53204-2496 EUA
Tel: (1) 414.382.2000, fax: (1) 414.382.4444
Ásia-Pacífico:Rockwell Automation
Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
Tel: (852) 2887 4788, fax: (852) 2508 1846
Europa/Oriente Médio/África: Rockwell Automation
NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Bélgica
Tel: (32) 2 663 0600, fax: (32) 2 663 0640
Allen-Bradley, FactoryTalk, Integrated Architecture, Stratix 8000, Stratix 5700, Stratix 8000 e Studio 5000 são
marcas comerciais da Rockwell Automation, Inc.
Microsoft é uma marca comercial da Microsoft Systems. EtherNet/IP é uma marca comercial da ODVA.
© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Todos os direitos reservados.
Publicação ENET-WP037A-PT-P Maio de 2015