class 2016 - palestra eduardo fernandes
TRANSCRIPT
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Converged Plantwide Ethernet (CPwE)
Considerações de Projeto para Sistemas de Controle e Segurança Industrial de Automação
Eduardo FernandesBusiness Manager IT/OT
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Agenda
• Por que isso é importante?• Tendências de Segurança Industrial• Defesa em Profundidade• CPwE – Estrutura de Segurança de Rede Industrial• Pontos Importantes• Material Adicional
2
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Por que isso é importante?
3
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Industrial IoT Internet de Todas as Coisas
4
Por que isso é importante?• Arquiteturas de Redes Seguras para
Convergência IT/OT• Infraestrutura/ Arquitetura
escalável, robusta, segura e pronta para o futuro:
– Applicação
– Software
– RedeDefesa em Profundidade
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 5
Por que isso é importante?• Convergência Automação Industrial &
Sistema de Controle
Estruturada e RobustaIACS Network Infrastructure
Infraestrutura de Rede Automação Industrial e Sistemas de Controle
FLAT e Aberta
Infraestrutura de Rede IACSFlat e Aberta
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Tendências em Segurança Industrial
6
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Tendências em Segurança Industrial
• Segurança “Boa o suficiente" agora, é melhor do que segurança "perfeita" ... nunca (Tom West, Data General)
• Segurança em última análise, depende - e falha – no momento em que você acredita estar completa. Pessoas não gostam de estar completas. Pessoas ficam a caminho do que deve ser feito (Dave Piscitello)
• Sua segurança absoluta é tão forte quanto o seu elo mais fraco• Concentre-se em ameaças conhecidas, prováveis• Segurança não tem um estado final estático, é um processo
interativo• Você só tem de escolher dois dos três: rápido, seguro e barato
(Brett Eldridge)7
• Ditados em Segurança da Informação
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Tendências em Segurança Industrial
• International Society of Automation– IEC-62443 (Antiga ISA-99), Industrial Automation and Control Systems (IACS)
Security– Zonas e Canais– Defesa em profundidade– Implantação de IDMZ
• National Institute of Standards and Technology– NIST 800-82, Industrial Control System (ICS) Security– Estrutura Cybersecurity: Identificar, Proteger, Detectar, Responder, Recuperar– Defesa em profundidade– Implantação de IDMZ
• Department of Homeland Security / Idaho National Lab– DHS INL/EXT-06-11478– Cyber Security em Sistemas de Controle: Estratégias de Defesa em Camada– Defesa em profundidade– Implantação de IDMZ
8
• Padrões Estabelecidos de Segurança Industrial
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade
9
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade Abrangente
10
• Rede EtherNet/IP Industrial Automation and Control System - IACS
• Aberta por padrão para permitir a coexistência de tecnologia e a interoperabilidade entre dispositivos para Redes de Automação Industrial e Sistemas de Controle (IACS)
• Segurança via configuração e arquitetura:– Configuração
q Fortalecer a infraestrutura através da adoção de multiplas camadas de segurança com o metodo de seguranca em profundidade
– Arquiteturaq Estruturar a infraestrutura para defender a
borda - DMZ Industrial (IDMZ)
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade Abrangente
• Um programa de segurança industrial equilibrado deve abordar tanto os controles Técnicos e os controles não Técnicos
• Controles não-técnicos - Regras para ambientes:Ex. práticas corporativas, normas e padrões, programas de políticas, procedimentos, gestão de risco, programas de educação e sensibilização dos usuários.
• Controles Técnicos - tecnologia para fornecer medidas restritivas para controles não-técnicos: por exemplo, Firewalls, Grupos de Segurança, Layer 3 com listas de controle de acesso (ACLs)
• A segurança é tão forte quanto o elo mais fraco• Vigilância e atenção aos detalhes são a CHAVE para
o sucesso da segurança a longo prazo
11
• Elementos críticos para a Segurança Industrial
“Uma unica ação/ produto cobre tudo”
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade Abrangente
• Nenhum produto, tecnologia ou metodologia pode sozinho assegurar aplicações para redes IACS.
• Proteger os ativos da IACS requer uma abordagem de segurança em profundidade a qual aborde ameaças de segurança internas e externas.
• Esta abordagem se utiliza de multiplas camadas de defesa (física, procedimental e eletrônica) em níveis separados da IACS aplicando políticas e procedimentos para endereçar diferentes tipos de ameaças.
12
• Rede EtherNet/IP Industrial Automation and Control System - IACS
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade Abrangente
• Programas de Educação e Sensibilização – Treinamento da equipe de OT em políticas e procedimentos de segurança industrial em como agir no caso de um incidente de segurança
• Físico – limitar o acesso físico para pessoas autorizadas: sala de controle, celulas/areas, painel de controle, dispositivos IACS …. fechaduras, portões, chaves magneticas, biometria. Inclusão na politica de segurança, procedimentos e tecnologia para acompanhar e monitorar visitants
• Rede – CPwE Industrial Network Security Framework: modelo físico e lógico de rede com políticas de firewall, políticas de access control list (ACL) para switches e roteadores, AAA, IDS/IPS (detecção e prevenção de intrusão), Proteção Anti-Malware.
• Computadores em ambiente Industrial – gerenciamentos de patches, software anti-vírus, remoção de aplicações/ protocolos e serviços não utilizados fechando portas lógicas desnecessárias e protegendo portas físicas
• Aplicação – Autenticação, Autorização e Auditoria (AAA)• Dispositivos IACS– Gerenciamento de mudanças, criptografia de
comunicação e acesso restrito
13
• Políticas de Segurança Industrial Direcionamento e Técnicas de Controle
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 14
Defesa em Profundidade Abrangente• OSI 7-Layer Reference Model - Multiple Layers
of Security
CIP SecurityFactoryTalk® Security
Application
Presentation
Session
Transport
Network
Data Link
Physical
Layer 7
Layer 6
Layer 5
Layer 4
Layer 3
Layer 2
Layer 1
Network Services to User App
Encryption/Other processing
Manage Multiple Applications
Reliable End-to-End Delivery Error Correction
Packet Delivery, Routing
Framing of Data, Error Checking
Signal type to transmit bits, pin-outs, cable type
TLS / DTLS
IPsec / ACLs
MACsec / Port Security
Blockouts / Lock-ins
Layer NameLayer No. Function Examples
Open Systems Interconnection
Routers
Switches
Cabling/RF
IES
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
CPwE – Estrutura de Segurança de Rede Industrial
15
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 16
Estrutura de Segurança em Rede Industrial• Arquiteturas CPwE
Wireless LAN (WLAN)• Access Policy
§ Equipment SSID§ Plant Personnel SSID§ Trusted Partners SSID
• WPA2 with AES Encryption• Autonomous WLAN
§ Pre-Shared Key§ 802.1X - (EAP-FAST)
• Unified WLAN§ 802.1X - (EAP-TLS)§ CAPWAP DTLS
Standard DMZ Design BEST Practices
MCC
Enterprise Zone: Levels 4-5
Soft Starter
I/O
Physical or Virtualized Servers• Patch Management• AV Server• Application Mirror• Remote Desktop Gateway Server
Plant Firewalls• Active/Standby• Inter-zone traffic segmentation• ACLs, IPS and IDS• VPN Services• Portal and Remote Desktop Services proxy
Network Infrastructure• Hardening• Access Control• Resiliency
Level 0 - Process
Port Security• Physical• Electronic
Level 1 - Controller
VLANs, Segmenting Domains of Trust
FactoryTalk Security
Active Directory (AD)
Remote Access Server (RAS)
Level 3 – Site Operations
Controller
Network Statusand Monitoring
Drive
Level 2 – Area Supervisory Control
FactoryTalkClient
IndustrialFirewall
OS Hardening
Controller
Identity Services Engine (ISE)
IACS Device Hardening• Policies and Procedures• Physical Measures• Electronic Measures• Encrypted Communications
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3Authentication, Authorization and Accounting (AAA)
LWAP
SSID2.4 GHz
SSID5 GHz WGB
I/O
Active
Wireless LAN Controller (WLC)
Standby
CoreSwitches
DistributionSwitch Stack
Enterprise
Identity Services
External DMZ/ Firewall
Internet
Application Hardening
Control System Engineers
Control System Engineers in
Collaboration with IT Network Engineers
(Industrial IT)IT Security Architects in Collaboration with
Control Systems Engineers
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 17
Segurança de Porta• CPwE Industrial Network Security Framework -
FÍSICO § Bloqueios físicos para par
metálico e fibra§ Soluções com Trava local de
remoção asseguram as conexões físicas
§ Porta de acesso de dados (Cabo e Tomada com chaves)
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Firewall Industrial
• IACS com Firewall Next Generation (NGFW)– Deep Packet Inspection para protocolos da IACS– Dispositivos de rede montados em trilho DIN – Opções de Conectividade:
• (4) 1Gig Cobre• (2) 1Gig Cobre and (2) SFP
• Previne – Detecta - Responde• Tecnologias de ponta em segurança no
ambiente industrial: – Adaptive Security Appliance para Firewall e VPN– FirePOWER next-generation com Sistema de
Prevenção de Intrusos (NGIPS)– Melhorias com protocolos, gerenciamente e recursos
OT
18
• CPwE Industrial Network Security Framework
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 19
CPwE - Possible Deployment Models• CPwE Industrial Network Security Framework -
Industrial Firewall
MCC
Enterprise Zone: Levels 4–5
Soft Starter
I/O
Physical or Virtualized Servers• Patch Management• AV Server• Application Mirror• Remote Desktop Gateway Server
Level 0 - ProcessLevel 1 - Controller
Level 3 – Site Operations:
Controller
Drive
Level 2 – Area Supervisory Control
FactoryTalkClient
Controller
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0–3
Authentication, Authorization and Accounting (AAA)
LWAP
SSID2.4 GHz
SSID5 GHz WGB
I/O
Active
Wireless LAN Controller (WLC)
Standby
CoreSwitches
DistributionSwitch Stack
Enterprise Internet
External DMZ/ Firewall
IES
IES
IES
IES
IES
ASA with FirePOWER• IPS and AMP
Virtual FirePOWER• IPS and AMP
ISA 3000 / Stratix 5950 with FirePOWER (IPS)Transparent Mode
ISA 3000 / Stratix 5950 with FirePOWER (IPS)Transparent Mode
FireSIGHT
Cisco Prime InfrastructureISA 3000 / Stratix 5950 with FirePOWER (IDS)Monitor Mode
ISA 3000 / Stratix 5950 with FirePOWER (IPS)Routed Mode
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Identity Services Engine ISE
• Combina, autenticação, autorização e perfil dentro de uma única ferramenta.
• Coleta informações da rede em tempo real permitindo aos administradores a tomada de decisão sobre o acesso da rede.
• Se utiliza do controle de acesso na rede para gerenciar quais recursos usuários e convidados são permitidos a acessar
• Determina qual o tipo de dispositivos os usuários estão utilizando, e verifica se este acesso esta em conformidade com as políticas de segurança de acesso de software e hardware
• Gerencia acessos de conectividade em cobre e wireless 802.1X
20
• CPwE Industrial Network Security Framework
Converged Plantwide Ethernet (CPwE) Architectures
Deploying Identity Services within a Converged Plantwide Ethernet Architecture
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 21
Identity Services Engine• CPwE Industrial Network Security Framework -
ISE Enterprise WAN
Firewalls(Active/Standby)
Enterprise Zone: Levels 4-5
I/O
Level 3Site Operations
Drive
Industrial Demilitarized Zone (IDMZ)
FactoryTalk Client
Internet
ExternalDMZ / Firewall
WGB
WLC (Active)
WLC (Standby)
LWAP
Controller
Core switches
Distribution switch
Core switches
WLC (Enterprise)
ISE MnT
ISE PAN/PSN
ISE PSN
21
2
Controller Controller
Industrial ZoneLevels 0-3(Plant-wide Network)
Cell/Area Zones - Levels 0-2(Lines, Machines, Skids, Equipment)
IES
IES
IES
IES
IES
1
23
4
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 22
Industrial Demilitarized Zone (IDMZ)• Industrial Network Security Framework
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Remote Desktop Gateway Services
Patch Management
AV Server
Application Mirror
Web Services Operations
Reverse Proxy
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
FactoryTalk Application
Server
FactoryTalk Directory
Engineering Workstation
Remote Access Server
FactoryTalkClient
Operator Interface
FactoryTalkClient
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
ContinuousProcess Control
Safety Control
Sensors Drives Actuators Robots
EnterpriseSecurity Zone
IndustrialDMZ
IndustrialSecurity Zone(s)
Cell/Area Zones(s)
WebE-Mail
CIP
Firewall
Firewall
Site Operations
Area Supervisory
Control
Basic Control
Process
CPwE Logical ModelConverged Multi-discipline IACS
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Industrial Demilitarized Zone (IDMZ)
• Uma IDMZ, ou Zona Desmilitarizada Industrial, é uma sub- rede colocada entre uma rede confiável (industrial) e uma rede não confiável (corporativa) .
• A IDMZ contém ativos de contato com a camada de negócios da empresa que atuam como mediadores entre as redes confiáveis e não confiáveis.
• Tráfego nunca passa direto em uma IDMZ . • Uma IDMZ corretamente projetada pode ser desligada se for
comprometida e ainda permitir que a rede industrial possa operar sem interrupções.
23
• Industrial Network Security Framework
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Industrial Demilitarized Zone (IDMZ)
• Algumas vezes referida como o perímetro de uma rede que expõe uma das organizações a serviços externos para uma rede de modo não confiável . O objetivo da IDMZ é adicionar uma camada adicional de segurança para a rede segura no sistema de manufatura
24
• Industrial Network Security Framework
UNTRUSTED/TRUSTED
TRUSTED
BROKER
EnterpriseSecurity Zone
IndustrialDMZ
IndustrialSecurity Zone
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 25
Industrial Demilitarized Zone (IDMZ)• Industrial Network Security Framework
Firewalls(Active/Standby)
MCC
Enterprise ZoneLevels 4-5
IO
Level 3Site Operations
Drive
IndustrialDemilitarized Zone(IDMZ)
Industrial ZoneLevels 0-3
FactoryTalk Client
WGB
WLC (Active)
WLC (Standby)
LWAP
PACPAC
PAC
Levels 0-2 Cell/Area Zone
Core switches
Distribution switch
Core switches
WLC (Enterprise)
ISE (Enterprise)
Physical or Virtualized Servers• Application Servers & Services• Network Services – e.g. DNS, AD,
DHCP, AAA• Storage Array
Remote Access Server
Plant Manager
RemoteAccess
Untrusted
Untrusted
Block
Block
Permit
Remote Desktop Gateway
Permit
WebReports
Web Proxy
Firewall (Inspect Traffic)
Physical or Virtualized Servers• Patch Management• AV Server• Application Mirror
Wide Area Network (WAN)Physical or Virtualized Servers• ERP, Email• Active Directory (AD),
AAA – Radius• Call Manager
Firewall (Inspect Traffic)
Permitir o acesso remoto seguro aos ativos industriaisPermite a passagem de dados da Zona Industrial para Zona Coorporativa da empresa para tomada de decisão
Bloqueia Acesso não autorizado para Zona Industrial
Engineer
Bloqueia Acesso não autorizado para Zona Corporativa
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Pontos Importantes
26
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Pontos Importantes
• Educação e Sensibilização:– Dentro da sua organização, para seus clientes
e parceiros de negócios• Estabelecer um diálogo aberto entre os grupos de IT e OT
• Estabelecer uma política de Segurança Industrial, única e partir da política de segurança corporativa existente na empresa
• Abordagem de Defesa em Profundidade Abrangente: nenhum produto, metodologia, ou segurança fornece sozinha segurança para redes IACS.
• Se familiarize com os padrões internacionais de segurança para IACS (Industrial Automation and Control System Security Standards)– IEC-62443 (Antiga ISA99), NIST 800-82, DHS
External Report # INL/EXT-06-11478• Utilize padrões, modelos e arquiteturas de referência.
• Trabalhe com parceiros reconhecidos e acreditados em seguranca da informação e automação industrial
• "Segurança “Boa o suficiente" agora, é melhor do que segurança "perfeita" ... nunca (Tom West, Data General)
27
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Material Adicional
28
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 29
Material Adicional• Rockwell Automation
http://rockwellautomation.com/security
• Cisco Industrial Networking Specialist Training and Certification– E-learning modules (pre-learning
courses)• Control Systems Fundamentals for Industrial Networking (ICINS)• Networking Fundamentals for Industrial Control Systems (INICS)
– Classroom training• Managing Industrial Networks with Cisco Networking Technologies (IMINS)
– Exam 200–401 IMINS
• CCNA Industrial Training and Certification– Classroom training
• Managing Industrial Networks for Manufacturing with Cisco Technologies (IMINS2)– Exam 200–601 IMINS2
• Industrial IP Advantage: e-Learning– CPwE Design Considerations and
Best Practices
• CISCO
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Obrigado!