Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved© 2016 Cisco Systems, Inc. and Rockwell Automa...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Agenda
•
Por que isso é importante?
•
Tendênc...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Por que isso é importante?
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Industrial IoT  Internet de Todas as
Coisas
...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 5
Por que isso é importante?
•
Convergência ...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Tendências em Segurança Industrial
6
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Tendências em Segurança Industrial
•
Seguranç...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Tendências em Segurança Industrial
•
Internat...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade
9
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade Abrangente
10
•
Rede E...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade Abrangente
•
Um progra...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade Abrangente
•
Nenhum pr...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Defesa em Profundidade Abrangente
•
Programas...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 14
Defesa em Profundidade Abrangente
•
OSI 7-...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
CPwE – Estrutura de Segurança de Rede Industr...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 16
Estrutura de Segurança em Rede Industrial
...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 17
Segurança de Porta
•
CPwE Industrial Netwo...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Firewall Industrial
•
IACS com Firewall Next ...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 19
CPwE - Possible Deployment Models
•
CPwE I...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Identity Services Engine ISE
•
Combina, auten...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 21
Identity Services Engine
•
CPwE Industrial...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 22
Industrial Demilitarized Zone (IDMZ)
•
Ind...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Industrial Demilitarized Zone (IDMZ)
•
Uma ID...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Industrial Demilitarized Zone (IDMZ)
•
Alguma...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 25
Industrial Demilitarized Zone (IDMZ)
•
Ind...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Pontos Importantes
26
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Pontos Importantes
•
Educação e Sensibilizaçã...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Material Adicional
28
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 29
Material Adicional
•
Rockwell Automation
h...
© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved© 2016 Cisco Systems, Inc. and Rockwell Automa...
Upcoming SlideShare
Loading in …5
×

CLASS 2016 - Palestra Eduardo Fernandes

Palestra "Considerações de Projeto para Sistemas de Controle e Segurança Industrial de Automação", realizada no dia 18/05/2016.

  • Be the first to comment

  • Be the first to like this

CLASS 2016 - Palestra Eduardo Fernandes

  1. 1. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Converged Plantwide Ethernet (CPwE) Considerações de Projeto para Sistemas de Controle e Segurança Industrial de Automação Eduardo Fernandes Business Manager IT/OT
  2. 2. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Agenda • Por que isso é importante? • Tendências de Segurança Industrial • Defesa em Profundidade • CPwE – Estrutura de Segurança de Rede Industrial • Pontos Importantes • Material Adicional 2
  3. 3. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Por que isso é importante?
  4. 4. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Industrial IoT  Internet de Todas as Coisas 4 Por que isso é importante? • Arquiteturas de Redes Seguras para Convergência IT/OT • Infraestrutura/ Arquitetura escalável, robusta, segura e pronta para o futuro: – Applicação – Software – Rede Defesa em Profundidade
  5. 5. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 5 Por que isso é importante? • Convergência  Automação Industrial & Sistema de Controle Estruturada e Robusta IACS Network Infrastructure Infraestrutura de Rede Automação Industrial e Sistemas de Controle FLAT e Aberta Infraestrutura de Rede IACS Flat e Aberta
  6. 6. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Tendências em Segurança Industrial 6
  7. 7. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Tendências em Segurança Industrial • Segurança “Boa o suficiente" agora, é melhor do que segurança "perfeita" ... nunca (Tom West, Data General) • Segurança em última análise, depende - e falha – no momento em que você acredita estar completa. Pessoas não gostam de estar completas. Pessoas ficam a caminho do que deve ser feito (Dave Piscitello) • Sua segurança absoluta é tão forte quanto o seu elo mais fraco • Concentre-se em ameaças conhecidas, prováveis • Segurança não tem um estado final estático, é um processo interativo • Você só tem de escolher dois dos três: rápido, seguro e barato7 • Ditados em Segurança da Informação
  8. 8. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Tendências em Segurança Industrial • International Society of Automation – IEC-62443 (Antiga ISA-99), Industrial Automation and Control Systems (IACS) Security – Zonas e Canais – Defesa em profundidade – Implantação de IDMZ • National Institute of Standards and Technology – NIST 800-82, Industrial Control System (ICS) Security – Estrutura Cybersecurity: Identificar, Proteger, Detectar, Responder, Recuperar – Defesa em profundidade – Implantação de IDMZ • Department of Homeland Security / Idaho National Lab – DHS INL/EXT-06-11478 – Cyber Security em Sistemas de Controle: Estratégias de Defesa em Camada – Defesa em profundidade – Implantação de IDMZ 8 • Padrões Estabelecidos de Segurança Industrial
  9. 9. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Defesa em Profundidade 9
  10. 10. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Defesa em Profundidade Abrangente 10 • Rede EtherNet/IP  Industrial Automation and Control System - IACS• Aberta por padrão para permitir a coexistência de tecnologia e a interoperabilidade entre dispositivos para Redes de Automação Industrial e Sistemas de Controle (IACS) • Segurança via configuração e arquitetura: – Configuração q Fortalecer a infraestrutura através da adoção de multiplas camadas de segurança com o metodo de seguranca em profundidade – Arquitetura q Estruturar a infraestrutura para defender a
  11. 11. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Defesa em Profundidade Abrangente • Um programa de segurança industrial equilibrado deve abordar tanto os controles Técnicos e os controles não Técnicos • Controles não-técnicos - Regras para ambientes: Ex. práticas corporativas, normas e padrões, programas de políticas, procedimentos, gestão de risco, programas de educação e sensibilização dos usuários. • Controles Técnicos - tecnologia para fornecer medidas restritivas para controles não-técnicos: por exemplo, Firewalls, Grupos de Segurança, Layer 3 com listas de controle de acesso (ACLs) • 11 • Elementos críticos para a Segurança Industrial “Uma unica ação/ produto cobre tudo”
  12. 12. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Defesa em Profundidade Abrangente • Nenhum produto, tecnologia ou metodologia pode sozinho assegurar aplicações para redes IACS. • Proteger os ativos da IACS requer uma abordagem de segurança em profundidade a qual aborde ameaças de segurança internas e externas. • Esta abordagem se utiliza de multiplas camadas de defesa (física, procedimental e eletrônica) em níveis separados da IACS aplicando políticas e procedimentos para 12 • Rede EtherNet/IP  Industrial Automation and Control System - IACS
  13. 13. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Defesa em Profundidade Abrangente • Programas de Educação e Sensibilização – Treinamento da equipe de OT em políticas e procedimentos de segurança industrial em como agir no caso de um incidente de segurança • Físico – limitar o acesso físico para pessoas autorizadas: sala de controle, celulas/areas, painel de controle, dispositivos IACS …. fechaduras, portões, chaves magneticas, biometria. Inclusão na politica de segurança, procedimentos e tecnologia para acompanhar e monitorar visitants • Rede – CPwE Industrial Network Security Framework: modelo físico e lógico de rede com políticas de firewall, políticas de access control list (ACL) para switches e roteadores, AAA, IDS/IPS (detecção e prevenção de intrusão), Proteção Anti-Malware. • Computadores em ambiente Industrial – gerenciamentos de patches, software anti-vírus, remoção de aplicações/ protocolos e serviços não utilizados fechando portas lógicas desnecessárias e protegendo portas físicas 13 • Políticas de Segurança Industrial  Direcionamento e Técnicas de Controle
  14. 14. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 14 Defesa em Profundidade Abrangente • OSI 7-Layer Reference Model - Multiple Layers of Security CIP Security FactoryTalk® Security Application Presentation Session Transport Network Data Link Physical Layer 7 Layer 6 Layer 5 Layer 4 Layer 3 Layer 2 Layer 1 Network Services to User App Encryption/Other processing Manage Multiple Applications Reliable End-to-End Delivery Error Correction Packet Delivery, Routing Framing of Data, Error Checking Signal type to transmit bits, pin-outs, cable type TLS / DTLS IPsec / ACLs MACsec / Port Security Blockouts / Lock-ins Layer NameLayer No. Function Examples Open Systems Interconnection Routers Switches Cabling/RF IES
  15. 15. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved CPwE – Estrutura de Segurança de Rede Industrial 15
  16. 16. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 16 Estrutura de Segurança em Rede Industrial • Arquiteturas CPwE Wireless LAN (WLAN) • Access Policy § Equipment SSID § Plant Personnel SSID § Trusted Partners SSID • WPA2 with AES Encryption • Autonomous WLAN § Pre-Shared Key § 802.1X - (EAP-FAST) • Unified WLAN § 802.1X - (EAP-TLS) § CAPWAP DTLS Standard DMZ Design BEST Practices MCC Enterprise Zone: Levels 4-5 Soft Starter I/O Physical or Virtualized Servers • Patch Management • AV Server • Application Mirror • Remote Desktop Gateway Server Plant Firewalls • Active/Standby • Inter-zone traffic segmentation • ACLs, IPS and IDS • VPN Services • Portal and Remote Desktop Services proxy Network Infrastructure • Hardening • Access Control • Resiliency Level 0 - Process Port Security • Physical • Electronic Level 1 - Controller VLANs, Segmenting Domains of Trust FactoryTalk Security Active Directory (AD) Remote Access Server (RAS) Level 3 – Site Operations Controller Network Status and Monitoring Drive Level 2 – Area Supervisory Control FactoryTalk Client Industrial Firewall OS Hardening Controller Identity Services Engine (ISE) IACS Device Hardening • Policies and Procedures • Physical Measures • Electronic Measures • Encrypted Communications Industrial Demilitarized Zone (IDMZ) Industrial Zone: Levels 0-3 Authentication, Authorization and Accounting (AAA) LWAP SSID 2.4 GHz SSID 5 GHz WGB I/O Active Wireless LAN Controller (WLC) Standby Core Switches Distribution Switch Stack Enterprise Identity Services External DMZ/ Firewall Internet Application Hardening Control System Engineers Control System Engineers in Collaboration with IT Network Engineers (Industrial IT) IT Security Architects in Collaboration with Control Systems Engineers
  17. 17. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 17 Segurança de Porta • CPwE Industrial Network Security Framework - FÍSICO § Bloqueios físicos para par metálico e fibra § Soluções com Trava local de remoção asseguram as conexões físicas § Porta de acesso de dados (Cabo e Tomada com chaves)
  18. 18. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Firewall Industrial • IACS com Firewall Next Generation (NGFW) – Deep Packet Inspection para protocolos da IACS – Dispositivos de rede montados em trilho DIN – Opções de Conectividade: • (4) 1Gig Cobre • (2) 1Gig Cobre and (2) SFP • Previne – Detecta - Responde • Tecnologias de ponta em segurança no ambiente industrial:   – Adaptive Security Appliance para Firewall e VPN – FirePOWER next-generation com Sistema de Prevenção de Intrusos (NGIPS) 18 • CPwE Industrial Network Security Framework
  19. 19. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 19 CPwE - Possible Deployment Models • CPwE Industrial Network Security Framework - Industrial Firewall MCC Enterprise Zone: Levels 4–5 Soft Starter I/O Physical or Virtualized Servers • Patch Management • AV Server • Application Mirror • Remote Desktop Gateway Server Level 0 - Process Level 1 - Controller Level 3 – Site Operations: Controller Drive Level 2 – Area Supervisory Control FactoryTalk Client Controller Industrial Demilitarized Zone (IDMZ) Industrial Zone: Levels 0–3 Authentication, Authorization and Accounting (AAA) LWAP SSID 2.4 GHz SSID 5 GHz WGB I/O Active Wireless LAN Controller (WLC) Standby Core Switches Distribution Switch Stack Enterprise Internet External DMZ/ Firewall IES IES IES IES IES ASA with FirePOWER • IPS and AMP Virtual FirePOWER • IPS and AMP ISA 3000 / Stratix 5950 with FirePOWER (IPS) Transparent Mode ISA 3000 / Stratix 5950 with FirePOWER (IPS) Transparent Mode FireSIGHT Cisco Prime Infrastructure ISA 3000 / Stratix 5950 with FirePOWER (IDS) Monitor Mode ISA 3000 / Stratix 5950 with FirePOWER (IPS) Routed Mode
  20. 20. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Identity Services Engine ISE • Combina, autenticação, autorização e perfil dentro de uma única ferramenta. • Coleta informações da rede em tempo real permitindo aos administradores a tomada de decisão sobre o acesso da rede. • Se utiliza do controle de acesso na rede para gerenciar quais recursos usuários e convidados são permitidos a acessar 20 • CPwE Industrial Network Security Framework Converged Plantwide Ethernet (CPwE) Architectures Deploying Identity Services within a C
  21. 21. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 21 Identity Services Engine • CPwE Industrial Network Security Framework - ISE Enterprise WAN Firewalls (Active/Standby) Enterprise Zone: Levels 4-5 I/O Level 3 Site Operations Drive Industrial Demilitarized Zone (IDMZ) FactoryTalk Client Internet External DMZ / Firewall WGB WLC (Active) WLC (Standby) LWAP Controller Core switches Distribution switch Core switches WLC (Enterprise) ISE MnT ISE PAN/PSN ISE PSN 2 1 2 Controller Controller Industrial Zone Levels 0-3 (Plant-wide Network) Cell/Area Zones - Levels 0-2 (Lines, Machines, Skids, Equipment) IES IES IES IES IES 1 2 3 4
  22. 22. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 22 Industrial Demilitarized Zone (IDMZ) • Industrial Network Security Framework Level 5 Level 4 Level 3 Level 2 Level 1 Level 0 Remote Desktop Gateway Services Patch Management AV Server Application Mirror Web Services Operations Reverse Proxy Enterprise Network Site Business Planning and Logistics NetworkE-Mail, Intranet, etc. FactoryTalk Application Server FactoryTalk Directory Engineering Workstation Remote Access Server FactoryTalk Client Operator Interface FactoryTalk Client Engineering Workstation Operator Interface Batch Control Discrete Control Drive Control Continuous Process Control Safety Control Sensors Drives Actuators Robots Enterprise Security Zone Industrial DMZ Industrial Security Zone(s) Cell/Area Zones(s) Web E-Mail CIP Firewall Firewall Site Operations Area Supervisory Control Basic Control Process CPwE Logical Model Converged Multi-discipline IACS
  23. 23. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Industrial Demilitarized Zone (IDMZ) • Uma IDMZ, ou Zona Desmilitarizada Industrial, é uma sub- rede colocada entre uma rede confiável (industrial) e uma rede não confiável (corporativa) . • A IDMZ contém ativos de contato com a camada de negócios da empresa que atuam como mediadores entre as redes confiáveis ​​e não confiáveis. • Tráfego nunca passa direto em uma IDMZ . • Uma IDMZ corretamente projetada pode ser desligada se for comprometida e ainda permitir que a rede industrial possa operar sem interrupções. 23 • Industrial Network Security Framework
  24. 24. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Industrial Demilitarized Zone (IDMZ) • Algumas vezes referida como o perímetro de uma rede que expõe uma das organizações a serviços externos para uma rede de modo não confiável . O objetivo da IDMZ é adicionar uma camada adicional de segurança para a rede segura no sistema de manufatura 24 • Industrial Network Security Framework UNTRUSTE D/TRUSTED TRUSTE D BROKE R Enterprise Security Zone Industrial DMZ Industrial Security Zone
  25. 25. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 25 Industrial Demilitarized Zone (IDMZ) • Industrial Network Security Framework Firewalls (Active/Standby) MCC Enterprise Zone Levels 4-5 IO Level 3 Site Operations Drive Industrial Demilitarized Zone (IDMZ) Industrial Zone Levels 0-3 FactoryTalk Client WGB WLC (Active) WLC (Standby) LWAP PACPAC PAC Levels 0-2 Cell/Area Zone Core switches Distribution switch Core switches WLC (Enterprise) ISE (Enterprise) Physical or Virtualized Servers • Application Servers & Services • Network Services – e.g. DNS, AD, DHCP, AAA • Storage Array Remote Access Server Plant Manager Remote Access Untrusted Untrusted Block Block Permit Remote Desktop Gateway Permit Web Reports Web Proxy Firewall (Inspect Traffic) Physical or Virtualized Servers • Patch Management • AV Server • Application Mirror Wide Area Network (WAN) Physical or Virtualized Servers • ERP, Email • Active Directory (AD), AAA – Radius • Call Manager Firewall (Inspect Traffic) Permitir o acesso remoto seguro aos ativos industriais Permite a passagem de dados da Zona Industrial para Zona Coorporativa da empresa para tomada de decisão Bloqueia Acesso não autorizado para Zona IndustrialEngineer Bloqueia Acesso não autorizado para Zona Corporativa
  26. 26. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Pontos Importantes 26
  27. 27. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Pontos Importantes • Educação e Sensibilização: – Dentro da sua organização, para seus clientes e parceiros de negócios • Estabelecer um diálogo aberto entre os grupos de IT e OT • Estabelecer uma política de Segurança Industrial, única e partir da política de segurança corporativa existente na 27
  28. 28. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Material Adicional 28
  29. 29. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 29 Material Adicional • Rockwell Automation http://rockwellautomation.com/security • Cisco Industrial Networking Specialist Training and Certification – E-learning modules (pre-learning courses) • Control Systems Fundamentals for In • Networking Fundamentals for Industr – Classroom training • Managing Industrial Networks with Ci – Exam  200–401 IMINS • CISCO
  30. 30. © 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved Obrigado!

×