CLASS 2016 - Palestra Eduardo Fernandes

© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Converged Plantwide Ethernet (CPwE)
Considerações de Projeto para Sistemas de Controle
e Segurança Industrial de Automação
Eduardo Fernandes
Business Manager IT/OT

© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved
Agenda
•
Por que isso é importante?
•
Tendências de Segurança Industrial
•
Defesa em Profundidade
•
CPwE – Estrutura de Segurança de Rede Industrial
•
Pontos Importantes
•
Material Adicional
2

Industrial IoT  Internet de Todas as
Coisas
4
•
Arquiteturas de Redes Seguras para
Convergência IT/OT
• Infraestrutura/ Arquitetura
escalável, robusta, segura e
pronta para o futuro:
– Applicação
– Software
– Rede

© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 5
•
Convergência  Automação Industrial &
Sistema de Controle
Estruturada e Robusta
IACS Network Infrastructure
Infraestrutura de Rede
Automação Industrial e Sistemas de Controle
FLAT e Aberta
Infraestrutura de Rede IACS
Flat e Aberta

Tendências em Segurança Industrial
6

•
Segurança “Boa o suficiente" agora, é melhor do que
segurança "perfeita" ... nunca (Tom West, Data General)
•
Segurança em última análise, depende - e falha – no momento
em que você acredita estar completa. Pessoas não gostam de
estar completas. Pessoas ficam a caminho do que deve ser
feito (Dave Piscitello)
•
Sua segurança absoluta é tão forte quanto o seu elo mais fraco
•
Concentre-se em ameaças conhecidas, prováveis
•
Segurança não tem um estado final estático, é um processo
interativo
•
Você só tem de escolher dois dos três: rápido, seguro e barato7
•
Ditados em Segurança da Informação

•
International Society of Automation
– IEC-62443 (Antiga ISA-99), Industrial Automation and Control Systems (IACS)
Security
– Zonas e Canais
– Defesa em profundidade
– Implantação de IDMZ
•
National Institute of Standards and Technology
– NIST 800-82, Industrial Control System (ICS) Security
– Estrutura Cybersecurity: Identificar, Proteger, Detectar, Responder, Recuperar
•
Department of Homeland Security / Idaho National Lab
– DHS INL/EXT-06-11478
– Cyber Security em Sistemas de Controle: Estratégias de Defesa em Camada
8
•
Padrões Estabelecidos de Segurança Industrial

9

Defesa em Profundidade Abrangente
10
•
Rede EtherNet/IP  Industrial Automation and
Control System - IACS•
Aberta por padrão para permitir a coexistência
de tecnologia e a interoperabilidade entre
dispositivos para Redes de Automação
Industrial e Sistemas de Controle (IACS)
•
Segurança via configuração e arquitetura:
–
Configuração
q
Fortalecer a infraestrutura através da
adoção de multiplas camadas de segurança
com o metodo de seguranca em
profundidade
–
Arquitetura
q
Estruturar a infraestrutura para defender a

•
Um programa de segurança industrial equilibrado
deve abordar tanto os controles Técnicos e os
controles não Técnicos
•
Controles não-técnicos - Regras para ambientes:
Ex. práticas corporativas, normas e padrões, programas de
políticas, procedimentos, gestão de risco, programas de
educação e sensibilização dos usuários.
•
Controles Técnicos - tecnologia para fornecer
medidas restritivas para controles não-técnicos: por
exemplo, Firewalls, Grupos de Segurança, Layer 3
com listas de controle de acesso (ACLs)
• 11
•
Elementos críticos para a Segurança Industrial
“Uma unica ação/
produto cobre tudo”

•
Nenhum produto, tecnologia ou metodologia
pode sozinho assegurar aplicações para
redes IACS.
•
Proteger os ativos da IACS requer uma
abordagem de segurança em profundidade
a qual aborde ameaças de segurança
internas e externas.
•
Esta abordagem se utiliza de multiplas
camadas de defesa (física, procedimental e
eletrônica) em níveis separados da IACS
aplicando políticas e procedimentos para 12
•
Rede EtherNet/IP  Industrial Automation and
Control System - IACS

•
Programas de Educação e Sensibilização – Treinamento da equipe de
OT em políticas e procedimentos de segurança industrial em como agir
no caso de um incidente de segurança
•
Físico – limitar o acesso físico para pessoas autorizadas: sala de controle,
celulas/areas, painel de controle, dispositivos IACS …. fechaduras,
portões, chaves magneticas, biometria. Inclusão na politica de
segurança, procedimentos e tecnologia para acompanhar e monitorar
visitants
•
Rede – CPwE Industrial Network Security Framework: modelo físico e
lógico de rede com políticas de firewall, políticas de access control list
(ACL) para switches e roteadores, AAA, IDS/IPS (detecção e prevenção de
intrusão), Proteção Anti-Malware.
•
Computadores em ambiente Industrial – gerenciamentos de patches,
software anti-vírus,
remoção de aplicações/ protocolos e serviços não utilizados fechando
portas lógicas desnecessárias e protegendo portas físicas
13
•
Políticas de Segurança Industrial 
Direcionamento e Técnicas de Controle

•
OSI 7-Layer Reference Model - Multiple Layers
of Security
CIP Security
FactoryTalk® Security
Application
Presentation
Session
Transport
Network
Data Link
Physical
Layer 7
Layer 6
Layer 5
Layer 4
Layer 3
Layer 2
Layer 1
Network Services to User App
Encryption/Other processing
Manage Multiple Applications
Reliable End-to-End Delivery Error Correction
Packet Delivery, Routing
Framing of Data, Error Checking
Signal type to transmit bits, pin-outs, cable type
TLS / DTLS
IPsec / ACLs
MACsec / Port Security
Blockouts / Lock-ins
Layer NameLayer No. Function Examples
Open Systems
Interconnection
Routers
Switches
Cabling/RF
IES

CPwE – Estrutura de Segurança de Rede Industrial
15

Estrutura de Segurança em Rede Industrial
•
Arquiteturas CPwE
Wireless LAN (WLAN)
•
Access Policy
§
Equipment SSID
§
Plant Personnel SSID
§
Trusted Partners SSID
•
WPA2 with AES Encryption
•
Autonomous WLAN
§
Pre-Shared Key
§
802.1X - (EAP-FAST)
•
Unified WLAN
§
802.1X - (EAP-TLS)
§
CAPWAP DTLS
Standard DMZ Design BEST Practices
MCC
Enterprise Zone: Levels 4-5
Soft
Starter
I/O
Physical or Virtualized Servers
•
Patch Management
•
AV Server
•
Application Mirror
•
Remote Desktop Gateway Server
Plant Firewalls
•
Active/Standby
•
Inter-zone traffic segmentation
•
ACLs, IPS and IDS
•
VPN Services
•
Portal and Remote Desktop Services proxy
Network Infrastructure
•
Hardening
•
Access Control
•
Resiliency
Level 0 - Process
Port Security
•
Physical
•
Electronic
Level 1 - Controller
VLANs, Segmenting
Domains of Trust
FactoryTalk Security
Active Directory (AD)
Remote Access Server (RAS)
Level 3 – Site Operations
Controller
Network Status
and Monitoring
Drive
Level 2 – Area Supervisory Control
FactoryTalk
Client
Industrial
Firewall
OS Hardening
Controller
Identity Services Engine (ISE)
IACS Device Hardening
•
Policies and Procedures
•
Physical Measures
•
Electronic Measures
•
Encrypted Communications
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
LWAP
SSID
2.4 GHz
SSID
5 GHz
WGB
I/O
Active
Wireless LAN
Controller (WLC)
Standby
Core
Switches
Distribution
Switch Stack
Enterprise
Identity Services
External DMZ/
Firewall
Internet
Application Hardening
Control System Engineers
Control System
Engineers in
Collaboration with IT
Network Engineers
(Industrial IT)
IT Security Architects
in Collaboration with
Control Systems
Engineers

Segurança de Porta
•
CPwE Industrial Network Security Framework -
FÍSICO §
Bloqueios físicos para par
metálico e fibra
§
Soluções com Trava local de
remoção asseguram as
conexões físicas
§
Porta de acesso de dados
(Cabo e Tomada com chaves)

Firewall Industrial
•
IACS com Firewall Next Generation (NGFW)
– Deep Packet Inspection para protocolos da IACS
– Dispositivos de rede montados em trilho DIN
– Opções de Conectividade:
•
(4) 1Gig Cobre
•
(2) 1Gig Cobre and (2) SFP
•
Previne – Detecta - Responde
•
Tecnologias de ponta em segurança no
ambiente industrial:
– Adaptive Security Appliance para Firewall e VPN
– FirePOWER next-generation com Sistema de
Prevenção de Intrusos (NGIPS) 18
•
CPwE Industrial Network Security Framework

CPwE - Possible Deployment Models
•
Industrial Firewall
MCC
Enterprise Zone: Levels 4–5
Soft
Starter
I/O
•
Patch Management
•
AV Server
•
Application Mirror
•
Remote Desktop Gateway Server
Level 0 - Process
Level 1 - Controller
Level 3 – Site Operations:
Controller
Drive
Level 2 – Area Supervisory Control
FactoryTalk
Client
Controller
Industrial Zone: Levels 0–3
Authentication, Authorization and Accounting (AAA)
LWAP
SSID
2.4 GHz
SSID
5 GHz
WGB
I/O
Active
Wireless LAN
Controller (WLC)
Standby
Core
Switches
Distribution
Switch Stack
Enterprise Internet
External DMZ/
Firewall
IES
IES
IES
IES
IES
ASA with FirePOWER
•
IPS and AMP
Virtual FirePOWER
•
IPS and AMP
ISA 3000 / Stratix 5950
with FirePOWER (IPS)
Transparent Mode
Transparent Mode
FireSIGHT
Cisco Prime Infrastructure
with FirePOWER (IDS)
Monitor Mode
Routed Mode

Identity Services Engine ISE
•
Combina, autenticação, autorização
e perfil dentro de uma única
ferramenta.
•
Coleta informações da rede em
tempo real permitindo aos
administradores a tomada de decisão
sobre o acesso da rede.
•
Se utiliza do controle de acesso na
rede para gerenciar quais recursos
usuários e convidados são permitidos
a acessar 20
•
CPwE Industrial Network Security Framework
Converged Plantwide Ethernet
(CPwE) Architectures
Deploying Identity Services within a C

Identity Services Engine
•
ISE Enterprise
WAN
Firewalls
(Active/Standby)
Enterprise Zone: Levels 4-5
I/O
Level 3
Site Operations
Drive
FactoryTalk Client
Internet
External
DMZ / Firewall
WGB
WLC
(Active)
WLC
(Standby)
LWAP
Controller
Core
switches
Distribution
switch
Core
switches
WLC (Enterprise)
ISE MnT
ISE PAN/PSN
ISE PSN
2
1
2
Controller Controller
Industrial Zone
Levels 0-3
(Plant-wide Network)
Cell/Area Zones - Levels 0-2
(Lines, Machines, Skids, Equipment)
IES
IES
IES
IES
IES
1
2
3
4

•
Industrial Network Security Framework
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Remote Desktop
Gateway Services
Patch
Management
AV
Server
Application
Mirror
Web Services
Operations
Reverse
Proxy
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
FactoryTalk
Application
Server
FactoryTalk
Directory
Engineering
Workstation
Remote
Access
Server
FactoryTalk
Client
Operator
Interface
FactoryTalk
Client
Engineering
Workstation
Operator
Interface
Batch
Control
Discrete
Control
Drive
Control
Continuous
Process
Control
Safety
Control
Sensors Drives Actuators Robots
Enterprise
Security
Zone
Industrial
DMZ
Industrial
Security
Zone(s)
Cell/Area
Zones(s)
Web
E-Mail
CIP
Firewall
Firewall
Site Operations
Area
Supervisory
Control
Basic Control
Process
CPwE Logical Model
Converged Multi-discipline IACS

•
Uma IDMZ, ou Zona Desmilitarizada Industrial, é uma sub-
rede colocada entre uma rede confiável (industrial) e uma rede
não confiável (corporativa) .
•
A IDMZ contém ativos de contato com a camada de negócios
da empresa que atuam como mediadores entre as redes
confiáveis e não confiáveis.
•
Tráfego nunca passa direto em uma IDMZ .
•
Uma IDMZ corretamente projetada pode ser desligada se for
comprometida e ainda permitir que a rede industrial possa
operar sem interrupções.
23
•

•
Algumas vezes referida como o perímetro de uma rede que expõe
uma das organizações a serviços externos para uma rede de modo não
confiável . O objetivo da IDMZ é adicionar uma camada adicional de
segurança para a rede segura no sistema de manufatura
24
•
UNTRUSTE
D/TRUSTED
TRUSTE
D
BROKE
R
Enterprise
Security
Zone
Industrial
DMZ
Industrial
Security
Zone

•
Firewalls
(Active/Standby)
MCC
Enterprise Zone
Levels 4-5
IO
Level 3
Site Operations
Drive
Industrial
Demilitarized Zone
(IDMZ)
Industrial Zone
Levels 0-3
FactoryTalk Client
WGB
WLC
(Active)
WLC
(Standby)
LWAP
PACPAC
PAC
Levels 0-2
Cell/Area Zone
Core
switches
Distribution
switch
Core
switches
WLC (Enterprise)
ISE (Enterprise)
•
Application Servers & Services
•
Network Services – e.g. DNS, AD,
DHCP, AAA
•
Storage Array
Remote
Access
Server
Plant Manager
Remote
Access
Untrusted
Untrusted
Block
Block
Permit
Remote
Desktop
Gateway
Permit
Web
Reports
Web
Proxy
Firewall (Inspect Traffic)
•
Patch Management
•
AV Server
•
Application Mirror
Wide Area Network (WAN)
Physical or Virtualized
Servers
•
ERP, Email
•
Active Directory (AD),
AAA – Radius
•
Call Manager
Firewall (Inspect Traffic)
Permitir o
acesso
remoto seguro
aos ativos
industriais
Permite a
passagem de
dados da Zona
Industrial para
Zona
Coorporativa
da empresa
para tomada
de decisão
Bloqueia Acesso não
autorizado para Zona
IndustrialEngineer
Bloqueia Acesso não
autorizado para Zona
Corporativa

Pontos Importantes
26

Pontos Importantes
•
Educação e Sensibilização:
– Dentro da sua organização, para seus clientes
e parceiros de negócios
•
Estabelecer um diálogo aberto entre os
grupos de IT e OT
•
Estabelecer uma política de Segurança
Industrial, única e partir da política de
segurança corporativa existente na
27

Material Adicional
28

Material Adicional
•
Rockwell Automation
http://rockwellautomation.com/security
•
Cisco Industrial
Networking Specialist
Training and
Certification
–
E-learning modules (pre-learning
courses)
•
Control Systems Fundamentals for In
•
Networking Fundamentals for Industr
–
Classroom training
•
Managing Industrial Networks with Ci
–
Exam  200–401 IMINS
•
CISCO

CLASS 2016 - Palestra Eduardo Fernandes

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to CLASS 2016 - Palestra Eduardo Fernandes

Similar to CLASS 2016 - Palestra Eduardo Fernandes (20)

More from TI Safe

More from TI Safe (20)

CLASS 2016 - Palestra Eduardo Fernandes