class 2016 - palestra eduardo fernandes

© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved

Converged Plantwide Ethernet (CPwE)

Considerações de Projeto para Sistemas de Controle e Segurança Industrial de Automação

Eduardo FernandesBusiness Manager IT/OT

© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved

Agenda

• Por que isso é importante?• Tendências de Segurança Industrial• Defesa em Profundidade• CPwE – Estrutura de Segurança de Rede Industrial• Pontos Importantes• Material Adicional

2


Por que isso é importante?

3


Industrial IoT Internet de Todas as Coisas

4

Por que isso é importante?• Arquiteturas de Redes Seguras para

Convergência IT/OT• Infraestrutura/ Arquitetura

escalável, robusta, segura e pronta para o futuro:

– Applicação

– Software

– RedeDefesa em Profundidade

© 2016 Cisco Systems, Inc. and Rockwell Automation, Inc. All rights reserved 5

Por que isso é importante?• Convergência Automação Industrial &

Sistema de Controle

Estruturada e RobustaIACS Network Infrastructure

Infraestrutura de Rede Automação Industrial e Sistemas de Controle

FLAT e Aberta

Infraestrutura de Rede IACSFlat e Aberta


Tendências em Segurança Industrial

6



• Segurança “Boa o suficiente" agora, é melhor do que segurança "perfeita" ... nunca (Tom West, Data General)

• Segurança em última análise, depende - e falha – no momento em que você acredita estar completa. Pessoas não gostam de estar completas. Pessoas ficam a caminho do que deve ser feito (Dave Piscitello)

• Sua segurança absoluta é tão forte quanto o seu elo mais fraco• Concentre-se em ameaças conhecidas, prováveis• Segurança não tem um estado final estático, é um processo

interativo• Você só tem de escolher dois dos três: rápido, seguro e barato

(Brett Eldridge)7

• Ditados em Segurança da Informação



• International Society of Automation– IEC-62443 (Antiga ISA-99), Industrial Automation and Control Systems (IACS)

Security– Zonas e Canais– Defesa em profundidade– Implantação de IDMZ

• National Institute of Standards and Technology– NIST 800-82, Industrial Control System (ICS) Security– Estrutura Cybersecurity: Identificar, Proteger, Detectar, Responder, Recuperar– Defesa em profundidade– Implantação de IDMZ

• Department of Homeland Security / Idaho National Lab– DHS INL/EXT-06-11478– Cyber Security em Sistemas de Controle: Estratégias de Defesa em Camada– Defesa em profundidade– Implantação de IDMZ

8

• Padrões Estabelecidos de Segurança Industrial


Defesa em Profundidade

9


Defesa em Profundidade Abrangente

10

• Rede EtherNet/IP Industrial Automation and Control System - IACS

• Aberta por padrão para permitir a coexistência de tecnologia e a interoperabilidade entre dispositivos para Redes de Automação Industrial e Sistemas de Controle (IACS)

• Segurança via configuração e arquitetura:– Configuração

q Fortalecer a infraestrutura através da adoção de multiplas camadas de segurança com o metodo de seguranca em profundidade

– Arquiteturaq Estruturar a infraestrutura para defender a

borda - DMZ Industrial (IDMZ)



• Um programa de segurança industrial equilibrado deve abordar tanto os controles Técnicos e os controles não Técnicos

• Controles não-técnicos - Regras para ambientes:Ex. práticas corporativas, normas e padrões, programas de políticas, procedimentos, gestão de risco, programas de educação e sensibilização dos usuários.

• Controles Técnicos - tecnologia para fornecer medidas restritivas para controles não-técnicos: por exemplo, Firewalls, Grupos de Segurança, Layer 3 com listas de controle de acesso (ACLs)

• A segurança é tão forte quanto o elo mais fraco• Vigilância e atenção aos detalhes são a CHAVE para

o sucesso da segurança a longo prazo

11

• Elementos críticos para a Segurança Industrial

“Uma unica ação/ produto cobre tudo”



• Nenhum produto, tecnologia ou metodologia pode sozinho assegurar aplicações para redes IACS.

• Proteger os ativos da IACS requer uma abordagem de segurança em profundidade a qual aborde ameaças de segurança internas e externas.

• Esta abordagem se utiliza de multiplas camadas de defesa (física, procedimental e eletrônica) em níveis separados da IACS aplicando políticas e procedimentos para endereçar diferentes tipos de ameaças.

12

• Rede EtherNet/IP Industrial Automation and Control System - IACS



• Programas de Educação e Sensibilização – Treinamento da equipe de OT em políticas e procedimentos de segurança industrial em como agir no caso de um incidente de segurança

• Físico – limitar o acesso físico para pessoas autorizadas: sala de controle, celulas/areas, painel de controle, dispositivos IACS …. fechaduras, portões, chaves magneticas, biometria. Inclusão na politica de segurança, procedimentos e tecnologia para acompanhar e monitorar visitants

• Rede – CPwE Industrial Network Security Framework: modelo físico e lógico de rede com políticas de firewall, políticas de access control list (ACL) para switches e roteadores, AAA, IDS/IPS (detecção e prevenção de intrusão), Proteção Anti-Malware.

• Computadores em ambiente Industrial – gerenciamentos de patches, software anti-vírus, remoção de aplicações/ protocolos e serviços não utilizados fechando portas lógicas desnecessárias e protegendo portas físicas

• Aplicação – Autenticação, Autorização e Auditoria (AAA)• Dispositivos IACS– Gerenciamento de mudanças, criptografia de

comunicação e acesso restrito

13

• Políticas de Segurança Industrial Direcionamento e Técnicas de Controle


Defesa em Profundidade Abrangente• OSI 7-Layer Reference Model - Multiple Layers

of Security

CIP SecurityFactoryTalk® Security

Application

Presentation

Session

Transport

Network

Data Link

Physical

Layer 7

Layer 6

Layer 5

Layer 4

Layer 3

Layer 2

Layer 1

Network Services to User App

Encryption/Other processing

Manage Multiple Applications

Reliable End-to-End Delivery Error Correction

Packet Delivery, Routing

Framing of Data, Error Checking

Signal type to transmit bits, pin-outs, cable type

TLS / DTLS

IPsec / ACLs

MACsec / Port Security

Blockouts / Lock-ins

Layer NameLayer No. Function Examples

Open Systems Interconnection

Routers

Switches

Cabling/RF

IES


CPwE – Estrutura de Segurança de Rede Industrial

15


Estrutura de Segurança em Rede Industrial• Arquiteturas CPwE

Wireless LAN (WLAN)• Access Policy

§ Equipment SSID§ Plant Personnel SSID§ Trusted Partners SSID

• WPA2 with AES Encryption• Autonomous WLAN

§ Pre-Shared Key§ 802.1X - (EAP-FAST)

• Unified WLAN§ 802.1X - (EAP-TLS)§ CAPWAP DTLS

Standard DMZ Design BEST Practices

MCC

Enterprise Zone: Levels 4-5

Soft Starter

I/O

Physical or Virtualized Servers• Patch Management• AV Server• Application Mirror• Remote Desktop Gateway Server

Plant Firewalls• Active/Standby• Inter-zone traffic segmentation• ACLs, IPS and IDS• VPN Services• Portal and Remote Desktop Services proxy

Network Infrastructure• Hardening• Access Control• Resiliency

Level 0 - Process

Port Security• Physical• Electronic

Level 1 - Controller

VLANs, Segmenting Domains of Trust

FactoryTalk Security

Active Directory (AD)

Remote Access Server (RAS)

Level 3 – Site Operations

Controller

Network Statusand Monitoring

Drive

Level 2 – Area Supervisory Control

FactoryTalkClient

IndustrialFirewall

OS Hardening

Controller

Identity Services Engine (ISE)

IACS Device Hardening• Policies and Procedures• Physical Measures• Electronic Measures• Encrypted Communications

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3Authentication, Authorization and Accounting (AAA)

LWAP

SSID2.4 GHz

SSID5 GHz WGB

I/O

Active

Wireless LAN Controller (WLC)

Standby

CoreSwitches

DistributionSwitch Stack

Enterprise

Identity Services

External DMZ/ Firewall

Internet

Application Hardening

Control System Engineers

Control System Engineers in

Collaboration with IT Network Engineers

(Industrial IT)IT Security Architects in Collaboration with

Control Systems Engineers


Segurança de Porta• CPwE Industrial Network Security Framework -

FÍSICO § Bloqueios físicos para par

metálico e fibra§ Soluções com Trava local de

remoção asseguram as conexões físicas

§ Porta de acesso de dados (Cabo e Tomada com chaves)


Firewall Industrial

• IACS com Firewall Next Generation (NGFW)– Deep Packet Inspection para protocolos da IACS– Dispositivos de rede montados em trilho DIN – Opções de Conectividade:

• (4) 1Gig Cobre• (2) 1Gig Cobre and (2) SFP

• Previne – Detecta - Responde• Tecnologias de ponta em segurança no

ambiente industrial: – Adaptive Security Appliance para Firewall e VPN– FirePOWER next-generation com Sistema de

Prevenção de Intrusos (NGIPS)– Melhorias com protocolos, gerenciamente e recursos

OT

18

• CPwE Industrial Network Security Framework


CPwE - Possible Deployment Models• CPwE Industrial Network Security Framework -

Industrial Firewall

MCC

Enterprise Zone: Levels 4–5

Soft Starter

I/O

Physical or Virtualized Servers• Patch Management• AV Server• Application Mirror• Remote Desktop Gateway Server

Level 0 - ProcessLevel 1 - Controller

Level 3 – Site Operations:

Controller

Drive

Level 2 – Area Supervisory Control

FactoryTalkClient

Controller


Industrial Zone: Levels 0–3

Authentication, Authorization and Accounting (AAA)

LWAP

SSID2.4 GHz

SSID5 GHz WGB

I/O

Active

Wireless LAN Controller (WLC)

Standby

CoreSwitches

DistributionSwitch Stack

Enterprise Internet

External DMZ/ Firewall

IES

IES

IES

IES

IES

ASA with FirePOWER• IPS and AMP

Virtual FirePOWER• IPS and AMP

ISA 3000 / Stratix 5950 with FirePOWER (IPS)Transparent Mode

ISA 3000 / Stratix 5950 with FirePOWER (IPS)Transparent Mode

FireSIGHT

Cisco Prime InfrastructureISA 3000 / Stratix 5950 with FirePOWER (IDS)Monitor Mode

ISA 3000 / Stratix 5950 with FirePOWER (IPS)Routed Mode


Identity Services Engine ISE

• Combina, autenticação, autorização e perfil dentro de uma única ferramenta.

• Coleta informações da rede em tempo real permitindo aos administradores a tomada de decisão sobre o acesso da rede.

• Se utiliza do controle de acesso na rede para gerenciar quais recursos usuários e convidados são permitidos a acessar

• Determina qual o tipo de dispositivos os usuários estão utilizando, e verifica se este acesso esta em conformidade com as políticas de segurança de acesso de software e hardware

• Gerencia acessos de conectividade em cobre e wireless 802.1X

20

• CPwE Industrial Network Security Framework

Converged Plantwide Ethernet (CPwE) Architectures

Deploying Identity Services within a Converged Plantwide Ethernet Architecture

http://literature.rockwellautomation.com/idc/groups/literature/documents/wp/enet-wp037_-en-p.pdf


Identity Services Engine• CPwE Industrial Network Security Framework -

ISE Enterprise WAN

Firewalls(Active/Standby)

Enterprise Zone: Levels 4-5

I/O

Level 3Site Operations

Drive


FactoryTalk Client

Internet

ExternalDMZ / Firewall

WGB

WLC (Active)

WLC (Standby)

LWAP

Controller

Core switches

Distribution switch

Core switches

WLC (Enterprise)

ISE MnT

ISE PAN/PSN

ISE PSN

21

2

Controller Controller

Industrial ZoneLevels 0-3(Plant-wide Network)

Cell/Area Zones - Levels 0-2(Lines, Machines, Skids, Equipment)

IES

IES

IES

IES

IES

1

23

4


Industrial Demilitarized Zone (IDMZ)• Industrial Network Security Framework

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Remote Desktop Gateway Services

Patch Management

AV Server

Application Mirror

Web Services Operations

Reverse Proxy

Enterprise Network

Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.

FactoryTalk Application

Server

FactoryTalk Directory

Engineering Workstation

Remote Access Server

FactoryTalkClient

Operator Interface

FactoryTalkClient

Engineering Workstation

Operator Interface

Batch Control

Discrete Control

Drive Control

ContinuousProcess Control

Safety Control

Sensors Drives Actuators Robots

EnterpriseSecurity Zone

IndustrialDMZ

IndustrialSecurity Zone(s)

Cell/Area Zones(s)

WebE-Mail

CIP

Firewall

Firewall

Site Operations

Area Supervisory

Control

Basic Control

Process

CPwE Logical ModelConverged Multi-discipline IACS



• Uma IDMZ, ou Zona Desmilitarizada Industrial, é uma sub- rede colocada entre uma rede confiável (industrial) e uma rede não confiável (corporativa) .

• A IDMZ contém ativos de contato com a camada de negócios da empresa que atuam como mediadores entre as redes confiáveis e não confiáveis.

• Tráfego nunca passa direto em uma IDMZ . • Uma IDMZ corretamente projetada pode ser desligada se for

comprometida e ainda permitir que a rede industrial possa operar sem interrupções.

23

• Industrial Network Security Framework



• Algumas vezes referida como o perímetro de uma rede que expõe uma das organizações a serviços externos para uma rede de modo não confiável . O objetivo da IDMZ é adicionar uma camada adicional de segurança para a rede segura no sistema de manufatura

24

• Industrial Network Security Framework

UNTRUSTED/TRUSTED

TRUSTED

BROKER

EnterpriseSecurity Zone

IndustrialDMZ

IndustrialSecurity Zone


Industrial Demilitarized Zone (IDMZ)• Industrial Network Security Framework

Firewalls(Active/Standby)

MCC

Enterprise ZoneLevels 4-5

IO

Level 3Site Operations

Drive

IndustrialDemilitarized Zone(IDMZ)

Industrial ZoneLevels 0-3

FactoryTalk Client

WGB

WLC (Active)

WLC (Standby)

LWAP

PACPAC

PAC

Levels 0-2 Cell/Area Zone

Core switches

Distribution switch

Core switches

WLC (Enterprise)

ISE (Enterprise)

Physical or Virtualized Servers• Application Servers & Services• Network Services – e.g. DNS, AD,

DHCP, AAA• Storage Array

Remote Access Server

Plant Manager

RemoteAccess

Untrusted

Untrusted

Block

Block

Permit

Remote Desktop Gateway

Permit

WebReports

Web Proxy

Firewall (Inspect Traffic)

Physical or Virtualized Servers• Patch Management• AV Server• Application Mirror

Wide Area Network (WAN)Physical or Virtualized Servers• ERP, Email• Active Directory (AD),

AAA – Radius• Call Manager

Firewall (Inspect Traffic)

Permitir o acesso remoto seguro aos ativos industriaisPermite a passagem de dados da Zona Industrial para Zona Coorporativa da empresa para tomada de decisão

Bloqueia Acesso não autorizado para Zona Industrial

Engineer

Bloqueia Acesso não autorizado para Zona Corporativa


Pontos Importantes

26


Pontos Importantes

• Educação e Sensibilização:– Dentro da sua organização, para seus clientes

e parceiros de negócios• Estabelecer um diálogo aberto entre os grupos de IT e OT

• Estabelecer uma política de Segurança Industrial, única e partir da política de segurança corporativa existente na empresa

• Abordagem de Defesa em Profundidade Abrangente: nenhum produto, metodologia, ou segurança fornece sozinha segurança para redes IACS.

• Se familiarize com os padrões internacionais de segurança para IACS (Industrial Automation and Control System Security Standards)– IEC-62443 (Antiga ISA99), NIST 800-82, DHS

External Report # INL/EXT-06-11478• Utilize padrões, modelos e arquiteturas de referência.

• Trabalhe com parceiros reconhecidos e acreditados em seguranca da informação e automação industrial

• "Segurança “Boa o suficiente" agora, é melhor do que segurança "perfeita" ... nunca (Tom West, Data General)

27


Material Adicional

28


Material Adicional• Rockwell Automation

http://rockwellautomation.com/security

• Cisco Industrial Networking Specialist Training and Certification– E-learning modules (pre-learning

courses)• Control Systems Fundamentals for Industrial Networking (ICINS)• Networking Fundamentals for Industrial Control Systems (INICS)

– Classroom training• Managing Industrial Networks with Cisco Networking Technologies (IMINS)

– Exam 200–401 IMINS

• CCNA Industrial Training and Certification– Classroom training

• Managing Industrial Networks for Manufacturing with Cisco Technologies (IMINS2)– Exam 200–601 IMINS2

• Industrial IP Advantage: e-Learning– CPwE Design Considerations and

Best Practices

• CISCO





https://learningnetworkstore.cisco.com/industrial-networking/control-systems-fundamentals-for-icins-elt-icins-v1-0-021145?utm_source=Certs_industrial-networking&utm_content=ICINS&utm_campaign=CLNStore-Products

https://learningnetworkstore.cisco.com/internet-of-things-iot/networking-fundamentals-for-industrial-control-systems-inics-elt-inics-v1-0-021144?utm_source=Certs_industrial-networking&utm_content=INICS&utm_campaign=CLNStore-Products

https://learningnetwork.cisco.com/community/certifications/iot/industrial-networking/imins-exam/exam-topics/overview

https://learningnetwork.cisco.com/community/certifications/iot/industrial-networking/imins-exam

http://tools.cisco.com/GlobalLearningLocator/courseDetails.do?actionType=executeCourseDetail&courseID=6094

https://learningnetwork.cisco.com/community/certifications/ccna-industrial/imins2

http://iipa.shop.gpstrategies.com/