Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

Dossier

Maggio 2015

Numero di riferimento documento: ENET-WP037A-IT-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment.

• Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Distribuzione di servizi di identità in un'architettura Ether

ENET-WP037A-IT-P

Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

Con la proliferazione dei metodi di accesso alle reti industriali stanno aumentando anche le complessità legate alla gestione della sicurezza degli accessi alla rete e al controllo da rischi imprevisti. La crescente esigenza di accesso alle reti di impianto da parte di utenti terzi (ad esempio, costruttori di macchine e integratori di sistemi) aumenta infatti i pericoli per la sicurezza delle reti stesse.

Le reti dei sistemi di controllo e automazione (Industrial Automation and Control System, IACS) sono in genere aperte, per impostazione predefinita. Questa caratteristica rende possibili sia la coesistenza di tecnologie diverse sia l'interoperabilità tra i vari dispositivi IACS. Le reti IACS, tuttavia, devono essere adeguatamente protette a livello di configurazione e architettura, poiché i computer di soggetti terzi potrebbero compromettere la sicurezza delle attività nell'impianto.

La coesistenza e la gestione di varie tecnologie all'interno dell'impianto, in continua evoluzione, richiedono un approccio diverso. L'architettura CPwE (Converged Plantwide Ethernet) utilizza Cisco ISE (Identity Services Engine) per supportare l'accesso sicuro e gestito a livello centrale (wireless o cablato) alle reti IACS, da parte del personale dell'impianto o di utenti terzi.

L'architettura CPwE sottostante fornisce infatti servizi di rete standard per le politiche, i dispositivi e le apparecchiature di controllo e gestione presenti nelle applicazioni IACS più recenti. Cisco ISE viene utilizzato in combinazione con l'architettura CPwE per fornire un ulteriore livello dinamico di sicurezza nel controllo degli accessi alla rete, identificando il computer basato su Microsoft®, il sistema operativo e l'utente che ha eseguito l'accesso in modo da applicare politiche di sicurezza all'infrastruttura di rete a cui accede il computer stesso. L'architettura CPwE fornisce indicazioni di progettazione e implementazione per soddisfare i requisiti di comunicazione in tempo reale, affidabilità, scalabilità, sicurezza e resilienza dei sistemi IACS. Cisco ISE combina le migliori pratiche con un'architettura di rete basata su un modello gestito a livello centrale in cui il reparto IT mantiene la gestione della piattaforma Cisco ISE che opera nella zona industriale.

La piattaforma CPwE Identity Services è stata realizzata grazie a un'alleanza strategica tra Cisco Systems® e Rockwell Automation. L'architettura Cisco Validated Design (CVD) per CPwE Identity Services fornisce indicazioni su come progettare e implementare una corretta distribuzione della piattaforma Cisco ISE in ambito industriale.

1net convergente, a livello di impianto

Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

Controllo sicuro degli accessi

Controllo sicuro degli accessi

Se da un lato il numero di computer (noti e non) che si collegano alla rete IACS continua ad aumentare, dall'altro i metodi per la gestione delle soluzioni di sicurezza e la mitigazione dei rischi diventano sempre più efficienti. I dispositivi di protezione fisici, infatti, non sono più adeguati per prevenire tentativi di accesso alle reti IACS. Con il progressivo incremento delle connessioni da parte di computer terzi e le limitate risorse operative a livello di impianto, il potenziale impatto di insufficienti misure di identificazione e contrasto delle minacce alla sicurezza introduce un rischio significativo per i processi produttivi. La piattaforma CPwE Identity Services costituiscono un nuovo approccio alle attività di gestione e protezione degli impianti.

Per la protezione degli asset di automazione e controllo è necessario adottare un approccio di tipo defense-in-depth gestito a livello centrale, che consenta di affrontare le minacce alla sicurezza interne. Cisco ISE supporta metodi di accesso wireless e cablati per controllare i vari metodi di accesso alle reti IACS utilizzati dal personale interno e dagli utenti terzi.

La piattaforma di sicurezza delle reti industriali CPwE (Figura1), basata su un approccio di tipo defense-in-depth, è allineata a standard quali ISA/IEC-62443 (in precedenza ISA-99) per la sicurezza dei sistemi di controllo e automazione industriale (IACS) e NIST 800-82 per la sicurezza dei sistemi di controllo industriale (ICS).

La progettazione e l'implementazione di una piattaforma completa per la sicurezza di accesso alle reti IACS dovrebbero essere considerate come una naturale estensione del sistema IACS e non essere implementate a posteriori. La piattaforma per la sicurezza di accesso alle reti industriali deve essere pervasiva e conglobata nel sistema IACS. Per le distribuzioni su sistemi IACS esistenti, tuttavia, è possibile applicare gli stessi livelli di tipo defense-in-depth in modo incrementale per contribuire a migliorare il grado di sicurezza di accesso del sistema IACS.

I livelli di tipo defense-in-depth dell'architettura CPwE (Figura1) coinvolgono l'attività di:

• tecnici dei sistemi di controllo (evidenziati in marrone chiaro): rafforzamento dei dispositivi IACS (ad esempio, fisici ed elettronici), rafforzamento dei dispositivi di infrastruttura (ad esempio, sicurezza delle porte), segmentazione delle reti, autenticazione, autorizzazione e accounting (AAA) per applicazioni IACS

• tecnici dei sistemi di controllo in collaborazione con tecnici di reti IT (evidenziati in blu): firewall con politiche basate su zone a livello di applicazione IACS, rafforzamento del sistema operativo, rafforzamento dei dispositivi di rete (ad esempio, controllo degli accessi, resilienza), politiche di accesso LAN wireless e cablate

• architetti della sicurezza IT in collaborazione con tecnici dei sistemi di controllo (evidenziati in viola): servizi di identità (cablati e wireless), Active Directory (AD), server di accesso remoto, firewall di impianto, best practice per la progettazione di una zona IDMZ

2Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

ENET-WP037A-IT-P

Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

Gestione unificata delle politiche di accesso alla rete per CPwE

Figura1 Piattaforma di sicurezza delle reti industriali CPwE

Gestione unificata delle politiche di accesso alla rete per CPwE

Cisco ISE consente al personale IT delle imprese di garantire un accesso (wireless o cablato) estremamente sicuro all'impianto fornendo:

• Gestione completa delle politiche a livello centrale

• Connessione semplificata dei dispositivi

• Applicazione dinamica

Per creare le politiche di controllo degli accessi viene fornito un modello basato su regole e attributi. Cisco ISE offre la possibilità di creare anche politiche di estremo dettaglio. Gli attributi, inoltre, possono essere creati dinamicamente e salvati per un utilizzo successivo man mano che nella rete IACS vengono introdotte nuove attività e nuovi dispositivi di gestione.

Come illustrato nella Figura 2, la piattaforma CPwE Identity Services supporta più archivi di identità esterni, tra cui Active Directory per le procedure di autenticazione e autorizzazione. Gli amministratori di rete a livello di impianto possono configurare e gestire da una postazione centrale le operazioni di accesso (wireless e cablato) di dipendenti, ospiti, fornitori e terze parti, in base ai servizi di autenticazione e autorizzazione disponibili da una console grafica basata sul Web. Cisco ISE semplifica inoltre le attività di amministrazione fornendo servizi di gestione centrale integrati in un'unica interfaccia amministrativa per ambienti di rete distribuiti.

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••

3Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

ENET-WP037A-IT-P

Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

Converged Plantwide Ethernet Identity Services

Figura 2 Servizi di identità unificati per accessi wireless e cablati

Mediante l'integrazione di Cisco ISE, le politiche di provisioning vengono applicate in rete in tempo reale, garantendo agli utenti procedure uniformi per l'accesso ai servizi da connessioni wireless o cablate:

• I dispositivi sconosciuti vengono diretti a una destinazione sicura definita a livello amministrativo, senza poter accedere alle risorse locali nell'ambito delle operazioni a livello di impianto.

• Ai dispositivi attendibili viene concesso l'accesso alle piattaforme essenziali presenti nella zona industriale.

Queste funzionalità sensibili al tipo di dispositivo, integrate in switch Allen-Bradley® Stratix e Cisco® e nei controller LAN WLC (Wireless LAN Controller) Cisco, consentono di controllare la profilazione a livello di rete sul punto di ingresso, senza i costi e gli oneri di gestione di appliance sovrapposte, dispositivi stand-alone o interventi sostitutivi sull'infrastruttura.

Converged Plantwide Ethernet Identity ServicesLa profilazione dei dispositivi all'interno della Zona Industriale si basa su un servizio in grado di identificare i singoli computer che si collegano alla rete a livello di impianto. Il servizio di profilazione incluso in Cisco ISE, in particolare, identifica gli specifici computer che si collegano a una porta di servizio dello switch all'interno della Zona cella/area o al momento della connessione iniziale alla rete wireless dell'impianto. La profilazione dei dispositivi viene eseguita in base alle politiche degli endpoint configurate in Cisco ISE e quest'ultimo, in base al risultato della valutazione basata sulle politiche, concede ai computer attendibili l'autorizzazione ad accedere alla rete dell'impianto e indirizza invece quelli non attendibili a una destinazione sicura definita a livello amministrativo. Il servizio di profilazione semplifica la gestione delle procedure di autenticazione utilizzando criteri di controllo di accesso a standard IEEE 802.1X, con autenticazione basata sulla porta, supportati dagli switch IES (Industrial Ethernet Switch) Stratix e Cisco presenti nell'architettura CPwE.

EnterpriseWAN

Firewalls(Active/Standby)

MCC

Enterprise Zone: Levels 4-5

IO

Level 3Site Operations

Drive

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

FactoryTalk Client

Internet

ExternalDMZ / Firewall

WGB

IO

WLC (Active)

ISE PSN

WLC (Standby)

PACPAC

PACLevels 0-2Cell/Area Zone

Distribution switch

LWAP

3746

40

WLC (Enterprise)

ISE MnT

ISE PAN/PSN

Remote Access Server (RAS)

ISE Synchronization

ISE Logging

Laptop Client

Core switches

Core switches

4Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

ENET-WP037A-IT-P

Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

Riepilogo

Mediante la profilazione dei computer, Cisco ISE garantisce quindi che solo i computer attendibili, del personale interno o di utenti terzi, possano accedere alla rete dell'impianto. In base all'identità del computer o dell'utente, Cisco ISE invia regole di accesso sicuro allo switch IES Stratix o Cisco, in modo che per le operazioni a livello di impianto venga garantita l'applicazione di politiche uniformi indipendentemente dalla posizione da cui l'utente o il computer tenta di accedere alla rete.

La piattaforma CPwE Identity Services consente inoltre un'elevata flessibilità, a livello di impianto, nella decisione delle modalità di implementazione delle politiche Guest. Cisco ISE fornisce infatti un portale di registrazione self-service in cui il personale dell'impianto, i fornitori, i partner e gli ospiti possono eseguire automaticamente la registrazione e il provisioning di nuovi dispositivi, in base alle politiche aziendali definite dalle operazioni a livello di impianto. La piattaforma CPwE Identity Services consente inoltre al reparto IT di stabilire criteri automatici di provisioning e profilazione a livello di impianto, in modo che il personale possa eseguire l'accesso alla rete dell'impianto con un ausilio limitato degli esperti.

RiepilogoAll'interno della zona industriale, la piattaforma CPwE Identity Services:

• consente una gestione delle identità centralizzata e basata sul contesto, essenziale per gestire il controllo degli accessi in una zona industriale.

• consente di identificare gli utenti che accedono alla rete da un computer autorizzato conforme alle politiche e di concedere l'accesso in base al ruolo utente assegnato, al gruppo e alle politiche associate. Viene inoltre tenuto conto di variabili quali il tipo di dipendente, fornitore, partner, ruolo, posizione e dispositivo.

• consente di concedere agli utenti autenticati l'accesso a specifici segmenti della zona industriale in base ai risultati dell'autenticazione.

Le reti IACS traggono vantaggio dalla coesistenza di tecnologie e dall'interoperabilità dei dispositivi IACS. Le reti IACS, tuttavia, devono anche essere adeguatamente protette per evitare che dispositivi sconosciuti e non attendibili minaccino le operazioni a livello di impianto. La piattaforma CPwE Identity Services costituisce un livello gestito centralmente del sistema di protezione degli accessi alla rete nell'ambito delle reti industriali wireless e cablate della zona industriale. L'integrazione dei servizi di identità nella Zona Industriale permette inoltre di usufruire di un'ampia gamma di opzioni di controllo degli accessi per le operazioni a livello di impianto. La piattaforma CPwE Identity Services permette infine di creare e distribuire politiche di accesso in tempo reale, consentendo al personale dell'impianto e agli utenti terzi di usufruire di procedure di accesso uniformi, indipendentemente dalla posizione da cui accedono alla rete dell'impianto.

Nota Questa versione dell'architettura CPwE è incentrata su EtherNet/IP, che è basato sul protocollo CIP (Common Industrial Protocol) di ODVA. Consultare la sezione relativa ai protocolli di comunicazione IACS della Guida alla progettazione e all'implementazione dell'architettura CPwE.

Sito Web di Rockwell Automation

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

Sito Web di Cisco:

http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html

5Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

ENET-WP037A-IT-P

Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto

Cisco è leader mondiale nella fornitura di soluzioni di rete che trasforma il modo in cui le persone si connettono, comunicano e collaborano. Informazioni su Cisco sono

disponibili all’indirizzo www.cisco.com. Per le ultime novità, è possibile visitare il sito Web all'indirizzo http://newsroom.cisco.com. Le apparecchiature Cisco sono fornite in

Europa da Cisco Systems International BV, una consociata interamente controllata da Cisco Systems, Inc.

www.cisco.com

Sede principale AmericheCisco Systems, Inc.

San Jose, CA

Sede principale Asia PacificoCisco Systems (USA) Pte. Ltd.

Singapore

Sede principale EuropaCisco Systems International BV

Amsterdam, Paesi Bassi

Cisco vanta oltre 200 uffici in tutto il mondo. Gli indirizzi, i numeri di telefono e i numeri di fax sono elencati sul sito Web di Cisco all’indirizzo www.cisco.com/go/offices.

Cisco e il logo Cisco sono marchi commerciali o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in alcuni altri Paesi. Per visualizzare l'elenco dei marchi com-

merciali Cisco, visitare il sito Web all'indirizzo www.cisco.com/go/trademarks. I marchi di terze parti citati nel presente documento sono di proprietà dei rispettivi proprietari.

L’uso della parola partner non implica un rapporto di partnership tra Cisco e qualsiasi altra società. (1110R)

Rockwell Automation è un'azienda leader nella fornitura di soluzioni di potenza, controllo e gestione delle informazioni, che consentono ai clienti di abbreviare i tempi di

accesso al mercato, ridurre i costi totali di esercizio, sfruttare al meglio le risorse degli impianti e minimizzare i rischi per la sicurezza negli ambienti di produzione.

www.rockwellautomation.com

Americhe:Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496 USA

Tel.: (1) 414.382.2000, Fax: (1) 414.382.4444

Asia Pacifico:Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

Tel.: (852) 2887 4788, Fax: (852) 2508 1846

Europa/Medio Oriente/Africa: Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Belgio

Tel.: (32) 2 663 0600, Fax: (32) 2 663 0640

Allen-Bradley, FactoryTalk, Integrated Architecture, Stratix 5700, Stratix 8000 e Studio 5000 sono marchi

commerciali di Rockwell Automation, Inc.

Microsoft è un marchio di Microsoft Systems. EtherNet/IP è un marchio commerciale di ODVA.

© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Tutti i diritti riservati.

Pubblicazione ENET-WP037A-IT-P - Maggio 2015