Upload
vuongxuyen
View
214
Download
0
Embed Size (px)
Citation preview
Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
Dossier
Maggio 2015
Numero di riferimento documento: ENET-WP037A-IT-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment.
• Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
Distribuzione di servizi di identità in un'architettura Ether
ENET-WP037A-IT-P
Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
Con la proliferazione dei metodi di accesso alle reti industriali stanno aumentando anche le complessità legate alla gestione della sicurezza degli accessi alla rete e al controllo da rischi imprevisti. La crescente esigenza di accesso alle reti di impianto da parte di utenti terzi (ad esempio, costruttori di macchine e integratori di sistemi) aumenta infatti i pericoli per la sicurezza delle reti stesse.
Le reti dei sistemi di controllo e automazione (Industrial Automation and Control System, IACS) sono in genere aperte, per impostazione predefinita. Questa caratteristica rende possibili sia la coesistenza di tecnologie diverse sia l'interoperabilità tra i vari dispositivi IACS. Le reti IACS, tuttavia, devono essere adeguatamente protette a livello di configurazione e architettura, poiché i computer di soggetti terzi potrebbero compromettere la sicurezza delle attività nell'impianto.
La coesistenza e la gestione di varie tecnologie all'interno dell'impianto, in continua evoluzione, richiedono un approccio diverso. L'architettura CPwE (Converged Plantwide Ethernet) utilizza Cisco ISE (Identity Services Engine) per supportare l'accesso sicuro e gestito a livello centrale (wireless o cablato) alle reti IACS, da parte del personale dell'impianto o di utenti terzi.
L'architettura CPwE sottostante fornisce infatti servizi di rete standard per le politiche, i dispositivi e le apparecchiature di controllo e gestione presenti nelle applicazioni IACS più recenti. Cisco ISE viene utilizzato in combinazione con l'architettura CPwE per fornire un ulteriore livello dinamico di sicurezza nel controllo degli accessi alla rete, identificando il computer basato su Microsoft®, il sistema operativo e l'utente che ha eseguito l'accesso in modo da applicare politiche di sicurezza all'infrastruttura di rete a cui accede il computer stesso. L'architettura CPwE fornisce indicazioni di progettazione e implementazione per soddisfare i requisiti di comunicazione in tempo reale, affidabilità, scalabilità, sicurezza e resilienza dei sistemi IACS. Cisco ISE combina le migliori pratiche con un'architettura di rete basata su un modello gestito a livello centrale in cui il reparto IT mantiene la gestione della piattaforma Cisco ISE che opera nella zona industriale.
La piattaforma CPwE Identity Services è stata realizzata grazie a un'alleanza strategica tra Cisco Systems® e Rockwell Automation. L'architettura Cisco Validated Design (CVD) per CPwE Identity Services fornisce indicazioni su come progettare e implementare una corretta distribuzione della piattaforma Cisco ISE in ambito industriale.
1net convergente, a livello di impianto
Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
Controllo sicuro degli accessi
Controllo sicuro degli accessi
Se da un lato il numero di computer (noti e non) che si collegano alla rete IACS continua ad aumentare, dall'altro i metodi per la gestione delle soluzioni di sicurezza e la mitigazione dei rischi diventano sempre più efficienti. I dispositivi di protezione fisici, infatti, non sono più adeguati per prevenire tentativi di accesso alle reti IACS. Con il progressivo incremento delle connessioni da parte di computer terzi e le limitate risorse operative a livello di impianto, il potenziale impatto di insufficienti misure di identificazione e contrasto delle minacce alla sicurezza introduce un rischio significativo per i processi produttivi. La piattaforma CPwE Identity Services costituiscono un nuovo approccio alle attività di gestione e protezione degli impianti.
Per la protezione degli asset di automazione e controllo è necessario adottare un approccio di tipo defense-in-depth gestito a livello centrale, che consenta di affrontare le minacce alla sicurezza interne. Cisco ISE supporta metodi di accesso wireless e cablati per controllare i vari metodi di accesso alle reti IACS utilizzati dal personale interno e dagli utenti terzi.
La piattaforma di sicurezza delle reti industriali CPwE (Figura1), basata su un approccio di tipo defense-in-depth, è allineata a standard quali ISA/IEC-62443 (in precedenza ISA-99) per la sicurezza dei sistemi di controllo e automazione industriale (IACS) e NIST 800-82 per la sicurezza dei sistemi di controllo industriale (ICS).
La progettazione e l'implementazione di una piattaforma completa per la sicurezza di accesso alle reti IACS dovrebbero essere considerate come una naturale estensione del sistema IACS e non essere implementate a posteriori. La piattaforma per la sicurezza di accesso alle reti industriali deve essere pervasiva e conglobata nel sistema IACS. Per le distribuzioni su sistemi IACS esistenti, tuttavia, è possibile applicare gli stessi livelli di tipo defense-in-depth in modo incrementale per contribuire a migliorare il grado di sicurezza di accesso del sistema IACS.
I livelli di tipo defense-in-depth dell'architettura CPwE (Figura1) coinvolgono l'attività di:
• tecnici dei sistemi di controllo (evidenziati in marrone chiaro): rafforzamento dei dispositivi IACS (ad esempio, fisici ed elettronici), rafforzamento dei dispositivi di infrastruttura (ad esempio, sicurezza delle porte), segmentazione delle reti, autenticazione, autorizzazione e accounting (AAA) per applicazioni IACS
• tecnici dei sistemi di controllo in collaborazione con tecnici di reti IT (evidenziati in blu): firewall con politiche basate su zone a livello di applicazione IACS, rafforzamento del sistema operativo, rafforzamento dei dispositivi di rete (ad esempio, controllo degli accessi, resilienza), politiche di accesso LAN wireless e cablate
• architetti della sicurezza IT in collaborazione con tecnici dei sistemi di controllo (evidenziati in viola): servizi di identità (cablati e wireless), Active Directory (AD), server di accesso remoto, firewall di impianto, best practice per la progettazione di una zona IDMZ
2Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
ENET-WP037A-IT-P
Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
Gestione unificata delle politiche di accesso alla rete per CPwE
Figura1 Piattaforma di sicurezza delle reti industriali CPwE
Gestione unificata delle politiche di accesso alla rete per CPwE
Cisco ISE consente al personale IT delle imprese di garantire un accesso (wireless o cablato) estremamente sicuro all'impianto fornendo:
• Gestione completa delle politiche a livello centrale
• Connessione semplificata dei dispositivi
• Applicazione dinamica
Per creare le politiche di controllo degli accessi viene fornito un modello basato su regole e attributi. Cisco ISE offre la possibilità di creare anche politiche di estremo dettaglio. Gli attributi, inoltre, possono essere creati dinamicamente e salvati per un utilizzo successivo man mano che nella rete IACS vengono introdotte nuove attività e nuovi dispositivi di gestione.
Come illustrato nella Figura 2, la piattaforma CPwE Identity Services supporta più archivi di identità esterni, tra cui Active Directory per le procedure di autenticazione e autorizzazione. Gli amministratori di rete a livello di impianto possono configurare e gestire da una postazione centrale le operazioni di accesso (wireless e cablato) di dipendenti, ospiti, fornitori e terze parti, in base ai servizi di autenticazione e autorizzazione disponibili da una console grafica basata sul Web. Cisco ISE semplifica inoltre le attività di amministrazione fornendo servizi di gestione centrale integrati in un'unica interfaccia amministrativa per ambienti di rete distribuiti.
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
3Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
ENET-WP037A-IT-P
Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
Converged Plantwide Ethernet Identity Services
Figura 2 Servizi di identità unificati per accessi wireless e cablati
Mediante l'integrazione di Cisco ISE, le politiche di provisioning vengono applicate in rete in tempo reale, garantendo agli utenti procedure uniformi per l'accesso ai servizi da connessioni wireless o cablate:
• I dispositivi sconosciuti vengono diretti a una destinazione sicura definita a livello amministrativo, senza poter accedere alle risorse locali nell'ambito delle operazioni a livello di impianto.
• Ai dispositivi attendibili viene concesso l'accesso alle piattaforme essenziali presenti nella zona industriale.
Queste funzionalità sensibili al tipo di dispositivo, integrate in switch Allen-Bradley® Stratix e Cisco® e nei controller LAN WLC (Wireless LAN Controller) Cisco, consentono di controllare la profilazione a livello di rete sul punto di ingresso, senza i costi e gli oneri di gestione di appliance sovrapposte, dispositivi stand-alone o interventi sostitutivi sull'infrastruttura.
Converged Plantwide Ethernet Identity ServicesLa profilazione dei dispositivi all'interno della Zona Industriale si basa su un servizio in grado di identificare i singoli computer che si collegano alla rete a livello di impianto. Il servizio di profilazione incluso in Cisco ISE, in particolare, identifica gli specifici computer che si collegano a una porta di servizio dello switch all'interno della Zona cella/area o al momento della connessione iniziale alla rete wireless dell'impianto. La profilazione dei dispositivi viene eseguita in base alle politiche degli endpoint configurate in Cisco ISE e quest'ultimo, in base al risultato della valutazione basata sulle politiche, concede ai computer attendibili l'autorizzazione ad accedere alla rete dell'impianto e indirizza invece quelli non attendibili a una destinazione sicura definita a livello amministrativo. Il servizio di profilazione semplifica la gestione delle procedure di autenticazione utilizzando criteri di controllo di accesso a standard IEEE 802.1X, con autenticazione basata sulla porta, supportati dagli switch IES (Industrial Ethernet Switch) Stratix e Cisco presenti nell'architettura CPwE.
EnterpriseWAN
Firewalls(Active/Standby)
MCC
Enterprise Zone: Levels 4-5
IO
Level 3Site Operations
Drive
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
FactoryTalk Client
Internet
ExternalDMZ / Firewall
WGB
IO
WLC (Active)
ISE PSN
WLC (Standby)
PACPAC
PACLevels 0-2Cell/Area Zone
Distribution switch
LWAP
3746
40
WLC (Enterprise)
ISE MnT
ISE PAN/PSN
Remote Access Server (RAS)
ISE Synchronization
ISE Logging
Laptop Client
Core switches
Core switches
4Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
ENET-WP037A-IT-P
Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
Riepilogo
Mediante la profilazione dei computer, Cisco ISE garantisce quindi che solo i computer attendibili, del personale interno o di utenti terzi, possano accedere alla rete dell'impianto. In base all'identità del computer o dell'utente, Cisco ISE invia regole di accesso sicuro allo switch IES Stratix o Cisco, in modo che per le operazioni a livello di impianto venga garantita l'applicazione di politiche uniformi indipendentemente dalla posizione da cui l'utente o il computer tenta di accedere alla rete.
La piattaforma CPwE Identity Services consente inoltre un'elevata flessibilità, a livello di impianto, nella decisione delle modalità di implementazione delle politiche Guest. Cisco ISE fornisce infatti un portale di registrazione self-service in cui il personale dell'impianto, i fornitori, i partner e gli ospiti possono eseguire automaticamente la registrazione e il provisioning di nuovi dispositivi, in base alle politiche aziendali definite dalle operazioni a livello di impianto. La piattaforma CPwE Identity Services consente inoltre al reparto IT di stabilire criteri automatici di provisioning e profilazione a livello di impianto, in modo che il personale possa eseguire l'accesso alla rete dell'impianto con un ausilio limitato degli esperti.
RiepilogoAll'interno della zona industriale, la piattaforma CPwE Identity Services:
• consente una gestione delle identità centralizzata e basata sul contesto, essenziale per gestire il controllo degli accessi in una zona industriale.
• consente di identificare gli utenti che accedono alla rete da un computer autorizzato conforme alle politiche e di concedere l'accesso in base al ruolo utente assegnato, al gruppo e alle politiche associate. Viene inoltre tenuto conto di variabili quali il tipo di dipendente, fornitore, partner, ruolo, posizione e dispositivo.
• consente di concedere agli utenti autenticati l'accesso a specifici segmenti della zona industriale in base ai risultati dell'autenticazione.
Le reti IACS traggono vantaggio dalla coesistenza di tecnologie e dall'interoperabilità dei dispositivi IACS. Le reti IACS, tuttavia, devono anche essere adeguatamente protette per evitare che dispositivi sconosciuti e non attendibili minaccino le operazioni a livello di impianto. La piattaforma CPwE Identity Services costituisce un livello gestito centralmente del sistema di protezione degli accessi alla rete nell'ambito delle reti industriali wireless e cablate della zona industriale. L'integrazione dei servizi di identità nella Zona Industriale permette inoltre di usufruire di un'ampia gamma di opzioni di controllo degli accessi per le operazioni a livello di impianto. La piattaforma CPwE Identity Services permette infine di creare e distribuire politiche di accesso in tempo reale, consentendo al personale dell'impianto e agli utenti terzi di usufruire di procedure di accesso uniformi, indipendentemente dalla posizione da cui accedono alla rete dell'impianto.
Nota Questa versione dell'architettura CPwE è incentrata su EtherNet/IP, che è basato sul protocollo CIP (Common Industrial Protocol) di ODVA. Consultare la sezione relativa ai protocolli di comunicazione IACS della Guida alla progettazione e all'implementazione dell'architettura CPwE.
Sito Web di Rockwell Automation
http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf
Sito Web di Cisco:
http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html
5Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
ENET-WP037A-IT-P
Distribuzione di servizi di identità in un'architettura Ethernet convergente, a livello di impianto
Cisco è leader mondiale nella fornitura di soluzioni di rete che trasforma il modo in cui le persone si connettono, comunicano e collaborano. Informazioni su Cisco sono
disponibili all’indirizzo www.cisco.com. Per le ultime novità, è possibile visitare il sito Web all'indirizzo http://newsroom.cisco.com. Le apparecchiature Cisco sono fornite in
Europa da Cisco Systems International BV, una consociata interamente controllata da Cisco Systems, Inc.
www.cisco.com
Sede principale AmericheCisco Systems, Inc.
San Jose, CA
Sede principale Asia PacificoCisco Systems (USA) Pte. Ltd.
Singapore
Sede principale EuropaCisco Systems International BV
Amsterdam, Paesi Bassi
Cisco vanta oltre 200 uffici in tutto il mondo. Gli indirizzi, i numeri di telefono e i numeri di fax sono elencati sul sito Web di Cisco all’indirizzo www.cisco.com/go/offices.
Cisco e il logo Cisco sono marchi commerciali o marchi registrati di Cisco e/o delle sue affiliate negli Stati Uniti e in alcuni altri Paesi. Per visualizzare l'elenco dei marchi com-
merciali Cisco, visitare il sito Web all'indirizzo www.cisco.com/go/trademarks. I marchi di terze parti citati nel presente documento sono di proprietà dei rispettivi proprietari.
L’uso della parola partner non implica un rapporto di partnership tra Cisco e qualsiasi altra società. (1110R)
Rockwell Automation è un'azienda leader nella fornitura di soluzioni di potenza, controllo e gestione delle informazioni, che consentono ai clienti di abbreviare i tempi di
accesso al mercato, ridurre i costi totali di esercizio, sfruttare al meglio le risorse degli impianti e minimizzare i rischi per la sicurezza negli ambienti di produzione.
www.rockwellautomation.com
Americhe:Rockwell Automation
1201 South Second Street
Milwaukee, WI 53204-2496 USA
Tel.: (1) 414.382.2000, Fax: (1) 414.382.4444
Asia Pacifico:Rockwell Automation
Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
Tel.: (852) 2887 4788, Fax: (852) 2508 1846
Europa/Medio Oriente/Africa: Rockwell Automation
NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Belgio
Tel.: (32) 2 663 0600, Fax: (32) 2 663 0640
Allen-Bradley, FactoryTalk, Integrated Architecture, Stratix 5700, Stratix 8000 e Studio 5000 sono marchi
commerciali di Rockwell Automation, Inc.
Microsoft è un marchio di Microsoft Systems. EtherNet/IP è un marchio commerciale di ODVA.
© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Tutti i diritti riservati.
Pubblicazione ENET-WP037A-IT-P - Maggio 2015