Documente Academic
Documente Profesional
Documente Cultură
Observação Os requisitos de segurança para uma IDMZ física devem reconhecer as necessidades das
aplicações IACS, já que os dados devem passar, de maneira segura, da Zona Industrial para a Zona
Empresarial. Separadamente, a Network Address Translation (NAT) e os Serviços de Identidade são
parte da arquitetura de segurança geral da CPwE. Cada um deles está disponível separadamente,
completando a abordagem de segurança industrial holística da CPwE.
A Estrutura de Segurança de Rede Industrial CPwE (Figura1), que usa uma abordagem com defesa
profunda, está alinhada a padrões de segurança industrial como Segurança de Sistemas de
Controle e Automação Industrial ISA/IEC-62443 (anteriormente ISA-99) e Segurança de Sistema
de Controle Industrial (ICS) NIST 800-82.
Projetar e implementar uma estrutura de segurança de rede de IACS abrangente deve servir como
uma extensão natural do IACS. A segurança de rede não deve ser implementada como uma ideia
adicional. A estrutura de segurança de rede industrial deve ser generalizada e central para o IACS.
No entanto, para implantações de IACS existentes, as mesmas camadas com defesa profunda
podem ser aplicadas de maneira incremental para ajudar a aprimorar a atitude de segurança do
IACS.
As camadas com defesa profunda da CPwE (Figura 1) incluem:
• Engenheiros de sistemas de controle (destacados em castanho): reforço de dispositivos IACS
(por exemplo, físico e eletrônico), reforço de dispositivos de infraestrutura (por exemplo,
segurança portuária), segmentação de rede, autenticação, autorização e contabilização (AAA)
de aplicações IACS
• Engenheiros de sistemas de controle em colaboração com engenheiros de rede de TI
(destacados em azul): firewall de política com base em zona na aplicação IACS, reforço de
sistema operacional, reforço de dispositivos de rede (por exemplo, controle de acesso,
resistência), políticas de acesso de LAN wireless
• Arquitetos de segurança de TI em colaboração com engenheiros de sistemas de controle
(destacados em roxo): serviços de identidade (com fio e wireless), Active Directory (AD),
servidores de acesso remoto, firewalls de fábrica, melhores práticas de projeto de Zona
Desmilitarizada Industrial (IDMZ)
Enterprise
WAN Internet
External DMZ/
Enterprise Zone: Levels 4-5 Firewall
LWAP
VLANs, Segmenting
Domains of Trust
SSID WGB
Device Hardening Zone-based 5 GHz
• Physical Policy Firewall
• Procedures I/O Soft
(ZFW)
Controller Controller MCC
374623
• Electronic Starter
• Encrypted Communications Level 1 -Controller I/O
Level 0 - Process Drive
Firewall
Remote Patch AV
Gateway Management Server
Services Web Industrial
E -Mail Demilitarized
Application Web Services CIP
Reverse Zone
Mirror Operations Proxy
Firewall
Replicated
IDMZ
Services
No Direct
IACS Traffic
Industrial
Disconnect Point
Security
Zone
374625
Trusted
Observação Esta versão da arquitetura CPwE se concentra em EtherNet/IP, que é acionada pelo protocolo
industrial comum (CIP) ODVA. Consulte a seção Protocolos de Comunicação IACS do Guia de
implementação e projeto da CPwE.
Site da Cisco:
http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html
A Cisco é líder mundial em redes, transformando a forma como as pessoas se conectam, comunicam e colaboram. Informações sobre a Cisco podem ser encontradas em
www.cisco.com. Para notícias atuais, acesse http://newsroom.cisco.com. Os equipamentos da Cisco na Europa são fornecidos pela Cisco Systems International BV,
subsidiária da Cisco Systems, Inc.
www.cisco.com
Matriz corporativa nas Américas Matriz corporativa na Ásia-Pacífico Matriz corporativa na Europa
Cisco Systems, Inc. Cisco Systems (USA) Pte. Ltd. Cisco Systems International BV
San Jose, CA Cingapura Amsterdã, Holanda
A Cisco tem mais de 200 escritórios no mundo todo. Endereços, números de telefones e faxes podem ser encontrados no site da Cisco em www.cisco.com/go/offices.
Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou suas afiliadas nos EUA e em outros países. Para exibir uma lista com as marcas comer-
ciais da Cisco, visite: www.cisco.com/go/trademarks. As marcas comerciais de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra
parceiro não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1110R)
A Rockwell Automation é fornecedora líder de soluções de alimentação, controle e informações que permitem aos clientes obter produtos mais rapidamente no mercado,
reduzindo os custos totais de propriedade, melhorando a utilização dos ativos da fábrica e minimizando os riscos nos ambientes de produção.
www.rockwellautomation.com
Américas: Ásia-Pacífico: Europa/Oriente Médio/África:
Rockwell Automation Rockwell Automation Rockwell Automation
1201 South Second Street Level 14, Core F, Cyberport 3 NV, Pegasus Park, De Kleetlaan 12a
Milwaukee, WI 53204-2496 EUA 100 Cyberport Road, Hong Kong 1831 Diegem, Bélgica
Tel: (1) 414.382.2000, fax: (1) 414.382.4444 Tel: (852) 2887 4788, fax: (852) 2508 1846 Tel: (32) 2 663 0600, fax: (32) 2 663 0640
Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 e Studio 5000 são marcas comerciais da Rockwell Publicação ENET-WP038A-PT-P - Maio de 2015
Automation, Inc. EtherNet/IP é uma marca comercial da ODVA.
© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Todos os direitos reservados.