Travessia segura de

dados IACS pela Zona

Desmilitarizada Industrial
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View:
Relatório técnico
A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is Maio de 2015
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment.

• Converged Plantwide Ethernet

Architectures:
These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.

• Joint Product and Solution

Collaboration:
Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.

• People and Process Optimization:

Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
374629

Número de referência do documento: ENET-WP038A-PT-P

 Travessia segura de dados IACS pela
Zona Desmilitarizada Industrial
As redes do sistema de controle e automação industrial (IACS) geralmente estão abertas por
padrão; a abertura facilita a coexistência da tecnologia e a interoperabilidade de dispositivos IACS.
A abertura também exige que as redes IACS estejam protegidas por configuração e arquitetura, ou
seja, defendam o limite. Muitas organizações e organismos de normalização recomendam a
segmentação das redes de sistemas empresariais a partir de redes em toda a planta por meio do
uso de uma Zona Desmilitarizada Industrial (IDMZ).
A IDMZ existe como uma rede separada, localizada em um nível entre as Zonas Empresariais e
Industriais, normalmente conhecida como Nível 3,5. Um ambiente de IDMZ é composto por vários
dispositivos de infraestrutura que incluem firewalls, servidores VPN, espelhos de aplicação IACS e
servidores de proxy reverso, além de dispositivos de infraestrutura de rede como switches,
roteadores e serviços virtualizados.
A Converged Plantwide Ethernet (CPwE) é a arquitetura subjacente que oferece serviços de rede
padrão para dispositivos, equipamentos e disciplinas de informação e controle encontrados em
aplicações de IACS modernas. A arquitetura CPwE fornece orientações de design e
implementação para atingir os requisitos em tempo real de comunicação, confiabilidade,
expansibilidade, segurança e resiliência do IACS.
A IDMZ CPwE para aplicações IACS é levada ao mercado por meio de uma aliança estratégica
entre a Cisco Systems® e a Rockwell Automation. A IDMZ CPwE detalha considerações de projeto
para ajudar com o projeto e a implementação bem-sucedidos de uma IDMZ para compartilhar
dados IACS na IDMZ de maneira segura.

Segurança industrial holística

Nenhum produto, tecnologia ou metodologia sozinho consegue proteger aplicações IACS
completamente. A proteção de ativos IACS requer uma abordagem de segurança com defesa
profunda, que aborda as ameaças internas e externas à segurança. Essa abordagem utiliza várias
camadas de defesa (física, procedimental e eletrônica) em níveis de IACS separados que abordam
diferentes tipos de ameaças.

Observação Os requisitos de segurança para uma IDMZ física devem reconhecer as necessidades das
aplicações IACS, já que os dados devem passar, de maneira segura, da Zona Industrial para a Zona
Empresarial. Separadamente, a Network Address Translation (NAT) e os Serviços de Identidade são
parte da arquitetura de segurança geral da CPwE. Cada um deles está disponível separadamente,
completando a abordagem de segurança industrial holística da CPwE.

Travessia segura de dados IACS pela Zona Desmilitarizada Industrial

ENET-WP038A-PT-P 1
 Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
Segurança industrial holística

A Estrutura de Segurança de Rede Industrial CPwE (Figura1), que usa uma abordagem com defesa
profunda, está alinhada a padrões de segurança industrial como Segurança de Sistemas de
Controle e Automação Industrial ISA/IEC-62443 (anteriormente ISA-99) e Segurança de Sistema
de Controle Industrial (ICS) NIST 800-82.
Projetar e implementar uma estrutura de segurança de rede de IACS abrangente deve servir como
uma extensão natural do IACS. A segurança de rede não deve ser implementada como uma ideia
adicional. A estrutura de segurança de rede industrial deve ser generalizada e central para o IACS.
No entanto, para implantações de IACS existentes, as mesmas camadas com defesa profunda
podem ser aplicadas de maneira incremental para ajudar a aprimorar a atitude de segurança do
IACS.
As camadas com defesa profunda da CPwE (Figura 1) incluem:
• Engenheiros de sistemas de controle (destacados em castanho): reforço de dispositivos IACS
(por exemplo, físico e eletrônico), reforço de dispositivos de infraestrutura (por exemplo,
segurança portuária), segmentação de rede, autenticação, autorização e contabilização (AAA)
de aplicações IACS
• Engenheiros de sistemas de controle em colaboração com engenheiros de rede de TI
(destacados em azul): firewall de política com base em zona na aplicação IACS, reforço de
sistema operacional, reforço de dispositivos de rede (por exemplo, controle de acesso,
resistência), políticas de acesso de LAN wireless
• Arquitetos de segurança de TI em colaboração com engenheiros de sistemas de controle
(destacados em roxo): serviços de identidade (com fio e wireless), Active Directory (AD),
servidores de acesso remoto, firewalls de fábrica, melhores práticas de projeto de Zona
Desmilitarizada Industrial (IDMZ)

Figura1 Estrutura de segurança de rede industrial da CPwE

Enterprise
WAN Internet
External DMZ/
Enterprise Zone: Levels 4-5 Firewall

Industrial Demilitarized Zone (IDMZ)

Plant Firewalls
Physical or Virtualized Servers
• Inter-zone traffic segmentation
• Patch Management • ACLs, IPS and IDS
• AV Server • VPN Services
• Application Mirror Firewall Firewall
(Active) • Portal and Remote Desktop Services proxy
• Remote Desktop Gateway Server (Standby)

Industrial Zone: Levels 0-3

Standard DMZ Design Best Practices
Authentication, Authorization and Accounting (AAA) RADIUS
Core AAA Server Wireless LAN
Active Directory (AD) switches Controller
Network Status UCS (WLC)
and Monitoring Active
Identity Services Engine (ISE)
Wireless LAN (WLAN)
RADIUS
• Access Policy
• Equipment SSID
FactoryTalk Security Standby • Plant Personnel SSID
• Trusted Partners SSID
Distribution • WPA2 with AES Encryption
Remote Access Server switch
Network Infrastructure • Autonomous WLAN
Level 3 - Site Operations: • Hardening • Pre-Shared Key
• Access Control • 802.1X - (EAP-FAST)
• Resiliency • Unified WLAN
OS Hardening • 802.1X - (EAP-TLS)
• CAPWAP DTLS
FactoryTalk Port Security SSID
Level 2 - Area Supervisory Control Client 2.4 GHz

LWAP
VLANs, Segmenting
Domains of Trust

SSID WGB
Device Hardening Zone-based 5 GHz
• Physical Policy Firewall
• Procedures I/O Soft
(ZFW)
Controller Controller MCC
374623

• Electronic Starter
• Encrypted Communications Level 1 -Controller I/O
Level 0 - Process Drive

Travessia segura de dados IACS pela Zona Desmilitarizada Industrial

2 ENET-WP038A-PT-P
Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
Zona Desmilitarizada Industrial

Zona Desmilitarizada Industrial

Às vezes conhecida como uma rede de perímetro, a IDMZ (Figura 2) é um buffer que impõe
políticas de segurança de dados entre uma rede confiável (Zona Industrial) e uma rede não
confiável (Zona Empresarial). A IDMZ é uma camada adicional de defesa profunda para
compartilhar com segurança serviços de rede e dados IACS entre as Zonas Empresarial e
Industrial. O conceito de zona desmilitarizada é comum em redes de TI tradicionais, mas seu uso
ainda está começando para aplicações IACS.
Para compartilhamento seguro de dados IACS, a IDMZ contém ativos que atuam como
intermediários entre as zonas. Existem vários métodos para intermediar dados IACS na IDMZ:
• Usar um espelho de aplicação, como uma interface PI a PI para FactoryTalk® Historian
• Usar os serviços do Microsoft® Remote Desktop Gateway (RD Gateway)
• Usar um servidor proxy reverso
Esses métodos de intermedição, que ajudam a ocultar e proteger a existência e as características
dos servidores da Zona Industrial de clientes e servidores na Zona Empresarial, estão destacados
na Figura 2 e são cobertos na IDMZ CPwE

Figura 2 Modelo lógico da CPwE

Level 5 Enterprise Network

Enterprise
Security
Level 4 E-Mail, Intranet, etc. Site Business Planning and Logistics Network Zone

Firewall
Remote Patch AV
Gateway Management Server
Services Web Industrial
E -Mail Demilitarized
Application Web Services CIP
Reverse Zone
Mirror Operations Proxy
Firewall

FactoryTalk FactoryTalk Engineering Remote Industrial

Application Access
Directory Workstation Server Site Operations Security
Level 3 Server
Zone(s)
Area
FactoryTalk FactoryTalk Supervisory
Client Client Control
Level 2
Operator Engineering Operator
Interface Workstation Interface
Cell/Area
Basic Control
Continuous Zone(s)
Level 1 Batch Discrete Drive Safety
Process
Control Control Control Control
Control
374624

Level 0 Sensors Drives Actuators Robots Process

Os princípios de projeto de alto nível da IDMZ (Figura 3) incluem:

• Todo o tráfego da rede IACS de ambos os lados da IDMZ termina na IDMZ; nenhum tráfego
IACS atravessa diretamente a IDMZ:
– Não há caminho direto entre as zonas Empresarial e Industrial
– Não há protocolos comuns em cada firewall lógico
• O tráfego IACS EtherNet/IP™ não entra na IDMZ; ele permanece dentro da ZONA INDUSTRIAL
• Os serviços primários não ficam armazenados permanentemente na IDMZ
• Todos os dados são transitórios; a IDMZ não armazenará dados de maneira permanente
• Defina subzonas funcionais na IDMZ para segmentar o acesso a serviços de rede e dados
IACS (por exemplo, zona de parceiro confiável, operações e TI)
• Uma IDMZ projetada corretamente terá o recurso de ser desligada se for comprometida e
ainda permitir que a Zona Industrial opere sem interrupções

Travessia segura de dados IACS pela Zona Desmilitarizada Industrial

ENET-WP038A-PT-P 3
 Travessia segura de dados IACS pela Zona Desmilitarizada Industrial
IDMZ Converged Plantwide Ethernet

Figura 3 Conceitos de alto nível da Zona Desmilitarizada Industrial

Untrusted ? Trusted?
Enterprise
Disconnect Point Security
Zone

Replicated
IDMZ
Services

No Direct
IACS Traffic

Industrial
Disconnect Point
Security
Zone

374625
Trusted

IDMZ Converged Plantwide Ethernet

O CPwE IDMZ Cisco Validated Design (CVD) descreve as considerações de projeto e os requisitos
fundamentais para ajudar a projetar e implantar uma IDMZ com sucesso. Os serviços de rede e
dados IACS entre as Zonas Empresarial e Industrial incluem:
• Uma visão geral da IDMZ e as considerações de projeto fundamentais
• Uma estrutura de arquitetura resiliente de CPwE:
– Firewalls de IDMZ redundantes
– Switches Ethernet redundantes de distribuição/agregação
• Metodologias para atravessar com segurança dados IACS pela IDMZ:
– Espelho de aplicação
– Proxy reverso
– Serviços remotos de gateway de área de trabalho
• Metodologias para atravessar com segurança serviços de rede pela IDMZ
• Casos de uso de CPwE IDMZ:
– Aplicações IACS: por exemplo, Secure File Transfer, aplicações FactoryTalk (FactoryTalk
Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition (SE), FactoryTalk
ViewPoint, FactoryTalk AssetCentre, Studio 5000®)
– Serviços de rede: por exemplo, Active Directory (AD), Identity Services Engine (ISE),
controle de controlador de LAN wireless (WLC) e provisionamento de pontos de acesso
wireless (CAPWAP), Network Time Protocol
– Acesso remoto seguro
• Etapas importantes e considerações de projeto para a configuração e implementação da IDMZ

Observação Esta versão da arquitetura CPwE se concentra em EtherNet/IP, que é acionada pelo protocolo
industrial comum (CIP) ODVA. Consulte a seção Protocolos de Comunicação IACS do Guia de
implementação e projeto da CPwE.

Travessia segura de dados IACS pela Zona Desmilitarizada Industrial

4 ENET-WP038A-PT-P
 Travessia segura de dados IACS pela Zona Desmilitarizada Industrial

Site da Rockwell Automation:

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

Site da Cisco:
http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html

A Cisco é líder mundial em redes, transformando a forma como as pessoas se conectam, comunicam e colaboram. Informações sobre a Cisco podem ser encontradas em
www.cisco.com. Para notícias atuais, acesse http://newsroom.cisco.com. Os equipamentos da Cisco na Europa são fornecidos pela Cisco Systems International BV,
subsidiária da Cisco Systems, Inc.

www.cisco.com
Matriz corporativa nas Américas Matriz corporativa na Ásia-Pacífico Matriz corporativa na Europa
Cisco Systems, Inc. Cisco Systems (USA) Pte. Ltd. Cisco Systems International BV
San Jose, CA Cingapura Amsterdã, Holanda

A Cisco tem mais de 200 escritórios no mundo todo. Endereços, números de telefones e faxes podem ser encontrados no site da Cisco em www.cisco.com/go/offices.

Cisco e o logotipo da Cisco são marcas comerciais ou marcas registradas da Cisco e/ou suas afiliadas nos EUA e em outros países. Para exibir uma lista com as marcas comer-
ciais da Cisco, visite: www.cisco.com/go/trademarks. As marcas comerciais de terceiros mencionadas são de propriedade de seus respectivos proprietários. O uso da palavra
parceiro não implica uma relação de parceria entre a Cisco e qualquer outra empresa. (1110R)

A Rockwell Automation é fornecedora líder de soluções de alimentação, controle e informações que permitem aos clientes obter produtos mais rapidamente no mercado,
reduzindo os custos totais de propriedade, melhorando a utilização dos ativos da fábrica e minimizando os riscos nos ambientes de produção.

www.rockwellautomation.com
Américas: Ásia-Pacífico: Europa/Oriente Médio/África:
Rockwell Automation Rockwell Automation Rockwell Automation
1201 South Second Street Level 14, Core F, Cyberport 3 NV, Pegasus Park, De Kleetlaan 12a
Milwaukee, WI 53204-2496 EUA 100 Cyberport Road, Hong Kong 1831 Diegem, Bélgica
Tel: (1) 414.382.2000, fax: (1) 414.382.4444 Tel: (852) 2887 4788, fax: (852) 2508 1846 Tel: (32) 2 663 0600, fax: (32) 2 663 0640

Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 e Studio 5000 são marcas comerciais da Rockwell Publicação ENET-WP038A-PT-P - Maio de 2015
Automation, Inc. EtherNet/IP é uma marca comercial da ODVA.

© 2015 Cisco Systems, Inc. e Rockwell Automation, Inc. Todos os direitos reservados.