ENET-WP037A-ES-P Implementación de servicios de...

Implementación de servicios de identidad dentro de una arquitectura Ethernet convergente en la planta

Documentación técnica

Mayo de 2015

Número de referencia del documento: ENET-WP037A-ES-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment.

• Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Implementación de servicios de identidad dentro de una arquitectu

ENET-WP037A-ES-P


A medida que aumenta el número de métodos para obtener acceso a la red industrial, también crece la complejidad para gestionar la seguridad de acceso a la red y controlar los riesgos desconocidos. Debido a la creciente demanda de acceso en la planta por parte de los contratistas (como fabricantes originales de equipos e integradores de sistemas), las redes de fábrica se enfrentan a continuas amenazas de seguridad.

Las redes del sistema de automatización y control industrial (IACS, por sus siglas en inglés) normalmente están abiertas de manera predeterminada, lo que facilita la coexistencia de la tecnología y la interoperabilidad del IACS. Las redes del IACS deben estar protegidas mediante configuración y arquitectura, ya que las computadoras desconocidas de los contratistas suponen un desafío a la seguridad de las operaciones a nivel de toda la planta.

La gestión y la seguridad que plantea la coexistencia en evolución de las diferentes tecnologías dentro de la planta hace necesario un planteamiento diferente. Ethernet convergente en la planta (CPwE, por sus siglas en inglés) utiliza Cisco Identity Services Engine (ISE) para permitir el acceso cableado o inalámbrico de computadoras a las redes del IACS por parte del personal de planta y los contratistas.

CPwE es la arquitectura subyacente que proporciona servicios de red estándar para el control y las disciplinas de información, los dispositivos y los equipos que se encuentran en las aplicaciones del IACS modernas. Cisco ISE se utiliza junto con la arquitectura CPwE para proporcionar una capa adicional y dinámica de seguridad de control de acceso a la red, mediante la identificación de computadoras basadas en Microsoft®, sistemas operativos y usuarios registrados, a fin de introducir políticas de seguridad en la infraestructura de red a la que accede la computadora. La arquitectura CPwE proporciona las pautas de diseño e implementación necesarias para cumplir los requisitos de comunicación en tiempo real, confiabilidad, escalabilidad, seguridad y resistencia del IACS. Cisco ISE está creado sobre la base de las mejores prácticas y arquitectura de red definidas, con un modelo de arquitectura de gestión centralizada, en el que el departamento de IT mantiene la gestión de la plataforma Cisco ISE que opera en la zona industrial.

Los servicios de identidad CPwE se han lanzado al mercado a través de una alianza estratégica entre Cisco Systems® y Rockwell Automation. El diseño validado por Cisco (CVD) de los servicios de identidad CPwE proporciona las pautas de diseño e implementación para Cisco Identity Services Engine dentro de la zona industrial.

1ra Ethernet convergente en la planta


Control de acceso seguro

Control de acceso seguro

Dado el aumento de computadoras conocidas y desconocidas que se conectan a la red del IACS, siguen desarrollándose métodos para gestionar las diferentes soluciones de seguridad y para mitigar riesgos. La seguridad física ya no es adecuada para prevenir los intentos de acceso a una red del IACS. La continua proliferación de conectividad de computadoras de contratistas y los ya de por sí limitados recursos operativos a nivel de toda la planta, hacen que el impacto potencial de no identificar y reparar las amenazas de seguridad implique un importante riesgo para las operaciones en fábrica. Los servicios de identidad CPwE suponen un nuevo planteamiento en materia de gestión y seguridad de la planta en evolución.

La protección de activos del IACS requiere un planteamiento de seguridad de protección total y gestión centralizada, que se ocupe de las amenazas de seguridad internas. Cisco ISE admite los métodos de acceso cableado e inalámbrico para la protección de los diferentes métodos de acceso a las redes del IACS por parte de los contratistas y del personal de la planta.

La estructura de seguridad de red industrial de CPwE (Figura1) utiliza un planteamiento de protección total y se ajusta a normas de seguridad industrial como ISA/IEC-62443 (anteriormente ISA-99) Seguridad del IACS y NIST 800-82 Seguridad del sistema de control industrial (ICS).

Diseñar e implementar una estructura de seguridad de acceso a la red del IACS debería ser una extensión natural del propio IACS y no implementarse como elemento secundario. La estructura de seguridad de acceso a la red industrial debería ser generalizada y básica en el IACS. No obstante, en implementaciones del IACS ya existentes, se pueden aplicar las mismas capas de protección total de manera incremental para contribuir a mejorar la política de seguridad de acceso del IACS.

Las capas de protección total de CPwE (Figura1) incluyen:

• Ingenieros de sistemas de control (resaltados en color tostado): refuerzo de dispositivos del IACS (por ejemplo, físico y electrónico), refuerzo de dispositivos de infraestructura (por ejemplo, seguridad de puerto), segmentación de red, autenticación, autorización y contabilidad de la aplicación del IACS.

• Ingenieros de sistemas de control en colaboración con ingenieros de redes IT (resaltados en azul): firewalls de acuerdo a la política específica de la zona en la aplicación del IACS, refuerzo de sistema operativo, refuerzo de dispositivo de red (como control de acceso o resistencia), políticas de acceso a LAN inalámbrica o cableada.

• Arquitectos de seguridad IT en colaboración con ingenieros de sistemas de control (resaltados en morado): servicios de identidad (conectados e inalámbricos), Active Directory (AD), servidores de acceso remoto, firewalls de planta, mejores prácticas de diseño de la zona desmilitarizada industrial (IDMZ).

2Implementación de servicios de identidad dentro de una arquitectura Ethernet convergente en la planta

ENET-WP037A-ES-P


Gestión de políticas de acceso unificado a la red para CPwE

Figura1 Estructura de seguridad de red industrial de CPwE

Gestión de políticas de acceso unificado a la red para CPwE

Cisco Identity Services Engine aumenta las posibilidades de IT empresarial para contribuir a garantizar el acceso inalámbrico y por cable de máxima seguridad dentro de la planta, y proporcionar:

• Gestión centralizada e integral de políticas

• Incorporación optimizada de dispositivos

• Aplicación dinámica

Se proporciona un modelo de política definido mediante atributos y basado en reglas para crear políticas de control de acceso. Cisco ISE incluye la capacidad de crear políticas más detalladas. Los atributos también se pueden crear de forma dinámica y guardarse para uso futuro a medida que se introduzcan nuevas operaciones y dispositivos de gestión en la red del IACS.

Como se muestra en la Figura 2, los servicios de identidad admiten múltiples depósitos externos de identidad, incluido Active Directory, tanto para la autenticación como para la autorización. Los administradores de redes de fábrica pueden configurar y gestionar de forma centralizada el acceso por cable e inalámbrico de empleados, invitados, proveedores y contratistas, en base a los servicios de autenticación y autorización disponibles desde una consola GUI basada en la web. Cisco ISE simplifica la administración mediante una gestión central integrada desde una única interface administrativa para entornos de red distribuida.

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••


ENET-WP037A-ES-P


Servicios de identidad Ethernet convergente en la planta

Figura 2 Servicios de identidad unificados para conexiones inalámbricas y cableadas

Mediante la incorporación de Cisco ISE se aplican políticas de provisión a través de la red en tiempo real, de manera que los usuarios experimentan acceso confiable a sus servicios desde conexiones inalámbricas y cableadas:

• Los dispositivos desconocidos se dirigen a un destino seguro definido a nivel administrativo, sin acceso a los recursos locales dentro de las operaciones en el lado de la planta.

• Los dispositivos confiables pueden tener acceso a las plataformas esenciales dentro de la zona industrial.

Estas funciones de detección de dispositivos se incluyen en los switches Allen-Bradley® Stratix y Cisco® y en los controladores LAN inalámbricos de Cisco (WLC), y permiten controlar de manera centralizada la generación de perfiles en toda la red en el punto de entrada y sin los costos y la gestión de equipos de superposición, dispositivos independientes o reemplazo de infraestructuras.

Servicios de identidad Ethernet convergente en la planta

La generación de perfiles de dispositivos dentro de la zona industrial se basa en un servicio de generación de perfiles de dispositivos que identifica las computadoras específicas que se conectan a la red en toda la planta. El servicio de generación de perfiles de Cisco ISE identifica las computadoras específicas que se conectan a un puerto de servicio de switch dentro de la zona de celda/área y su ubicación, o al momento de la conexión inicial a la red inalámbrica de la planta. Los perfiles de los dispositivos específicos se elaboran en base a las políticas de generación de perfiles de terminales dentro de Cisco ISE y, a continuación, se autoriza el acceso de las computadoras específicas a la red de toda la planta en función del resultado de la evaluación de la política o, por el contrario, se dirige la computadora no confiable a un destino seguro que se haya

EnterpriseWAN

Firewalls(Active/Standby)

MCC

Enterprise Zone: Levels 4-5

IO

Level 3Site Operations

Drive

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

FactoryTalk Client

Internet

ExternalDMZ / Firewall

WGB

IO

WLC (Active)

ISE PSN

WLC (Standby)

PACPAC

PACLevels 0-2Cell/Area Zone

Distribution switch

LWAP

3746

40

WLC (Enterprise)

ISE MnT

ISE PAN/PSN

Remote Access Server (RAS)

ISE Synchronization

ISE Logging

Laptop Client

Core switches

Core switches


ENET-WP037A-ES-P


Resumen

definido a nivel administrativo. El servicio de generación de perfiles facilita la gestión mediante la norma IEEE 802.1X de control de acceso y autenticación basada en puertos, compatible con los switches Ethernet industriales (IES) que soporta la arquitectura CPwE.

A través de la elaboración de perfiles de computadoras, Cisco ISE garantizará el acceso a la red de toda la planta únicamente de las computadoras del personal de planta y los contratistas. En función de la identidad del usuario o la computadora, Cisco ISE envía reglas de acceso seguro a Stratix o Cisco IES de manera que se garantice el cumplimiento coherente de la política en las operaciones en toda la planta, independientemente del lugar desde el que el usuario o la computadora intente obtener acceso .

Los servicios de identidad CPwE ofrecen flexibilidad centralizada en toda la planta al momento de decidir cómo implementar las políticas de invitados. Cisco ISE proporciona un portal de auto registro dirigido al personal de la planta, proveedores, socios e invitados para registrar y aprovisionar nuevos dispositivos de forma automática, en base a las políticas de empresa definidas por las operaciones en la planta. Los servicios de identidad CPwE permiten que IT pueda establecer un proceso automatizado y sencillo de aprovisionamiento y elaboración de perfiles de dispositivos en toda la planta para que el personal de planta introduzca sus computadoras en la red de la planta con ayuda limitada de IT.

ResumenDentro de la zona industrial, los servicios de identidad CPwE:

• Proporcionan gestión de identidades centralizada y sensible al contexto, fundamental para gestionar el control de acceso dentro de la zona industrial.

• Determina si los usuarios acceden a la red mediante una computadora autorizada y compatible con la política, y asigna el acceso en función del rol de usuario asignado, el grupo y la política asociada. Se tienen en cuenta variables como si se trata de un empleado, proveedor o socio, así como el puesto de trabajo, la ubicación y el tipo de dispositivo.

• Autoriza el acceso de los usuarios autenticados a segmentos específicos de la zona industrial en función de los resultados de autenticación.

Las redes del IACS se basan en la coexistencia de la tecnología y la interoperabilidad del IACS. Del mismo modo, las redes del IACS deben ser seguras y evitar que dispositivos desconocidos o no confiables pongan en peligro las operaciones en la planta. Los servicios de identidad CPwE son una capa de protección de acceso a la red de gestión centralizada, en redes industriales cableadas e inalámbricas distribuidas en la zona industrial. La integración de los servicios de identidad en la zona industrial proporciona diversas opciones de control de acceso para operaciones en toda la planta. Los servicios de identidad CPwE crean y distribuyen políticas de acceso en tiempo real que permiten al personal de planta y a contratistas experimentar acceso fiable desde cualquier lugar a la red de toda la planta.

Nota Esta versión de la arquitectura CPwE se centra en EtherNet/IP, y la controla el protocolo industrial común (CIP) de ODVA. Consulte la sección IACS Communication Protocols del documento CPwE Design and Implementation Guide.


ENET-WP037A-ES-P


Sitio web de Rockwell Automation

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

Sitio web de Cisco:

http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html

Cisco es el líder mundial en redes que transforman la manera en que las personas se conectan, comunican y colaboran. Puede encontrar información acerca de Cisco en

www.cisco.com. Para conocer las últimas noticias vaya a http://newsroom.cisco.com. Los equipos Cisco en Europa los suministra Cisco Systems International BV, empresa

subsidiaria propiedad absoluta de Cisco Systems, Inc.

www.cisco.com

Sede en AméricaCisco Systems, Inc.

San Jose, CA

Sede en Asia PacíficoCisco Systems (USA) Pte. Ltd.

Singapur

Sede en EuropaCisco Systems International BV

Ámsterdam, Países Bajos

Cisco cuenta con más de 200 oficinas en todo el mundo. Las direcciones y los números de teléfono y fax se indican en el sitio web de Cisco en www.cisco.com/go/offices.

Cisco y el logotipo de Cisco son marcas comerciales o marcas comerciales registradas de Cisco y/o sus filiales en EE.UU. y otros países. Para ver la lista de marcas comerciales

de Cisco, vaya a la URL: www.cisco.com/go/trademarks. Las marcas comerciales de terceros que se mencionan pertenecen a sus respectivos propietarios. El uso de la palabra

socio no implica una relación de asociación entre Cisco y cualquier otra compañía. (1110R)

Rockwell Automation es uno de los principales proveedores de soluciones de alimentación, control e información que permiten a los clientes llevar productos al mercado

con mayor rapidez, reducir el costo total de propiedad, utilizar mejor los activos de la planta y minimizar los riesgos en sus entornos de fabricación.

www.rockwellautomation.com

América:Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496 EE.UU.

Tel.: (1) 414.382.2000, Fax: (1) 414.382.4444

Asia Pacífico:Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

Tel.: (852) 2887.4788, Fax: (852) 2508.1846

Europa/Oriente Medio/África: Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Bélgica

Tel.: (32) 2 663 0600, Fax: (32) 2 663 0640

Allen-Bradley, FactoryTalk, Integrated Architecture, Stratix 8000, Stratix 5700, Stratix 8000 y Studio 5000 son

marcas comerciales de Rockwell Automation, Inc.

Microsoft es una marca comercial de Microsoft Systems. EtherNet/IP es una marca comercial de ODVA.

© 2015 Cisco Systems, Inc. y Rockwell Automation, Inc. Todos los derechos reservados.

Publicación ENET-WP037A-ES-P Mayo de 2015

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html

ENET-WP037A-ES-P Implementación de servicios de...

Documents

Transcript of ENET-WP037A-ES-P Implementación de servicios de...