Enabling the Internet of Everything: Cisco’s IoT Architecture
Sécurité industrielle globale - Rockwell Automation...Cisco’s Ethernet to the Factory, provide...
Transcript of Sécurité industrielle globale - Rockwell Automation...Cisco’s Ethernet to the Factory, provide...
Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle
Livre blanc
Mai 2015
Numéro de référence du document : ENET-WP038A-FR-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment. • Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS
ENET-WP038A-FR-P
s données de
Circulation sécurisée desystèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielleLes réseaux des systèmes d’automatisation et de commande industriels (IACS) sont généralement ouverts implicitement ; l’ouverture facilite la coexistence de la technologie et l’interopérabilité des périphériques de l’IACS. L’ouverture exige également la sécurisation des réseaux de l’IACS à l’aide d’une configuration et d’une architecture ; ce qui revient à défendre la périphérie. Plusieurs organisations et organismes de normalisation recommandent de séparer les réseaux des systèmes commerciaux des réseaux d'usine à l’aide d’une zone démilitarisée industrielle (IDMZ).
L’IDMZ existe sous forme de réseau distinct situé à un niveau, communément appelé niveau 3.5, situé entre les zones industrielles et les zones d’entreprises. Un environnement d’IDMZ se compose de nombreux périphériques d’infrastructure, notamment des pare-feu, des serveurs VPN, des miroirs d’application IACS et des serveurs proxy inverses, en plus de périphériques d’infrastructure réseau tels que des commutateurs, des routeurs et des services virtualisés.
Converged Plantwide Ethernet (CPwE) est l’architecture sous-jacente qui fournit des services de réseau standard pour les disciplines de contrôle et d’information, ainsi que les périphériques et les équipements qui se trouvent dans les applications IACS modernes. L’architecture CPwE fournit des directives de conception et d’implémentation pour atteindre les exigences de communication en temps réel, de fiabilité, d’évolutivité, de sécurité et de résilience de l’IACS.
L’IDMZ CPwE pour les applications IACS a pu être mise sur le marché grâce à une alliance stratégique entre Cisco Systems® et Rockwell Automation. L’IDMZ CPwE détaille les considérations de conception afin de concevoir et d’exécuter une IDMZ avec succès et de partager en toute sécurité des données de l’IACS dans l’IDMZ.
Sécurité industrielle globaleAucun produit, ni aucune technologie ou méthode ne peut pleinement sécuriser les applications IACS. Protéger les actifs de l’IACS nécessite une approche de sécurité de défense en profondeur, qui répond aux menaces à la sécurité interne et externe. Cette approche utilise plusieurs couches de défense (physique, procédurale et électronique) à des niveaux distincts de l’IACS, qui répondent à différents types de menaces.
Note Les exigences de sécurité pour une IDMZ physique doivent prendre en compte les besoins de l’application IACS, étant donné que les données doivent être transmises de façon sécurisée de la zone industrielle vers la zone de l’entreprise. Séparément, la traduction d’adresses réseau (NAT) et les services d’identité font partie de l’architecture globale de sécurité du CPwE. Ils sont tous deux disponibles séparément, en complément de l’approche de sécurité industrielle globale du CPwE.
1) dans la zone démilitarisée industrielle
Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle
Sécurité industrielle globale
Le cadre de sécurité pour réseau industriel du CPwE (Figure1), qui utilise une approche de défense en profondeur, est conforme aux normes de sécurité industrielle, telles que le système d’automatisation et de commande industriel (IACS) ISA/IEC-62443 (anciennement ISA-99) et le système de contrôle industriel (ICS) NIST 800-82.
La conception et l’exécution d’un cadre de sécurité réseau complet pour l'IACS devraient servir d’extension naturelle pour l’IACS. La sécurité réseau ne doit pas être prise en considération après coup. Le cadre de sécurité pour réseau industriel doit être omniprésent et au centre de l’IACS. Cependant, pour les déploiements d’IACS existants, les mêmes couches de défense en profondeur peuvent être appliquées de manière progressive pour aider à améliorer la sécurité de l’IACS.
Les couches de défense en profondeur de la CPwE (Figure1) comprennent :
• des ingénieurs spécialisés en systèmes de commande (en brun) responsables de la sécurisation renforcée des périphériques de l’IACS (par ex., mesures physiques et électroniques), de la sécurisation renforcée des périphériques infrastructurels (par ex., sécurité des ports), de la segmentation réseau ainsi que de l’authentification, l’autorisation et la traçabilité de l’application IACS (protocole AAA) ;
• des ingénieurs spécialisés en systèmes de commande en partenariat avec des ingénieurs spécialisés en réseaux informatiques (en bleu) responsables du pare-feu de stratégie basé sur zones au niveau de l’application IACS, de la sécurisation renforcée des systèmes d’exploitation, de la sécurisation des périphériques réseau (par ex., contrôle d’accès et résilience) et des stratégies d’accès sans fil au réseau local ;
• des architectes en sécurité informatique en partenariat avec des ingénieurs spécialisés en systèmes de commande (en violet) responsables d’Identity Services (services câblés et sans fil), d’Active Directory (AD), des serveurs d’accès à distance, des pare-feu d’usine et des pratiques exemplaires de conception de zones démilitarisées industrielles (IDMZ).
Figure1 Cadre de sécurité réseau industriel CPwE
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
2Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle
ENET-WP038A-FR-P
Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle
Zone démilitarisée industrielle
Zone démilitarisée industrielleParfois appelée « zone d’accueil », l’IDMZ (Figure 2) est une zone tampon permettant de mettre en œuvre des stratégies de sécurité des données dans un réseau non fiable (la zone d’entreprise) à partir d’un réseau de confiance (la zone industrielle). L’IDMZ est une couche de défense en profondeur complémentaire qui sécurise l’échange de données de l’IACS et de services réseau entre la zone industrielle et la zone d’entreprise. Si le principe de zone démilitarisée régit déjà largement les réseaux informatiques traditionnels, il n’est encore que très peu exploité par les applications IACS.
Pour protéger les échanges de données de l’IACS, l’IDMZ comporte des actifs qui font l’intermédiaire entre les zones. Il existe de nombreuses méthodes permettant de faire circuler les données dans l’IDMZ :
• Utiliser un miroir d’application tel qu’une interface PI-to-PI pour FactoryTalk® Historian
• Utiliser les services de passerelle Bureau à distance de Microsoft® (RD Gateway)
• Utiliser un proxy inverse
Ces méthodes de conciliation sont mises en évidence sur la Figure 2 et sont couvertes par l’IDMZ CPwE. Elles contribuent au masquage et à la protection de l’existence et des caractéristiques des serveurs de la zone industrielle, qui sont mis à l’abri des clients et des serveurs de la zone d’entreprise.
Figure 2 Modèle logique CPwE
Les principes de conception de l’IDMZ de haut niveau (Figure 3) sont les suivants.
• L’intégralité du trafic réseau de l’IACS, qu’il provienne d’un côté ou de l’autre de l’IDMZ, aboutit à l’IDMZ ; le trafic de l’IACS ne traverse jamais directement l’IDMZ :
– Il n’existe pas de chemin direct entre la zone industrielle et la zone d’entreprise.
– Il n’existe aucun protocole commun entre les différents pare-feu logiques.
• Le trafic de l’IACS EtherNet/IP™ ne pénètre pas dans l’IDMZ ; il est contenu dans la zone industrielle.
• Les principaux services ne sont pas stockés de manière permanente dans l’IDMZ.
• Toutes les données sont temporaires ; l’IDMZ ne stocke pas les données de manière permanente.
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Remote Gateway Services
Patch Management
AV Server
Application Mirror
Web Services Operations
Reverse Proxy
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
FactoryTalkApplication
Server
FactoryTalk Directory
Engineering Workstation
Remote Access Server
FactoryTalkClient
Operator Interface
FactoryTalkClient
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
ContinuousProcess Control
Safety Control
Sensors Drives Actuators Robots
Enterprise
Security
Zone
Industrial
Demilitarized
Zone
Industrial
Security
Zone(s)
Cell/Area
Zone(s)
WebE -Mail
CIP
Site Operations
Area Supervisory
Control
Basic Control
Process
Firewall
Firewall
3746
24
3Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle
ENET-WP038A-FR-P
Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle
IDMZ CPwE
• L’IDMZ peut être divisée en sous-zones fonctionnelles pour segmenter l’accès aux données de l’IACS et aux services réseau (par ex., IT, Exploitation, Partenaires de confiance).
• Une IDMZ correctement conçue doit pouvoir être mise hors service si sa sécurité est compromise, sans toutefois interrompre le fonctionnement de la zone industrielle.
Figure 3 Concepts de haut niveau de la zone démilitarisée industrielle
IDMZ CPwELe programme CVD (« Cisco Validated Design ») de Cisco pour IDMZ CPwE souligne les principales exigences et considérations de conception à prendre en compte pour élaborer et déployer une IDMZ de manière optimale. Les données de l’IACS et les services réseau entre la zone industrielle et la zone d’entreprise comprennent :
• une présentation de l’IDMZ et les principales considérations de conception.
• un cadre architectural CPwE résilient :
– pare-feu IDMZ redondants
– commutateurs Ethernet de distribution/d’aggrégation redondants
• des méthodes sécurisant la circulation des données de l’IACS dans l’IDMZ :
– miroir d’application
– proxy inverse
– services de passerelle Bureau à distance
• des méthodes sécurisant la circulation des services réseau dans l’IDMZ.
• des cas d’utilisation de l’IDMZ CPwE :
– applications IACS, par exemple les applications Secure File Transfer et FactoryTalk (FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition [SE], FactoryTalk ViewPoint, FactoryTalk AssetCentre et Studio 5000®)
– services réseau, par exemple Active Directory (AD), Identity Services Engine (ISE), commande par contrôleurs WLC et mise à disposition de points d’accès sans fil (CAPWAP), et protocole de temps du réseau
– accès à distance sécurisé
• des étapes et des considérations de conception importantes pour l’exécution et la configuration de l’IDMZ.
No Direct IACS Traffic
Enterprise Security
Zone
IndustrialSecurity
Zone
Disconnect Point
Disconnect Point
IDMZReplicated Services
Untrusted ? Trusted?
Trusted 3746
25
4Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle
ENET-WP038A-FR-P
Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle
Note Cette version de l’architecture CPwE cible l’EtherNet/IP, qui est géré par les protocoles CIP (« Common Industrial Protocol ») d’OVDA. Consultez la section sur les protocoles de communication de l’IACS du Guide de conception et d’exécution de l’architecture CPwE.
Site Internet de Rockwell Automation :
http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf
Site Internet de Cisco :
http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html
Cisco est le leader mondial dans le domaine de la mise en réseau qui transforme la façon dont les personnes se connectent, communiquent et collaborent. Vous trouverez
des informations concernant Cisco sur le site www.cisco.com. Pour obtenir les dernières nouvelles, veuillez visiter http://newsroom.cisco.com. L’équipement de Cisco en
Europe est fourni par Cisco Systems International BV, une filiale en propriété exclusive de Cisco Systems, Inc.
www.cisco.com
Siège social pour les Amériques
Cisco Systems, Inc.
San Jose, CA
Siège social pour la zone Asie-Pacifique
Cisco Systems (USA) Pte. Ltd.
Singapour
Siège social européen
Cisco Systems International BV
Amsterdam, Pays-Bas
Cisco a plus de 200 bureaux dans le monde entier. Les adresses, les numéros de téléphone et les numéros de télécopie sont indiqués sur le site Internet de Cisco à
l’adresse www.cisco.com/go/offices.
Cisco et le logo Cisco sont des marques commerciales ou des marques déposées de Cisco ou de ses filiales aux États-Unis et dans d’autres pays. Pour voir la liste des
marques de Cisco, visitez le site www.cisco.com/go/trademarks. Les marques commerciales tierces mentionnées appartiennent à leur détenteur respectif. L’utilisation du mot
« partenaire » n’implique pas une relation de partenariat entre Cisco et toute autre société. (1110R)
Rockwell Automation est un fournisseur de pointe en solutions de puissance, de commande et d’informations qui permettent aux clients de commercialiser leurs produits
plus rapidement, de réduire leur coût total de possession, de mieux utiliser les actifs de l’usine et de minimiser les risques dans leurs environnements de fabrication.
www.rockwellautomation.com
Amériques :
Rockwell Automation
1201 South Second Street
Milwaukee, WI 53204-2496, États-Unis
Tél. : (1) 414.382.2000, télécopieur : (1) 414.382.4444
Asie-Pacifique :
Rockwell Automation
Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
Tél. : (852) 2887 4788, télécopieur : (852) 2508 1846
Europe/Moyen-Orient/Afrique :
Rockwell Automation
NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Belgique
Tél. : (32) 2 663 0600, télécopieur : (32) 2 663 0640
Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 et Studio 5000 sont des marques commerciales
de Rockwell Automation, Inc. EtherNet/IP est une marque commerciale d’ODVA.
© 2015 Cisco Systems, Inc. et Rockwell Automation, Inc. Tous droits réservés.
Publication ENET-WP038A-FR-P - Mai 2015