Embed Size (px)
Citation preview
在產業非軍事區 (IDMZ) 安全地傳送 IACS 資料
白皮書
2015 年 5 月
文件參照編號:ENET-WP038A-ZC-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment. • Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
在產業非ENET-WP038A-ZC-P
在產業非軍事區 (Industrial DMZ) 安全地傳送 IACS 資料
產業自動化和控制系統 (IACS) 網路通常預設為開放,這有助於技術共存和 IACS 裝置交互運作。 開放也需要 IACS 網路受到組態和架構,也就是防禦邊界的保護。 許多組織和標準機構建議使用產業非軍事區 (IDMZ),將產業系統網路從全廠區網路中劃分出來。
IDMZ 是位於產業與企業區之間的一個層級的獨立網路,通常稱為 3.5 層。IDMZ 環境包含多種基礎架構裝置,其中包括防火牆、VPN 伺服器、IACS 應用程式鏡像及反向 Proxy 伺服器,以及交換器、路由器及虛擬化服務等基礎架構裝置。
融合式全廠區乙太網路 (CPwE) 是提供標準網路服務的基礎架構,適用於現今 IACS 應用程式的控制和資訊領域、裝置及設備。 CPwE 架構提供設計與建置指南,以實現 IACS 的即時通訊、可靠度、擴充性、安全性及彈性需求。
CPwE IDMZ for IACS 應用程式透過 Cisco Systems® 與 Rockwell Automation 雙方的策略結盟推出上市。 CPwE IDMZ 詳細說明設計考量,有助於順利設計與建置 IDMZ,以便在 IDMZ 安全共用 IACS 資料。
整體產業安全性沒有任何單獨一個產品、技術或方法能夠充分保護 IACS 應用程式。 保護 IACS 資產需要深入防禦安全性方法,才能因應內部和外部安全性威脅。 這種方法在個別 IACS 及層使用多層防禦措施 ( 實體、程序和電子 ),因應不同類型的威脅。
注意 因為資料必須從產業區安全傳送至企業區,所以實體 IDMZ 的安全性需求必須辨別 IACS 應用程式需要。 網路位址轉譯 (NAT) 和身分識別服務分別都是 CPwE 整體安全性架構的一部分。 這些是個別獨立的措施,結合構成 CPwE 的整體產業安全性方法。
CPwE 產業網路安全性架構 ( 圖 1) 採用深入防禦方法,符合 ISA/IEC-62443 ( 原為 ISA-99) 產業自動化及控制系統 (IACS) 安全性及 NIST 800-82 產業控制系統 (ICS) 安全性等產業安全性標準。
設計和建置全面性 IACS 網路安全性架構應該是 IACS 的自然延伸。不應該事後才建置網路安全性。 產業網路安全性架構應該對於 IACS 而言相當普遍而重要。不過,就既有的 IACS 部署而言,可以逐漸運用相同的深入防禦層改善 IACS 的安全態勢。
1軍事區 (IDMZ) 安全地傳送 IACS 資料
在產業非軍事區 (IDMZ) 安全地傳送 IACS 資料產業非軍事區 (IDMZ)
CPwE 深入防禦層 ( 圖 1) 包括:
• 控制系統工程師 ( 以褐色標示 )—IACS 裝置強化 ( 例如:實體和電子 )、基礎架構裝置強化 ( 例如:連接埠安全性 )、網路分段、IACS 應用程式驗證、授權及帳戶管理 (AAA)
• 控制系統工程師協同 IT 網路工程師 ( 以藍色標示 )—IACS 應用程式、作業系統強化、網路裝置強化 ( 例如:存取控制、彈性 )、無線區域網路存取政策的區域型政策防火牆
• IT 安全性架構師協同控制系統工程師 ( 以紫色標示 )— 身分識別服務 ( 有線和無線 )、Active Directory (AD)、遠端存取伺服器、廠區防火牆、產業非軍事區 (IDMZ) 設計最佳實務
圖 1 CPwE 產業網路安全性架構
產業非軍事區 (IDMZ)IDMZ ( 圖 2) 是一個緩衝區,有時候被稱為週邊網路,能在受信任的網路 ( 產業區 ) 與不受信任的網路 ( 企業區 ) 之間強制實施資料安全性政策。 IDMZ 是深入防禦的另一層防護,能在產業區與企業區之間共用 IACS 資料和網路服務。 在傳統 IT 網路中,隔離區是十分常見的概念,不過,對於 IACS 應用程式仍處於早期採用的階段。
為了進行安全的 IACS 資料共用,IDMZ 包含在各區之間做為中介的資產。 有許多方法可以進行 IDMZ 的 IACS 資料中介:
• 使用應用程式鏡像,例如 FactoryTalk® Historian 的 PI 到 PI 介面
• 使用 Microsoft® 遠端桌面閘道 (RD 閘道 ) 服務
• 使用反向 Proxy 伺服器
這些中介方法有助於隱藏與保護產業區伺服器的存在和特性,與企業區的用戶端和伺服器相隔離,這些中介方法已在 圖 2 中重點標示,並涵蓋在 CPwE IDMZ 中。
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
2在產業非軍事區 (IDMZ) 安全地傳送 IACS 資料
ENET-WP038A-ZC-P
在產業非軍事區 (IDMZ) 安全地傳送 IACS 資料產業非軍事區 (IDMZ)
圖 2 CPwE 邏輯模型
高階 IDMZ 設計原則 ( 圖 3) 包括:
• IDMZ 任一端的所有 IACS 網路流量都會在 IDMZ 中終止;沒有 IACS 流量直接傳送到 IDMZ:
– 產業區與企業區之間沒有任何直接路徑
– 各個邏輯防火牆沒有共通的通訊協定
• EtherNet/IP™ IACS 流量不會進入 IDMZ;流量只會侷限在產業區內
• 主要服務不會永久儲存於 IDMZ 中
• 所有資料皆為暫存性資料:IDMZ 不會永久儲存資料
• 在 IDMZ 內設定功能子區以劃分 IACS 資料和網路服務 ( 例如:IT、作業和信任合作夥伴區 ) 的存取權。
• 妥善設計的 IDMZ 將能在遭到入侵時中斷連線,同時仍然讓產業區不中斷運作
圖 3 產業非軍事區 (IDMZ) 高階概念
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
Remote Gateway Services
Patch Management
AV Server
Application Mirror
Web Services Operations
Reverse Proxy
Enterprise Network
Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.
FactoryTalkApplication
Server
FactoryTalk Directory
Engineering Workstation
Remote Access Server
FactoryTalkClient
Operator Interface
FactoryTalkClient
Engineering Workstation
Operator Interface
Batch Control
Discrete Control
Drive Control
ContinuousProcess Control
Safety Control
Sensors Drives Actuators Robots
Enterprise
Security
Zone
Industrial
Demilitarized
Zone
Industrial
Security
Zone(s)
Cell/Area
Zone(s)
WebE -Mail
CIP
Site Operations
Area Supervisory
Control
Basic Control
Process
Firewall
Firewall
3746
24
No Direct IACS Traffic
Enterprise Security
Zone
IndustrialSecurity
Zone
Disconnect Point
Disconnect Point
IDMZReplicated Services
Untrusted ? Trusted?
Trusted 3746
25
3在產業非軍事區 (IDMZ) 安全地傳送 IACS 資料
ENET-WP038A-ZC-P
在產業非軍事區 (IDMZ) 安全地傳送 IACS 資料融合式全廠區乙太網路 IDMZ
融合式全廠區乙太網路 IDMZCPwE IDMZ Cisco 驗證設計 (CVD) 概要說明關鍵需求和設計考量,有助於順利設計與部署 IDMZ。產業區與企業區之間的 IACS 資料和網路包括:
• IDMZ 概觀和關鍵設計考量
• 具有彈性的 CPwE 構成架構:
– 備援 IDMZ 防火牆
– 備援散佈 / 彙總乙太網路交換器
• 將 IACS 資料安全地傳送到 IDMZ 的方法:
– 應用程式鏡像
– 反向 Proxy
– 遠端桌面閘道服務
• 將網路服務安全傳送到 IDMZ 的方法:
• CPwE IDMZ 使用案例:
– IACS 應用程式 — 例如:安全檔案傳輸、FactoryTalk 應用程式 (FactoryTalk Historian、FactoryTalk VantagePoint®、FactoryTalk View Site Edition (SE)、FactoryTalk ViewPoint、FactoryTalk AssetCentre、Studio 5000®)
– 網路服務 — 例如:Active Directory (AD)、身份識別服務引擎 (ISE)、無線存取點 (CAPWAP) 的無線區域網路控制器 (WLC) 控制與部署、網路時間通訊協定
– 安全遠端存取
• IDMZ 建置和組態的重要步驟和設計考量
注意 這個版本的 CPwE 架構著重於採用 ODVA 通用產業通訊協定 (CIP) 驅動的 EtherNet/IP。 請參閱《CPwE 設計及建置指南》的「IACS 通訊協定」小節。
洛克威爾自動化網站:http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf
Cisco 網站:http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html
4在產業非軍事區 (IDMZ) 安全地傳送 IACS 資料
ENET-WP038A-ZC-P
在產業非軍事區 (IDMZ) 安全地傳送 IACS 資料
Cisco 是改變人際之間聯繫、通訊和共同合作方式的全球網路領導廠商。 可以在 www.cisco.com 找到關於 Cisco 的資訊。 如需後續消息,請造訪
http://newsroom.cisco.com。 歐洲的 Cisco 設備由 Cisco Systems, Inc. 的全資子公司 Cisco Systems International BV 提供。
www.cisco.com
美洲總部Cisco Systems, Inc.
加州聖荷西
亞太地區總部Cisco Systems (USA) Pte. Ltd.
新加坡
歐洲總部Cisco Systems International BV
荷蘭阿姆斯特丹
Cisco 在全球設立 200 多處辦公室。 Cisco 網站 www.cisco.com/go/offices 列出地址、電話號碼及傳真號碼。
Cisco 及 Cisco 標誌為 Cisco 及 / 或其附屬公司在美國及其他國家的商標或註冊商標。 請前往此 URL:www.cisco.com/go/trademarks 檢視 Cisco 商標的清單。 提及的第三方商標為其各自擁有者的財產。 使用的「合作夥伴」一詞不表示 Cisco 與其他任何公司之間的合作夥伴關係。 (1110R)
Rockwell Automation 是電源、控制及資訊解決方案的領導供應商,能讓客戶加速產品上市、降低總擁有成本、更有效運用廠區資產,並大幅降低製造環境的風險。
www.rockwellautomation.com
美洲:洛克威爾自動化公司1201 South Second Street
Milwaukee, WI 53204-2496 USA
電話:(1) 414.382.2000,傳真:(1) 414.382.4444
亞太地區:洛克威爾自動化公司Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
電話:(852) 2887 4788,傳真:(852) 2508 1846
歐洲 / 中東 / 非洲:
洛克威爾自動化公司NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Belgium
電話:(32) 2 663 0600,傳真:(32) 2 663 0640
Integrated Architecture, FactoryTalk、Stratix 5700、Stratix 8000 及 Studio 5000 是 Rockwell Automation, Inc. 的商標。 EtherNet/IP 是 ODVA 的註冊商標。
© 2015 Cisco Systems, Inc. 及 Rockwell Automation, Inc. 保留所有權利。
出版品 ENET-WP038A-ZC-P - 2015 年 5 月
