AUP28 – Implementazione di funzioni di sicurezza
e protezione IP nell’Architettura Integrata
Relatore
PUBLIC INFORMATION
Rev 5058-CO900E
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Agenda
Sicurezza dei sistemi IACS
Difesa in profondità
Punti chiave – Considerazioni di progetto
Informazioni aggiuntive
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
2
La minaccia è reale!
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Driver del mercato industriale
Migliorare l’utilizzo delle risorse
Massimizzare il ritorno sull’investimento in automazione
Perseguire velocità e innovazione
Innovazione
Velocizzare la commercializzazione;
gestire il valore del marchio
Ridurre il
Consumo
di energia
Contestualizzare
i dati in informazioni
Gestire i rischi
Implementare sistemi e procedure per rispondere alle
dinamiche del mercato e ai requisiti regolamentari
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
4
CONNECTED ENTERPRISE
Ottimizzata per una rapida
creazione di valore
 Integrazione della catena di
fornitura
 Collaborativa, basata sulla
domanda
 Conforme e sostenibile
Azienda
PRODUTTIVITÀ
SOSTENIBILITÀ
Rete elettrica
intelligente
AGILITÀ
Clienti
Catena di
fornitura
DOCUMENTO RISERVATO
Centro di
distribuzione
Copyright © 2013 Rockwell Automation, Inc. All Rights Reserved.
5
Sicurezza informatica in prima pagina?
Prima c’era Stuxnet
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.Copyri6
Sicurezza informatica in prima pagina
Nel 2013 il gioco è cambiato.
Problemi di sicurezza informatica hanno portato alle dimissioni del CEO di
una grande azienda statunitense
Questo ha dimostrato che la produzione è la nuova “porta di servizio”.
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
7
Gli hacker hanno scoperto che l’accesso remoto
è un modo facile di entrare in una rete industriale
 Nuove varianti del malware Havex minacciano gli utenti dei sistemi di
controllo industriale e SCADA





PUBLIC INFORMATION
In primavera, gli hacker hanno iniziato a distribuire nuove versioni di un programma RAT (Remote Access
Dopo introducendosi
la scoperta del
software
sabotaggio
Trojan) denominato Havex
nei siti
web dei di
costruttori
di sistemi di controllo industriali (ICS)
e infettando il softwareindustriale
scaricabile. Stuxnet nel 2010, che si ritiene
abbia distrutto fino a 1.000 centrifughe per
F-Secure non ha fattol’arricchimento
il nome dei fornitori
ha detto
che due di loro sviluppano software di
di coinvolti
uranio ma
in Iran,
i ricercatori
gestione remota ICS
e che ilsuonato
terzo fornisce
telecamere di
industriali
adsulla
alta precisione e il software
hanno
il campanello
allarme
corrispondente. Secondo
la società
di vigilanza,
trovano
in Germania, Svizzera e Belgio.
mancata
sicurezza
deii fornitori
sistemisi di
controllo
industriale
e sulla
facilità condei
cuisoftware
possono
Gli hacker hanno modificato
i programmi
di installazione
in modo da scaricare ed eseguire
essere attaccati dagli hacker. Nonostante
sul computer un file aggiuntivo. Il file si chiama mbcheck.dll e si tratta effettivamente del malware Havex.
questi problemi, gli attacchi malware su
Questa conclusione è supportata
anche
dall’esistenza
unaenuova
componente Havex il cui scopo è
vasta scala
contro
sistemi diICS
SCADA
non alla
si sono
trasformati
in realtà, alle richieste OPC (Open Platform
quello di scansire le reti locali
ricercamai
di dispositivi
che rispondano
rendendo le nuove campagne Havex
Communications).
sporadiche ma comunque un segno di ciò
La componente Havex sfrutta lo standard
per raccogliere informazioni sui dispositivi di controllo
cheOPC
ci aspetta.
industriali e reinviarle al proprio server di comando e controllo (C&C) perché gli hacker possano
analizzarle, come hanno detto i ricercatori di F-Secure. “Sembra che questa componente sia utilizzata
come uno strumento per la raccolta di intelligence. Fino ad ora, non abbiamo visto alcuna funzione che
tenta di controllare l’hardware collegato.”
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
8
Impianto per la produzione di acciaio
danneggiato dagli hacker.
 Gli hacker si sono infiltrati in una fabbrica di acciaio tedesca e hanno reso
impossibile spegnere in sicurezza una fornace, secondo un report tedesco
sulla sicurezza pubblicato in sordina prima del nuovo anno. La violazione
ha causato danni “rilevanti” ed è già la seconda volta che un attacco
digitale provoca danni fisici, confermando i crescenti timori che la guerra
informatica non riguarderà più solo computer e reti.
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
9
Sta diventando LEGGE
Diversi paesi stanno
emanando leggi per
proteggere la loro
infrastruttura critica
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
10
Tendenze della sicurezza delle reti industriali
Standard di sicurezza industriale consolidati
 International Society of Automation
 ISO/IEC-62443 (prima ISA-99)
 Sicurezza dei sistemi di automazione e controllo industriali (IACS)
 Difesa in profondità
 Sviluppo IDMZ
 National Institute of Standards and Technology
 NIST 800-82
 Sicurezza dei sistemi di controllo industriali (ICS)
 Difesa in profondità
 Sviluppo IDMZ
 Department of Homeland Security/Idaho National Lab
 DHS INL/EXT-06-11478
 Sicurezza informatica dei sistemi di controllo: strategie di difesa in profondità
 Difesa in profondità
 Sviluppo IDMZ
Un’applicazione sicura dipende da più livelli di protezione.
La sicurezza industriale deve essere sviluppata come un sistema.
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
11
Agenda
Sicurezza dei sistemi ISC
Difesa in profondità
Punti chiave – Considerazioni di progetto
Informazioni aggiuntive
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
12
Quale rischio
Copyright © 2013 Rockwell Automation, Inc. All rights reserved.
13
Da chi?
Minacce per la sicurezza
Uomini
Sistemi
PUBLIC INFORMATION
• Dolo
• Ignoranza
• Configurazione
scorretta
• Mancanza di
controllo dei
privilegi
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
14
Rockwell Automation
Focus sulla sicurezza informatica industriale
Riduzione dei rischi per un funzionamento
sicuro e affidabile
… Architettura del sistema di controllo con sicurezza
stratificata per tentare di mantenere l’integrità operativa sotto
minaccia
Protezione di asset e
informazioni
… Prodotto e sistema con
caratteristiche antimanomissione per
contribuire a controllare gli accessi e
limitare l’esposizione delle informazioni
Allineamento a legislazione e standard
… Divulgazione responsabile con soluzioni del sistema di controllo che rispettino
gli standard globali e aiutino a soddisfare i requisiti di sicurezza indipendenti e
regolamentari
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
15
Difesa in profondità
 Non basta un unico prodotto o una
singola tecnologia o metodologia per
garantire al 100% la sicurezza delle
applicazioni dei sistemi di automazione
e controllo industriali (IACS).
 La protezione degli asset IACS richiede
un approccio di difesa in profondità, per
affrontare minacce alla sicurezza interne
ed esterne.
 Questo approccio utilizza più livelli di
difesa (fisica, procedurale ed
elettronica) su livelli IACS separati
applicando politiche e procedure che
affrontano diversi tipi di minacce.
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
16
Raccomandazioni per difendere i sistemi ICS
 Separare la rete di controllo dalla rete aziendale
Rafforzare la connessione alla rete aziendale
 Proteggere tutti i punti di entrata con solide procedure di autenticazione
 Rendere difficile la ricognizione dall’esterno

 Rafforzare l’interno della rete di controllo
Rendere difficile la ricognizione dall’interno
 Evitare singoli punti di vulnerabilità
 Scoraggiare le opportunità di espandere un compromesso

 Rafforzare i siti di campo e le connessioni dei partner

Diffidenza reciproca
 Monitorare gli eventi perimetrali e interni
 Cercare periodicamente le modifiche del livello di sicurezza
Copyright © 2013 Rockwell Automation, Inc. All rights reserved.
Due elementi critici per la sicurezza
informatica industriale
Non
tecnico
Tecnico
• Un programma di sicurezza
bilanciato deve includere rischi e
contromisure tecniche e non
tecniche
• Contromisure tecniche
(firewall, ACL a livello 3, ecc.) …
… fornire misure restrittive per …
• Contromisure non tecniche
(regole, politiche, procedure, ecc.)
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
18
Difesa in profondità
Le politiche di sicurezza industriale determinano le contromisure tecniche
 Accesso fisico – limitare al personale autorizzato l’accesso fisico a celle/aree, pannelli di
controllo, dispositivi, cablaggio e sala controllo
 Rete – infrastruttura di sicurezza
– ad es. firewall, lista di controllo degli accessi (ACL)
switch e router, AAA, sistemi di rilevamento
e prevenzione intrusioni (IDS/IPS)
 Rafforzamento dei computer – gestione patch,
software Anti-X, rimozione di applicazioni, protocolli
e servizi non utilizzati, chiusura di porte logiche
non utilizzate, protezione delle porte fisiche
 Applicazione – software di autenticazione, autorizzazione
e accounting (AAA)
 Rafforzamento dei dispositivi – gestione delle
modifiche, crittografia di comunicazione e controllo
degli accessi
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
19
Difesa in profondità
Sicurezza delle applicazioni – esempi
• FactoryTalk® Security
– Autenticazione centralizzata e controllo accessi
– Verifica dell’identità dell’utente prima di
consentire l’accesso al sistema
– Autorizzazione o rifiuto delle richieste di
eseguire certe azioni
• FactoryTalk® AssetCentre
– Memorizzazione centralizzata dei record di audit
– Accesso limitato ai dati di prodotto e sistema
– Backup e archiviazione dei file applicativi
PUBLIC INFORMATION
• Software di
programmazione
Studio 5000™
– Controllo dell’accesso a routine e AOI con
protezione del sorgente
– Controllo dell’accesso ai tag con Data
Access Control
– Rilevamento delle modifiche non autorizzate
con Change Detection
20
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.Princip
Difesa in profondità
Procedura fisica di rafforzamento dei controllori
 Procedura fisica:


PUBLIC INFORMATION
Limitare l’accesso ai sistemi di automazione e controllo industriali (IACS) al solo
personale autorizzato

Pannelli di controllo, dispositivi, cablaggio e sala controllo

Serrature, porte, chiavi a scheda

Videosorveglianza

Altri dispositivi di autenticazione (biometrici, tastierini, ecc.).
Impostare il selettore del controllore Logix su “RUN”
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
21
Difesa in profondità.
Design elettronico di rafforzamento dei controllori
Protezione del sorgente
Registro modifiche integrato
FactoryTalk Security
Controllo dell’accesso ai dati
PUBLIC INFORMATION
Slot sicuro con
modulo VPN integrato
Copyright © 2011 Rockwell Automation, Inc. Tutti i diritti riservati.
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
22
Difesa in profondità
Rafforzamento dei computer – esempi
 Gestione patch di sicurezza: stabilire e documentare un programma di gestione delle
patch di sicurezza per tracciare, valutare, testare e installare le patch software di
sicurezza informatica applicabili
 Tenere aggiornati i computer con service pack e correzioni di emergenza





Disabilitare gli aggiornamenti automatici
Controllare il sito web del fornitore del software
Testare le patch prima di implementarle
Schedulare l’applicazione delle patch durante i tempi di fermo
Implementare e manutenere software Anti-X (antivirus, antispyware, ecc.) e di
rilevamento malware

Disabilitare gli aggiornamenti e le scansioni in automatico
Testare gli aggiornamenti delle definizioni prima di implementarli

Schedulare le scansioni manuali durante i tempi di fermo

 Disinstallare le componenti Windows inutilizzate
 Protocolli e servizi
 Proteggere le interfacce USB, parallele o seriali poco o mai utilizzate
PUBLIC INFORMATION
23
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.Princip
Sicurezza delle reti industriali
Requisiti delle reti industriali e aziendali
Requisiti industriali
 Switch
 Gestiti e non gestiti
 Predominanza del livello 2
 Tipi di traffico
 Informazioni, controllo, sicurezza, controllo
assi, sincronizzazione temporale, gestione dei
consumi energetici
 Prestazioni
 Bassa latenza, basse fluttuazioni
 Priorità dati – QoS – livelli 2 e 3
 Indirizzamento IP
 Statico
 Sicurezza
 Politiche di sicurezza industriale implementate
in modo incoerente
 Aperte per default, chiuse per configurazione e
architettura
Requisiti aziendali
 Switch

Gestiti

Livello 2 e livello 3
 Tipi di traffico

Voce, video, dati
 Prestazioni

Bassa latenza, basse fluttuazioni

Priorità dati – QoS – livello 3
 Indirizzamento IP

Dinamico
Similitudini e
differenze?
 Sicurezza

Pervasiva

Politiche robuste
Copyright © 2013 Rockwell Automation, Inc. All rights reserved.
24
Tendenze della sicurezza delle reti industriali
Requisiti delle reti industriali e aziendali
Convergenza di Operation Technology (OT) e Information Technology (IT)
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
25
Sicurezza delle reti industriali
Collaborazione dei partner
Wireless, sicurezza,
commutazione/instradamento
Leader in
infrastruttura di
rete industriale
La rinomata
rete industriale n. 1
Livello fisico dell’infrastruttura di rete
Livello applicativo
Riduzione dei rischi Semplificazione del design Velocità di implementazione
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
26
Il modello Purdue e Rockwell Automation
 Rockwell Automation e CISCO Systems hanno definito un quadro di
produzione per creare una base per la segmentazione, la gestione e
l’applicazione delle politiche di rete che massimizzano l’integrazione
seamless delle contromisure tecniche di sicurezza informatica industriale e
minimizzano i rischi assunti dai clienti:
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
27
Quadro di sicurezza delle reti
Zona industriale demilitarizzata
Rete aziendale
Livello 5
Livello 4
E-mail, Intranet, ecc.
Azienda
Zona di
sicurezza
Rete di pianificazione dell’attività e logistica
Servizi
gateway
remoto
Gestione patch
Mirroring
applicazioni
Firewall
Server
AV
Servizi web
Operazioni
Web
E-mail
CIP
Server
applicazioni
DMZ
industriale
Firewall
Livello 3
Livello 2
FactoryTalk
Application
Server
FactoryTalk
Directory
Postazione
tecnica
Server di
accesso
remoto
Operazioni e
controllo del sito
Supervisione
area
FactoryTalk
Client
FactoryTalk
Client
Interfaccia
operatore
Postazione
tecnica
Interfaccia
operatore
Processo di
Livello 1
Livello 0
Controllo
batch
Controllo
discreto
Sensori
Controllo
azionamenti
Azionamenti
Zona di
sicurezza
industriale
Controllo
continuo
di processo
Attuatori
Robot
Controllo
sicurezza
Zona
cella/area
Controllo
di base
Modello logico – Sistema di automazione e controllo industriale (IACS)
Rete industriale multidisciplinare e convergente
Nessun traffico diretto tra zona aziendale e zona industriale
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
28
Quadro di sicurezza delle reti
Zona industriale demilitarizzata (IDMZ)
 Tutto il traffico di rete da qualunque parte della IDMZ termina nella IDMZ; il traffico di rete
non attraversa direttamente la IDMZ
 Solo un percorso tra le zone
 Nessun protocollo comune in ogni firewall logico
 Nessun traffico di controllo nella IDMZ, CIP inattivo
Affidabile? Inaffidabile?
 Nessun servizio primario permanentemente alloggiato
Zona di
Punto di
nella IDMZ
sicurezza
scollegamento
aziendale
 La IDMZ non deve alloggiare dati in modo permanente
 Mirroring dei dati applicativi per il trasferimento
Servizi
IDMZ
dei dati da/verso la zona industriale
replicati
 Limitare le connessioni in uscita dalla IDMZ
 Essere pronti a impedire l’accesso tramite il firewall
Nessun
traffico diretto
Punto di scollegamento
Zona di
sicurezza
industriale
Affidabile
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
29
Quadro di sicurezza delle reti ampliabile
Non tutto va bene per tutto
Rete a livello aziendale
Rete a livello aziendale
Rete a livello aziendale
Rete a livello aziendale
Switch
con VLAN
Rete a livello di impianto
Rete a livello di impianto
Rete a livello di impianto
Figura 1
Figura 2
Rete a livello di impianto
Figura 3
Figura 4
Non consigliato
Consigliato – Dipende … dagli standard del cliente, dalle politiche e dalle procedure di sicurezza, dalla tolleranza ai rischi e
dall’allineamento con gli standard di sicurezza IACS
Rete a livello aziendale
Rete a livello aziendale
Firewall
Router
(FW di zona)
PUBLIC INFORMATION
Rete a livello aziendale
IDMZ
Rete a livello di impianto
Rete a livello di impianto
Rete a livello di impianto
Buono
Migliore
Ottimo
Figura 5
Figura 6
Figura 7
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
30
Quadro di sicurezza delle reti
Architetture di riferimento EtherNet convergenti a livello di impianto (CPwE)
 Infrastruttura di rete IACS strutturata e
robusta
Zona aziendale
Livelli 4-5
 Politica di sicurezza industriale
Zona industriale
demilitarizzata
(IDMZ)
 Sicurezza pervasiva, non un
componente da aggiungere a posteriori
 Struttura di sicurezza basata
sull’approccio di “difesa totale”
 Implementazione DMZ industriale
 Politica degli accessi remoti con
implementazione robusta e sicura
Buone prassi di progettazione DMZ standard
WAN
aziendale
VLAN
Server fisici o virtualizzati
•
•
•
•
Cisco
ASA 5500
Gestione patch
Servizi gateway remoto
Mirroring applicazioni
Server AV
Firewall
(attivo)
Stato e
monitoraggio rete
AAA – applicazione
Catalyst
6500/4500
Server autenticazione,
Active Directory (AD),
Firewall
(standby)
Firewall impianto:
 Segmentazione di
traffico
tra zone
 ACL, IPS e IDS
 Servizi VPN
 Server proxy
per portale e terminali
AAA – rete
Resilienza
dispositivi di rete
Server di accesso remoto
Catalyst 3750
Stack di switch
StackWise
Livello 3 – Operazioni in sito
FactoryTalk Client
Rafforzamento e
controllo accessi
all’infrastruttura di rete
Rafforzamento dei client
Livello 2 – Supervisione area
Interf. operatore
VLAN, segmentazione
Domini trust
Controllori, I/O,
azionamenti
Sicurezza delle porte fisiche
Unified Threat
Management (UTM)
Rafforzamento controllori,
sicurezza fisica
I servizi di sicurezza di rete
non devono interferire con le
operazioni dei sistemi IACS
PUBLIC INFORMATION
Rafforzamento controllori,
comunicazioni codificate
I/O
Azionamento
Controllore
Livello 1 – Controllore
Controllore
Livello 0 – Processo
MCC Avviatore
graduale
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
31
Accesso remoto sicuro
CPwE – soluzione
Tecnico o
collaboratore
remoto
Client VPN Cisco
Internet
Zona aziendale
Livelli 4 e 5
Zona aziendale
Livelli 4 e 5
Zona demilitarizzata (DMZ)
Zona demilitarizzata (DMZ)
Zona industriale
Operazioni e controllo sito
Livello 3
Zone cella/area
Livelli 0–2
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Accesso remoto sicuro
CPwE – soluzione
Tecnico o
collaboratore
remoto
Datacenter
aziendale
IPSEC VPN
1. Il tecnico o il collaboratore remoto
stabilisce una VPN alla rete
aziendale; l’accesso è limitato
all’indirizzo IP del firewall DMZ
dell’impianto
Client VPN Cisco
Internet
Firewall
perimetro
aziendale
Zona aziendale
Livelli 4 e 5
WAN
aziendale
Zona aziendale
Livelli 4 e 5
Zona demilitarizzata (DMZ)
Zona demilitarizzata (DMZ)
Zona industriale
Operazioni e controllo sito
Livello 3
Zone cella/area
Livelli 0–2
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Accesso remoto sicuro
CPwE – soluzione
1. Il tecnico o il collaboratore remoto
stabilisce una VPN alla rete
aziendale; l’accesso è limitato
all’indirizzo IP del firewall DMZ
dell’impianto
2. Il portale sul firewall dell’impianto
consente l’accesso ai dati e ai file
delle applicazioni industriali
IPSEC VPN
Il sistema antintrusione (IPS) sul
firewall dell’impianto protegge dagli
attacchi provenienti da host remoti
Datacenter
aziendale
SSL VPN

Tecnico o
collaboratore
remoto
Client VPN Cisco
Internet
Zona aziendale
Livelli 4 e 5
Firewall
perimetro
aziendale
Tecnico
collegato
azienda
WAN
aziendale
HTTPS
Zona aziendale
Livelli 4 e 5
Gestione patch
Servizi terminale
Mirroring applicazioni
Server AV
Zona demilitarizzata (DMZ)
Rilevamento
errori
link Gbps
Cisco
ASA 5500
Firewall
(standby)
Firewall
(attivo)
Zona demilitarizzata (DMZ)
Zona industriale
Operazioni e controllo sito
Livello 3
Zone cella/area
Livelli 0–2
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Accesso remoto sicuro
CPwE – soluzione
1. Il tecnico o il collaboratore remoto
stabilisce una VPN alla rete
aziendale; l’accesso è limitato
all’indirizzo IP del firewall DMZ
dell’impianto
2. Il portale sul firewall dell’impianto
consente l’accesso ai dati e ai file
delle applicazioni industriali
3. Il firewall delega una sessione
client al server di accesso remoto
IPSEC VPN
Il sistema antintrusione (IPS) sul
firewall dell’impianto protegge dagli
attacchi provenienti da host remoti
Datacenter
aziendale
SSL VPN

Tecnico o
collaboratore
remoto
Client VPN Cisco
Internet
Zona aziendale
Livelli 4 e 5
Firewall
perimetro
aziendale
Tecnico
collegato
azienda
WAN
aziendale
HTTPS
Zona aziendale
Livelli 4 e 5
Gestione patch
Servizi terminale
Mirroring applicazioni
Server AV
Zona demilitarizzata (DMZ)
Rilevamento
errori
link Gbps
Cisco
ASA 5500
Firewall
(standby)
Catalyst
6500/4500
Protocollo Desktop
remoto (RDP)
Firewall
(attivo)
Zona demilitarizzata
(DMZ)
Server di accesso remoto
Zona industriale
Operazioni e controllo sito
Livello 3
Zone cella/area
Livelli 0–2
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Accesso remoto sicuro
CPwE – soluzione
1. Il tecnico o il collaboratore remoto
stabilisce una VPN alla rete
aziendale; l’accesso è limitato
all’indirizzo IP del firewall DMZ
dell’impianto
2. Il portale sul firewall dell’impianto
consente l’accesso ai dati e ai file
delle applicazioni industriali
3. Il firewall delega una sessione
client al server di accesso remoto
4. L’accesso alle applicazioni sul
server di accesso remoto è
limitato a determinate risorse
dell’impianto attraverso la
sicurezza delle applicazioni
industriali
IPSEC VPN
Il sistema antintrusione (IPS) sul
firewall dell’impianto protegge dagli
attacchi provenienti da host remoti
Datacenter
aziendale
Client VPN Cisco
Internet
Zona aziendale
Livelli 4 e 5
Firewall
perimetro
aziendale
SSL VPN

Tecnico o
collaboratore
remoto
Tecnico
collegato
azienda
WAN
aziendale
HTTPS
Zona aziendale
Livelli 4 e 5
Gestione patch
Servizi terminale
Mirroring applicazioni
Server AV
Zona demilitarizzata (DMZ)
Rilevamento
errori
link Gbps
Cisco
ASA 5500
Protocollo Desktop
remoto (RDP)
Firewall
(attivo)
Firewall
(standby)
Server applicazione FactoryTalk
•
•
•
•
Visualizzazione
Storico
AssetCentre
Transaction Manager
Servizi FactoryTalk
Piattaforma
• Directory
• Sicurezza/Audit
Server dati
Server di accesso remoto
Catalyst
6500/4500
• RSLogix 5000
• FactoryTalk View Studio
Catalyst 3750
Stack di switch
StackWise
EtherNet/IP
PUBLIC INFORMATION
Zona demilitarizzata
(DMZ)
Zona industriale
Operazioni e controllo sito
Livello 3
Zone cella/area
Livelli 0–2
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Quadro di sicurezza delle reti
Stratix 5900 Unified Threat Management (UTM)
Sistemi gestionali
a livello di azienda
Livelli 4 e 5 – datacenter
Zona aziendale
Livelli 3-5 – IDMZ
Sistemi operativi
a livello di impianto
a livello di sito
Server fisici o virtualizzati
•
•
•
•
•
Livello 3 – Operazioni in sito
Zona industriale
Piattaforma server e servizi FactoryTalk
Servizi di rete – ad es. DNS, AD, DHCP, AAA
Server di accesso remoto (RAS)
Gestore chiamate
Storage Array
Livelli 0–2
Zone cella/area
Stratix 5900
2) Firewall zona cella/area
Connessione
tra siti
Stratix 5900
1) Connessione tra siti
Stratix 5900
3) Integrazione costruttore
UTM
UTM
UTM
Sito remoto 1
Zona cella/area locale 1
Skid costruttore locale/Macchina 1
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
37
Quadro di sicurezza delle reti
Sicurezza delle porte fisiche
 Soluzioni codificate per
rame e fibra
 Prodotti di blocco
(Lock-in e Blockout)
proteggono le
connessioni
 Porta accesso dati
(cavo e jack codificati)
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
38
Sicurezza IACS
Rete EtherNet/IP dei sistemi di automazione e controllo industriali
 Predefinita aperta per consentire
la coesistenza di tecnologie e
l’interoperabilità dei dispositivi per
le reti di sistemi di automazione e
controllo industriali (IACS)
 Protezione per mezzo della
configurazione:



PUBLIC INFORMATION
Proteggere la rete
– perimetro di sicurezza
elettronico
Difendere il perimetro
– DMZ industriale (IDMZ)
Difesa in profondità
– più livelli di sicurezza
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
39
Servizi di rete e sicurezza:
Approccio al ciclo di vita di servizi e soluzioni
VALUTAZIONE
PUBLIC INFORMATION
PROGETTAZIONE
SVILUPPO
CONVALIDA
GESTIONE
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
40
Sicurezza IACS
Considerazioni di progettazione e implementazione
 Allinearsi agli standard di sicurezza dei sistemi di automazione e controllo
industriali

Report esterno DHS # INL/EXT-06-11478, NIST 800-82, ISO/IEC-62443 (prima ISA-99)
 Implementare l’approccio di difesa in profondità: nessun singolo prodotto e
nessuna singola metodologia o tecnologia protegge completamente le reti IACS
 Stabilire un dialogo aperto tra i gruppi di automazione industriale e i gruppi IT
 Stabilire una politica di sicurezza industriale
 Stabilire una IDMZ tra la zona aziendale e quella industriale
 Lavorare con partner affidabili, competenti in automazione e sicurezza
 “Good enough” security now, is better than “perfect” security … never.
(Tom West, Data General)
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
41
Materiale aggiuntivo
Risorse di sicurezza industriale
Risorse di
sicurezza
Servizi di
valutazione
Avvisi di
sicurezza
Tecnologia
di sicurezza
FAQ sulla
sicurezza
Qualificazione
patch MS
Servizi di
sicurezza
Architetture
di riferimento
Servizi di
valutazione
Leadership e
standard
[email protected]
http://rockwellautomation.com/security
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
42
Materiale aggiuntivo
 Siti web
 Architetture di riferimento
 Guide alla progettazione
 Converged Plant-wide EtherNet (CPwE)
 CPwE Resilient EtherNet Protocol (REP)
 Guide applicative
 Guida applicativa Infrastruttura in fibra ottica
 Considerazioni sulla progettazione wireless per le
applicazioni industriali
 White paper
 10 consigli per l’implementazione di EtherNet/IP a livello di
impianto
 Sicurezza degli asset (controllore e computer di produzione)
 Software di produzione con architetture di riferimento della
produzione
 Accesso remoto sicuro alle applicazioni e ai dati a livello di
impianto
 Considerazioni sulla progettazione della sicurezza delle reti dei
sistemi di automazione e controllo industriali
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
43
Materiale aggiuntivo
 Una nuova risorsa “diretta” per informazioni didattiche,
tecniche e innovative sulle comunicazioni industriali
 Protocollo Internet (IP) standard per
applicazioni industriali
 Coalizione di aziende innovative
www.industrial-ip.org
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
44
Ci sono domande?
PUBLIC INFORMATION
Follow ROKAutomation on Facebook & Twitter.
Connect with us on LinkedIn.
www.rockwellautomation.com
Rev 5058-CO900F
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.