ENET-WP011B-DE-P, Industrielle Firewalls in einer ... · Architecture“ über den Einsatz industrieller Firewalls in einer CPwE-Architektur in einem CVD (Cisco and Rockwell Automation

Die vier Schlüsselinitiativen von Rockwell Automation und Cisco:

Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur

White Paper

Dezember 2016

Dokumentreferenz-Nr.: ENET-WP011B-DE-P

• Gemeinsame technologische Sicht:Für ein industrielles Internet der Dinge und die für eine wettbewerbsfähige Fertigungsumgebung erforderliche Flexibilität, Transparenz und Effizienz ist eine vereinheitlichte, skalierbare Architektur mit offener Netzwerktechnologie nach Ethernet-IP-Standard unverzichtbar.

• Converged Plantwide Ethernet (CPwE)-Architekturen:Von den zuständigen Fachabteilungen bei Cisco und Rockwell Automation entwickelte Sammlung getesteter und validierter Architekturen. CPwE umfasst für die Disziplinen Produktionstechnologie (OT) und Informationstechnologie (IT) gleichermaßen relevante Inhalte wie dokumentierte Architekturen, Best Practices, Anleitungen und Konfigurationseinstellungen zur Unterstützung von Herstellern beim Design und der Bereitstellung einer skalierbaren, zuverlässigen, sicheren und zukunftsfähigen, werksweiten industriellen Netzwerkinfrastruktur.

• Gemeinsam entwickelte Produkte:Stratix® 5950 Industrial Firewall, Stratix 5100 Wireless Access Point/Workgroup Bridge und die industriellen Ethernet-Switches Stratix 5700, Stratix 5400 und Stratix 5410 vereinen das Beste von Cisco und das Beste von Rockwell Automation.

• Optimierung von Personal und Prozessen:Schulungen und Dienste, mit denen die Konvergenz von Produktionstechnologie (OT) und Informationstechnologie (IT) unterstützt werden sowie die erfolgreiche Bereitstellung von Architektur und Implementierung effizienter Betriebsabläufe, damit wichtige Ressourcen für Innovationen und höhere Produktivität eingesetzt werden können.

Industrielle Firewalls in einer Converged Plantwide E

ENET-WP011B-DE-P


Der vorherrschende Trend bei IACS-Netzwerken (Industrial Automation and Control System) ist das Zusammenwachsen von Produktions- (OT) und Informationstechnologie (IT). Converged Plantwide Ethernet (CPwE) hilft durch den Einsatz von Standard-Ethernet- und -IP-Technologie bei der Netzwerkkonvergenz. Dies hilft bei der Realisierung des industriellen Internet der Dinge (IIoT).

Konvergierte IACS-Netzwerke sind standardmäßig offen. Diese Offenheit erleichtert die Koexistenz verschiedener Technologien und die IACS-Gerätekompatibilität. Dies hilft bei der Auswahl führender IACS-Produkte. Diese Offenheit erfordert jedoch auch eine Absicherung und Härtung der IACS-Netzwerke durch Konfiguration und Architektur. Der Härtungsgrad hängt dabei von den jeweils erforderlichen Sicherheitsstandards ab. Wichtige Faktoren bei der Bestimmung des richtigen Sicherheitsstandards sind Geschäftspraktiken, Unternehmensstandards, Sicherheitsrichtlinien, Anwendungsanforderungen, Branchensicherheitsstandards, Konformität mit Vorschriften, Risikomanagementrichtlinien und Risikotoleranz.

Der werksweite Einsatz von industriellen Firewalls (IFW) ist Teil eines umfassenden industriellen Sicherheitsstandards zur Unterstützung der Härtung der IACS-Netzwerkinfrastruktur und zur Erstellung kleinere Trusted Zonen. Industrielle Firewalls können den Datenverkehr im gesamten werksweiten IACS-Netzwerk einschränken und überprüfen. OT-Mitarbeiter nutzen industrielle Firewalls häufig zum Schutz veralteter IACS-Anwendungen wie Anlagen, Maschinen und Skids. Maschinen- und Anlagenbauer (OEMs) integrieren industrielle Firewalls zunehmend in ihre Angebote. Moderne industrielle Firewalls können mit verschiedenen lokal oder zentral verwalteten Methodiken bereitgestellt und verwaltet werden und unterstützen so das Zusammenwachsen von OT und IT. Die lokale Verwaltung ist bei OT-Mitarbeitern und OEM-Anwendungen üblich. In der IT ist eine zentrale Verwaltung üblich.

Im Design and Implementation Guide (DIG) „Deploying Industrial Firewalls within a CPwE Architecture“ über den Einsatz industrieller Firewalls in einer CPwE-Architektur in einem CVD (Cisco and Rockwell Automation Validated Design) werden mehrere Anwendungsbeispiele für Design, Bereitstellung und Verwaltung von industriellen Firewalls in einem werksweiten IACS-Netzwerk beschrieben. Das CVD für industrielle Firewalls in einer CPwE-Architektur wird durch eine strategische Allianz zwischen Cisco Systems® und Rockwell Automation auf den Markt gebracht.

CPwE ist die zugrundeliegende Architektur, die Standardnetzwerkdienste für Steuerungs- und Informationsdisziplinen sowie Geräte in modernen IACS-Anwendungen bereitstellt. Die CPwE-Architekturen (Abbildung 1) werden von Cisco und Rockwell Automation

1thernet (CPwE)-Architektur


Industrial Security - ein ganzheitlicher Ansatz

getestet und validiert. Sie bieten Design- und Implementierungsrichtlinien, Testergebnisse und dokumentierte Konfigurationseinstellungen, die dazu beitragen, die Anforderungen moderner IACS-Anwendungen in Bezug auf Echtzeitkommunikation, Zuverlässigkeit, Skalierbarkeit und Ausfallsicherheit zu erfüllen.

Abbildung 1 CPwE-Architekturen

Notiz Diese Version der CPwE-Architektur konzentriert sich auf EtherNet/IP, das auf dem ODVA Common Industrial Protocol (CIP™) basiert, und ist für das industrielle Internet der Dinge (IIoT) vorbereitet. Weitere Informationen zu EtherNet/IP finden Sie unter odva.org unter der folgenden URL: http://www.odva.org/Technology-Standards/EtherNet-IP/Overview

Industrial Security - ein ganzheitlicher AnsatzEine vollständige Sicherung von IACS-Anwendungen kann mit einzelnen Produkten, Technologien oder Methoden nicht erreicht werden. Zum Schutz von IACS-Ressourcen ist ein Defense-in-Depth-Sicherheitskonzept erforderlich, das interne und externe Sicherheitsbedrohungen berücksichtigt. Dieses Konzept verwendet mehrere Verteidigungsschichten (administrativ, technisch und physikalisch) für verschiedene IACS-Ebenen, die sich gegen unterschiedliche Bedrohungsarten richten. Das CPwE Industrial Network Security Framework (Abbildung 2) verwendet ein Defense-in-Depth-Sicherheitskonzept und entspricht industriellen Sicherheitsstandards wie IEC-62443 (früher ISA-99) Industrial Automation and Control Systems (IACS) Security und NIST 800-82 Industrial Control System (ICS) Security.

IES IESIES

DAPWAP DAPWAP

IES IES

IES

IES IES

IES

IES

IES IES

IES

DAPWAP

IES

IES

IES

IES

IES

IES

3765

88

Wide Area Network (WAN) Data Center – virtualisierte Server• ERP – Unternehmenssysteme• E-Mail, Webdienste• Sicherheitsdienste – Active Directory (AD),

Identitätsdienste (AAA)• Netzwerkdienste – DNS, DHCPC• Call Manager

Unternehmen Internet

Identitätsdienste

Tatsächlich installierte oder virtualisierte Server• Patch-Management• AV-Server• Anwendungsspiegel• Remote-Desktop-Gateway-Server

Tatsächlich installierte oder virtualisierte Server• FactoryTalk Anwendungsserver und

Services-Plattform• Netzwerk- und Sicherheitsdienste –

DNS, AD, DHCP, Identitätsdienste (AAA)• Speicher-Array

Externe Demilitarized

Zone/Firewall

Identitätsdienste

Active (Aktiv)

Standby

Wireless LAN Controller (WLC) Remote

Access Server

Anlagen-Firewalls• Aktiv/Standby• Segmentierung des Datenverkehrs zwischen den Zonen• ACLs, IPS und IDS• VPN-Dienste• Proxy für Portal- und Remote-Desktop-Dienste

UnternehmenszoneEbenen 4 bis 5

IndustrielleDemilitarized Zone

(IDMZ)

Industrielle ZoneEbenen 0 bis 3

(werksweites Netzwerk)

Distribution Switch-Stapel

Core Switches


Access Switches

Access Switches

Zelle/ZoneEbenen 0 bis 2

Ebene 3 – Standortbetrieb(Steuerzentrale)

Kamera

Telefon

WGB

Steuerung Steuerung

WGB

LWAPLWAP

SSID5 GHz

Zelle/Zone – Ebenen 0 bis 2Redundante Sterntopologie – Ausfallsicherheit durch Flex LinksUnified WLAN (Leitungen, Maschinen, Skids, Ausrüstung)

Zelle/Zone – Ebenen 0 bis 2Ringtopologie – Resilient Ethernet Protocol (REP)Unified WLAN (Leitungen, Maschinen, Skids, Ausrüstung)

LWAP

Frequen-zumrichter

Steuerung E/A

SSID2,4 GHz Rockwell Automation

Stratix 5000/8000Access Switch (Layer 2)

BEDIENER-SCHNITT-

STELLE

Softstarter

Instrumentierung

Zelle/Zone – Ebenen 0 bis 2Lineare/Bus-/SterntopologieAutonomes WLAN (Leitungen, Maschinen, Skids, Ausrüstung)

Sicherheits-steuerung

Servoantrieb

AP

WGB Sicherheits-E/A

RoboterBEDIENER-SCHNITTSTELLE

Sicherheits-E/A

SSID5 GHz

Zelle/ZoneEbenen 0 bis 2

2Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur

ENET-WP011B-DE-P


Industrial Security - ein ganzheitlicher Ansatz

Design und Implementierung eines umfassenden Sicherheits-Frameworks für den IACS-Netzwerkzugriff sollten als natürliche Erweiterung der IACS-Anwendung verstanden werden und nicht im Nachhinein geplant werden. Das industrielle Sicherheits-Framework für den Netzwerkzugriff sollte durchdringend und als Kern des IACS konzipiert werden. Bei bestehenden IACS-Bereitstellungen können jedoch dieselben umfassenden Ebenen inkrementell angewendet werden, um die Zugriffssicherheitsstandards des IACS zu erhöhen.

Zu den umfassenden CPwE-Ebenen (Abbildung 2) gehören:

• Steuerungssystemtechniker (hellbraun hervorgehoben) – IACS-Gerätehärtung (z. B. physisch und elektronisch), Infrastrukturgerätehärtung (z. B. Portsicherheit), Netzwerksegmentierung (Erstellen vertrauenswürdiger Zonen), industrielle Firewalls (mit Überprüfung) am Rand der IACS-Anwendung, Authentifizierung, Autorisierung und Abrechnung (AAA) der IACS-Anwendung.

• Steuerungssystemtechniker in Zusammenarbeit mit IT-Netzwerktechnikern (blau hervorgehoben) – Computerhärtung (BS-Patching, Einsatz von Positivlisten für Anwendungen), Netzwerkgerätehärtung (z. B. Zugriffssteuerung, Ausfallsicherheit), WLAN-Zugriffsrichtlinien

• IT-Sicherheitsarchitekten in Zusammenarbeit mit Steuerungssystemtechnikern (violett hervorgehoben) – Identitätsdienste (kabelgebunden und drahtlos), Active Directory (AD), Remotezugriffsserver, Anlagen-Firewalls und Best Practices zum Design der industriellen Demilitarized Zone (IDMZ)

Abbildung 2 Industrielles CPwE-Netzwerksicherheitsframework

–

IES IES

IES

IESIES

DAPWAP

IFW

3765

89

Unternehmen Internet

Identitätsdienste

Externe Demilitarized

Zone/Firewall

Unternehmenszone: Ebenen 4 bis 5

Industrial Demilitarized Zone (IDMZ)Tatsächlich installierte oder virtualisierte Server• Patch-Management• AV-Server• Anwendungsspiegel• Remote-Desktop-Gateway-Server

Industrielle Zone: Ebenen 0 bis 3

Ebene 3 – Standortbetrieb

FactoryTalk ClientEbene 2 – Area Supervisory Control

Ebene 1 – SteuerungEbene 0 – Prozess

Steuerungssystemtechniker

Steuerungssystemtechniker in Zusammenarbeit mit IT-Netzwerktechnikern (Industrielle IT)

IT-Sicherheitsarchitekten in Zusammenarbeit mit Steuerungssystem-technikern IACS-Gerätehärtung

• Richtlinien und Verfahrensweisen• Physische Maßnahmen• Elektronische Maßnahmen• Verschlüsselte Kommunikation

VLANs, Segmentierungvertrauenswürdiger Domänen

Core Switches


Steuerung Steuerung Industrielle Firewall

Netzwerkstatus und -überwachung Best Practices zum Design der Standard-DMZ

Anlagen-Firewalls• Aktiv/Standby• Segmentierung des Datenverkehrs zwischen den Zonen• ACLs, IPS und IDS• VPN-Dienste• Proxy für Portal- und Remote-Desktop-Dienste

Netzwerkinfrastruktur• Härtung• Zugriffssteuerung• Stabilität

Portsicherheit• Physisch• Elektronisch

SoftstarterMCC

WGB

E/A

LWAP

SSID 2,4 GHz

Wireless LAN (WLAN)• Zugriffsrichtlinie

– Geräte-SSID– Anlagenmitarbeiter-SSID– Vertrauenswürdige

Partner-SSID• WPA2 mit AEL-Verschlüsselung• Autonomes WLAN

– vorab verteilter Schlüssel– 802.1X – (EAP-FAST)

• Unified WLAN– 802.1X – (EAP-TLS)– CAPWAP DTLSSSID

2,4 GHz

Wireless LAN Controller (WLC)

Active (Aktiv)

Standby

Active Directory (AD)Identity Services Engine (ISE)

FactoryTalk SecurityFireSIGHT Management CenterCisco Security ManagerRemote Access Server (RAS)

BS-HärtungAnwendungshärtung

Authentifizierung, Autorisierung und Abrechnung (AAA)

E/A

Frequenzumrichter


ENET-WP011B-DE-P


Anwendungsbeispiele für industrielle Firewalls

Anwendungsbeispiele für industrielle Firewalls IACS werden in einer Vielzahl von diskreten und Prozessanwendungen der Fertigungsindustrie eingesetzt, etwa in der Automobil-, Pharma- oder Konsumgüterindustrie, der Zellstoff- und Papierherstellung, der Öl- und Gasbranche, im Bergbau und der Energieerzeugung. IACS-Anwendungen basieren auf verschiedenen Steuerungs- und Informationsdisziplinen wie kontinuierliche Prozesssteuerung, Batch- und diskreter Fertigung sowie Hybridkombinationen. Eine der Herausforderungen für Hersteller ist die industrielle Härtung von Standard-Ethernet- und IP-konvergierten IACS-Netzwerktechnologien, um die geschäftlichen Vorteile des industriellen Internets der Dinge (IIoT) nutzen zu können.

Der Design and Implementation Guide (DIG) „Deploying Industrial Firewalls within a CPwE Architecture“ beschreibt die Konzepte, Anforderungen und Technologielösungen für Anwendungsfälle, die von Cisco und Rockwell Automation zur Unterstützung einer gehärteten und konvergierten werksweiten EtherNet/IP™-IACS-Architektur getestet, validiert und dokumentiert wurden. Es folgt eine Zusammenfassung der Anwendungsfälle von CPwE IFW CVD:

• Industrielle Firewall-Technologie – Übersicht:

– Betriebsarten:

– Inline Transparent-Modus

– Inline Routed-Modus

– Passiver Monitor-Only-Modus

– Netzwerkschutz (Adaptives Sicherheitsgerät von Cisco)

– Angriffsprävention und -erkennung (Cisco FireSIGHT® Management System), Deep Packet Inspection (DPI) des Common Industrial Protocol (CIP)

– Industrielle Firewall (IFW):

– Allen-Bradley® Stratix® 5950 Industrial Network Security Appliance

– Cisco Industrial Security Appliance 3000

• Anwendungsbeispiele für Anwendungen (Abbildung 3):

– Schutz von Anlage/Maschine/Skid

– Schutz der Zellen-/Bereichszone:

– Redundante Sterntopologie, Ringtopologie

– Überwachung der Zellen-/Bereichszone

• Anwendungsbeispiele für Verwaltung:

– Lokale Verwaltung:

– Befehlszeilenschnittstelle (CLI, Command Line Interface), Adaptive Security Device Manager

– Zentralisierte Verwaltung:

– Cisco FireSIGHT Management Center, Cisco Security Manager

– Migration von der lokalen zur zentralisierten Verwaltung industrieller Firewalls


ENET-WP011B-DE-P


Zusammenfassung

Abbildung 3 Werksweiter Einsatz industrieller Firewalls

ZusammenfassungCPwE besteht aus einer Sammlung getesteter und validierter Architekturen, welche von den zuständigen Fachabteilungen bei Cisco und Rockwell Automation entwickelt wurden und dem Cisco Validated Design (CVD)-Programm entsprechen. CPwE umfasst für die Disziplinen Produktionstechnologie (OT) und Informationstechnologie (IT) gleichermaßen relevante Inhalte wie dokumentierte Architekturen, Best Practices, Anleitungen und Konfigurationseinstellungen zur Unterstützung von Herstellern beim Design und der Bereitstellung einer skalierbaren, zuverlässigen, sicheren und zukunftsfähigen, werksweiten industriellen Netzwerkinfrastruktur. Da die Verwendung bewährter Designs eine schnellere Entwicklung und ein geringeres Risiko bei der Verbreitung neuer Technologien mit sich bringt, bedeutet CPwE zudem einen Kostenvorteil für die Hersteller.

Der Design and Implementation Guide (DIG) „Deploying Industrial Firewalls within a Converged Plantwide Ethernet Architecture“ beschreibt verschiedene Anwendungsbeispiele für Design, Bereitstellung und Verwaltung industrieller Firewalls in einer werksweiten IACS-Netzwerkinfrastruktur. In diesem DIG werden die wichtigsten Anforderungen von IACS-Anwendungen, die Technologie und hilfreiche Designkriterien hervorgehoben, die für ein erfolgreiches Design und eine erfolgreiche Bereitstellung dieser Anwendungsbeispiele im CPwE-Framework erforderlich sind.

Weitere Informationen zu CPwE-DIGs finden Sie unter den folgenden URLs:

• Website von Rockwell Automation:

– http://www.rockwellautomation.com/global/products-technologies/network-technology/architectures.page?

• Website von Cisco:

– http://www.cisco.com/c/en/us/solutions/enterprise/design-zone-manufacturing/landing_ettf.html

IES

IESIES

IES

IESIES

IES

IESIES

IES

IESIES

IESIESIES

IES

IFW

IFW

IFW

IFW

IFW

IFW

IFW

IndustrialDemilitarized Zone

(IDMZ)

Industrielle ZoneEbenen 0 bis 3

(werksweites Netzwerk)FireSIGHT Management Center Cisco Security Manager

Distribution Switch

Core Switches

Monitor-Modus

Transparent-Modus

IES IES

BEDIENERSCHNITTSTELLE

Skid

Skid Maschine Ausrüstung

Transparent-Modus

Transparent-Modus

Transparent-Modus

Zelle/Zone – Ebenen 0 bis 2Ringtopologie, Redundante Sterntopologie (Leitungen, Maschinen, Skids, Ausrüstung)

Industrieller Ethernet-Switch

FrequenzumrichterTransparent

-Modus Steuerung

Softstarter


ENET-WP011B-DE-P

http://www.rockwellautomation.com/global/products-technologies/network-technology/architectures.page?

http://www.cisco.com/c/en/us/solutions/enterprise/design-zone-manufacturing/landing_ettf.html


Zusammenfassung

Notiz Dieses Dokument verweist auf FireSIGHT Management Center als zentralisierte Management-Software für die IFW FirePOWER™-Module. Die Software wurde ab Version 6.0 in Firepower Management Center umbenannt. Beide Versionen sind zur Verwaltung von IFW FirePOWER-Modulen zur CIP-Überprüfung geeignet. Weitere Informationen zu dieser Terminologieänderung finden Sie im Cisco Firepower Compatibility Guide unter folgender URL:http://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-compatibility.html

Cisco ist weltweit führend im Bereich Networking und beeinflusst nachhaltig die Art und Weise, wie Menschen miteinander in Kontakt treten, kommunizieren und zusammenarbeiten. Weitere Informationen zu Cisco finden Sie unter www.cisco.com. Aktuelle Nachrichten finden Sie auf http://newsroom.cisco.com. Cisco-Geräte in Europa werden von Cisco Systems International BV geliefert, einer hundertprozentigen Tochtergesellschaft von Cisco Systems, Inc.

www.cisco.comZentrale in AmerikaCisco Systems, Inc.San Jose, CA

Zentrale im asiatisch-pazifischen RaumCisco Systems (USA) Pte. Ltd.Singapur

Zentrale in EuropaCisco Systems International BVAmsterdam, Niederlande

Cisco unterhält mehr als 200 Niederlassungen weltweit. Adressen, Telefon- und Faxnummern finden Sie auf der Cisco Website unter www.cisco.com/go/offices.

Cisco und das Cisco-Logo sind Marken oder eingetragene Marken von Cisco und/oder seinen angeschlossenen Unternehmen in den Vereinigten Staaten und bestimmten anderenLändern. Eine Liste der Cisco-Marken finden Sie hier: www.cisco.com/go/trademarks. Genannte Marken von Drittanbietern sind Eigentum der jeweiligen Unternehmen. DieVerwendung des Wortes "Partner" bedeutet nicht, dass eine Partnerschaft oder Gesellschaft zwischen Cisco und dem jeweils anderen Unternehmen besteht. (1110R)

Rockwell Automation ist ein führender Anbieter von Leistungs-, Steuerungs- und Informationslösungen, mit denen Kunden ihre Produktivität steigern und nachhaltiger agieren können. Mithilfe von Smart Manufactruing-Konzepten unterstützt Rockwell Automation seine Kunden bei der Wertmaximierung und der Zukunftsausrichtung durch den Aufbau eines Connected Enterprise.

www.rockwellautomation.comAmerika:Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496 USA

Tel.: +1 414 382-2000

Fax: +1 414 382-4444

Asiatisch-pazifischer Raum:Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hongkong

Tel.: +852 2887-4788

Fax: +852 2508-1846

Europa/Naher Osten/Afrika: Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Belgien

Tel.: +32 2 663-0600

Fax: +32 2 663-0640

Allen-Bradley, FactoryTalk, Rockwell Automation, Rockwell Software und Stratix sind Marken von Rockwell Automation, Inc.

Marken, die nicht Rockwell Automation gehören, sind Eigentum der entsprechenden Unternehmen.

EtherNet/IP und CIP sind Marken der ODVA.

© 2016 Cisco Systems, Inc. und Rockwell Automation, Inc. Alle Rechte vorbehalten. Publikation ENET-WP011B-DE-P Dezember 2016


ENET-WP011B-DE-P

Documents

ENET-WP011B-DE-P, Industrielle Firewalls in einer ... · Architecture“ über den Einsatz industrieller Firewalls in einer CPwE-Architektur in einem CVD (Cisco and Rockwell Automation