Konzept SAP und Cisco - all-electronics.de · Konzept SAP und Cisco Dr. Arne Manthey, SAP AG, Walldorf Gerhard Koch, Cisco Systems GmbH, Stuttgart Der rasante Wandel der weltweiten

3. VDMA-TECHNIK-BENCHMARK SECURITY, 8.11.2007

Konzept SAP und Cisco Dr. Arne Manthey, SAP AG, Walldorf Gerhard Koch, Cisco Systems GmbH, Stuttgart

Der rasante Wandel der weltweiten Märkte in der verarbeitenden Industrie erfordert eine flexible, sichere und integrierte Unternehmenssteuerung. Am Beispiel der verarbeitenden Industrie soll aufgezeigt werden, wie die neuen Informationsflüsse Unternehmen effektiver und schneller machen. Echtzeit-Informationen sind die notwendige Grundvoraussetzung dafür. Um das Unternehmenswissen in globalen Märkten zu schützen, sind Sicherheitsaspekte auf den verschiedensten Ebenen zu beachten. Ziel der Beitrags ist, die einzelnen Aspekte am Beispiel eines Produktionsnetzes aufzuzeigen. IP-basierte Produktion und Logistik erfordern in Zukunft neue integrierte Sicherheitskonzepte, um die Geschäftsprozesse zu schützen. Gezeigt wird, wie durch ein ganzheitliches Sicherheitskonzept diese Anforderungen umgesetzt werden können. Dem Anwender wird ein umfassender Rahmen an die Hand gegeben, mit dem er Schritt für Schritt die Sicherheitsaspekte in seinem Unternehmen umsetzen kann. Heutige Grenzen des Konzepts stellt die Verfügbarkeit der IP-Technologie als solche dar. Grundvoraussetzung ist also die konsequente Umsetzung von IP im Unternehmen. Ein sukzessiver Umstieg auf IP-basierte Technologien ist zwingende Voraussetzung, um eine effektive Sicherheitsarchitektur umsetzen können. Anwendungen, die heute noch auf proprietären Kommunikationsverfahren basieren, sollten nach und nach umgestellt werden. Dr. Arne Manthey ist bei der SAP AG Produktmanager für produktionsbegleitende Softwarelösungen (SAP Manufacturing). Zuvor betreute er 7 Jahre lang Chemie- und Pharma-Kunden als Berater für PP-PI. Kurzbiografie: Studium Verfahrenstechnik in Stuttgart und Promotion im Fachgebiet Aerosole an der TU Karlsruhe. Seit 2000 bei SAP beschäftigt. [email protected] Gerhard Koch ist bei der Cisco Systems GmbH verantwortlich für das Erschliessen neuer Geschäftsfelder im Bereich Manaufacturing (High Tech, Automotive und Energy/Utilities). Dies führt unter anderem auch zu Produktneuentwicklungen. Kurzbiografie: Studium Informatik und Betriebswirtschaft. 14 Jahre IT Erfahrung, davon ca. 8 Jahre im Bereich Manufacturing. Seit 1998 bei Cisco beschäftigt, davor 5 Jahre bei Didata als Lead Architect Strategic Accounts. [email protected]

3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 1

© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1

VDMA-Technology-Benchmarking

“IT-Sicherheit und Administration von Automatisierungsnetzwerkenam Beispiel einer Dieffenbacher Spanplattenanlage”

- Cisco/SAP Security Konzeption –

Gerhard KochSenior Business Development Manager Lead High Tech Industries/[email protected]

Dr. Arne MantheySolution Manager [email protected]

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………


© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 2

Globale Market Trends und Herausforderungen für die verarbeitende Industrie

Von ZuSequentieller

Fertigung

Paralleler

Fertigung

Statischen

Enterprise Systemen

Rekonfigurierbare

Enterprise Systeme

Quelle: Herauforderungen im Jahre 2015 – NRC (National Research Council)

Echtzeit

Informationen

Echtzeit

Wissen

ZielErhöhte

Kosteneffizienz&

Geschäfts-Agilität

&Anpassungs-

fähigkeit

Trend zu immer mehr parallelen Fertigungsreihen. Treiber für diese Entwicklung sind neue aukommende Märkte mit speziellen Anforderungen, personalisierte Produkte , etc.

Weg von Modell: „Development – Produktion – Sales Aftersales“ – Künftig können auch z.BSales/Aftersales Prozesse die Produktion direkt mit beeinflussen

Dies führt in der Folge zur Anforderung, sich von statischen Unternehmensabläufen zu lösen und in dynamisch konfigurierbaren Unternehmensabläufen zu planen

Um diese Dynamik zu erreichen sind Echtzeit Informationen unabdingbar. Jede Information über z.b. Produktion und Logistik Prozesse steht überall zu jeder Zeit an jedem Ort In Echtzeit zur Verfügung.

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Alle Geräte vernetzt über IPAlle Geräte vernetzt über IP

Alle “Dienste” virtualisiertAlle “Dienste” virtualisiertKommunikation über IPKommunikation über IP

Alle Geräte über Ethernet angeschlossenAlle Geräte über Ethernet angeschlossen

Globale Technologie Trends in der „verarbeitenden Industrie“

Marktforschungsinstitute wie ARC oder Abiresearch prophezeien in der verarbeitenden Industrie den Einzug von „IP“ sowie Ethernet als Schnittstelle. Eine Standardisierung auf diese zwei Kerntechnologien haben sich im Office Umweld seit Jahren durchgesetzt und wird in Zukunft proprietäre Technologien in Produktionsumgebungen sukzessive ersetzen. Einfluss hat dieses auch auf die Applikationswelt in der sich ein Trend zu CompositeArchitectures und virtualisierten Diensten entwickeln wird.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



IntegratedCISCO/SAPSecurity Approach

SAPProduktionssteuerungund Visualisierung

SAPEnterprise RessourcePlanning

IP basierte Produktion

Enterprise

Innerhalb der Fabrik

Fabrik 2

“Asset Performance”

“ProduktionsEvents”

Integration der Lieferkette

Asset Management und Optimierung

VisualisierungüberxMII

Optimierung derAbläufe

“ProduktionsAusführung”

Statistiken, MES

Anlagen Prozesse Produkte

Fabrik Integration über SAP xMII

Zulieferer

Fabrik 3Fabrik 1

Cis

co +

SA

P

xMII

Security Services

xMII Visibility

Kunden

Cisco/SAP –Sichere und flexible Produktionssteuerung

Um diese Trends zu addressieren, sind Cisco und SAP eine strategische Partnerschaft eingegangen:

SAP hat durch die Aquise der Firma XMII Zugang zu Supply Chain und Produktionsumgebungenn erlangt und konsolisdiert die verschiedensten Datenquellen.Ciscokonzentriert sich auf die Einführung auf IP und die assozierten Technologien wie Security, Voice over IP, Video Überwachung im Produktionsumfeld. An der Schnittstelle wird mit Hilfe des SONA/XMII Frameworks eine Schnittstelle zwischen beiden Welten geschaffen, um in Realtime Informationen aus der IP Welt in die Prozesswelt zur Verfügung zu stellen. Damit kann flexibler in den Prozessen reagiert werden. Flexibilität bedeutet aber auch dass in Zukunft die Grenzen zwischen den Systemen verwischen (MES Systeme werden in Zukunktdirekt gekoppelt sein mit ERP Systemen. IP basierte Produktion in Kontakt stehen mit MES.

Sozusagen horizontal darüber kommt der Cisco Security Ansatz zum Tragen, der sensible Daten und Systeme schützen sollen.

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Agenda

Ganzheitliche Sicherheit in Industrienetzen

Gängige Industrie Standards im Bereich Sicherheit

Cisco’s Sicherheitsarchitektur in Industrienetzen

Anwendung auf die Aufgabenstellung

Diskussion und Fragen

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



SecurityManagement


Ganzheitliche Sicherheit in Industrienetzwerken

Um eine ganzheitliche Sicherheit im Produktionsumfeld zu definieren sind drei wesentlicheAspekte zu berücksichtigen:

Thread Defense: Das Abwehren von Bedrohungen von aussen und innen (Internet/Intranet)

Trust & Identity: Die Zugangs- und Zugriffskontrolle von Menschen und Maschinen auf automatisierte Abläufe

sowie eine sichere Kommunikation zu Produktionssystemen und deren einfachesManagement. Wichtig ist dabei Security als Service zu verstehen, was bedeutet, dass Einzel-Technologien wie IDS; FW und andere zu Security Lösungen zusammengefasst werden. Dadurch wird die Anwendbarkeit von Security allgemein erhöht.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



VPN, Encryption, IPsecSichere Kommunikation überungeschützteNetzbereiche hinweg

“Secure Connectivity”

Policy enforcement, monitoring, analysis and response, audit & reporting

Automatisiertes Security Management über sogenannte Security Policies ( Configuration, monitoring, analysis and respond to network activity )

“Security Management”

End-point Security, Firewall, QoS, RS Asset Security

Schützen von Anwendungen die auf Engeräten laufen(workstations, servers and devices).

“Application Security”

End-point protection, Firewall, Intrusion Protection, Analysis & Response

Monitoring auf Konsistenz des Netzwerk Verkehrs und Verhinderungvon Anomalien ( network activity for anomalous behavior )

“Threat Detection & Mitigation”

ACLs, MAC-filtering, VLANs, RS Asset Security, Application authorization

Zugangsberechtigung für einenBenutzer oder Gerät (Authentication, Authorization & Accounting)

“Trust & Identity”

Port security, End-point protection, Layer 2 & 3 protection

Schützen der “core network infrastructure” vor unberechtigtemZugriff oder Attacken

Schutz für “Network Core”

MechanismusBeschreibungSecurity Service

Ganzheitliche „Security Services“

Ganzheitliche Sicherheit in Industrienetzwerken

Um die verschiedenen Arten von Security Services zu definieren stehen eine Vielzahl von Security Funktionen zur Verfügung. Diese richten sich in der Regel nach dem OSI 7 Schichtenmodell aus. So reichen diese von einfachen Security Funktionen wie z.B Port Security oder ACL (Access Listen) bis Layer 7 Funktionen wie z.B Endpunkt Security(Monitoren von Systemaufrufen ausgelöst durch Anwendungen ). Der jeweilige SecurityService muss individuell an die verschiedenen Unternehmensanforderungen angepasst werden. Als Muss-Funktionen sind anzusehen Trust&Identity Service, Tread Detection und Secure Communication/Management .

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Agenda






………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



ISA SP-99: Security for Industrial Automation and Control Systems– Part 1: Terminology, Concepts, and Models– Part 2: Establishing an Industrial Automation and Control Systems Security

Program– Part 3: Operating an Industrial Automation and Control Systems Security

Program– Part 4: Specific Security Requirements for Industrial Automation and Control

Systems

ISA SP-100: Wireless Systems for AutomationISA SP-95: Enterprise Controls Systems IntegrationIEEE 1588: Precision Time ProtocolOPC – Ole for Process Control – Application standards for Automation devices and systemsNISTIAONA

Standards – Industrie Automation


Basierend auf Industriestandards wird die (Security) Architektur für Industrienetze vorgenommen. Wichtigster Standard in diesem Umfeld ist der ISA SP99, der Manufacturingund Control System Security regelt.

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Enterprise NetworkEnterpriseSecurity Zone

ManufacturingSecurity Zone

Site Business Planning and Logistics Network

Site Manufacturing Operations and Control

Area Control

Basic Control

Process

Safety-CriticalSafetySecurity Zone

AreaSecurityZone

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

SP99 – Security Referenzmodell


Im Referenzmodell SP99 ist folgende Einteilung wichtig:

Die Einteilung in sogenannte Security Zones

Die Enterprise Security Zone, welche dem Übergang in eine klassische DMZ entspricht. Manufacturing Zone, welche mit dem Operations Control gleich zu setzen ist. Innerhalb dieser werden sogenannte Areas oder Cluster unterschieden. Cluster sind Ansammlungen von Produktionszellen. Abgestuft nach diesen Bereichen werden je nach Anforderung bestimmte Security Services implementiert. SP99 gibt also eine logische Struktur zur Implementierung vor.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Site Business Planning and Logistics Network

BatchControl

DiscreteControl

SupervisoryControl

OperatorInterface

ContinuousControl

HybridControl

SupervisoryControl

OperatorInterface

Enterprise Network

Terminal Services

PatchMgmt

Web Services Operations

AVServer

ApplicationServer

Email, Intranet, etc

Router

Firewall

FirewallProductionControl

ProcessHistory

OptimizingControl

DomainController

ContinuousControl

webEmailCIP

Terminal Services

HistorianMirror

Level 5

Site Manufacturing Operations and Control

Area Supervisory

Control

Level 4

Basic Control

Process

Level 3

Level 2

Level 1

Level 0

ManufacturingZone

EnterpriseZone

DMZ

SP99 – Security Umsetzung von Cisco


Ein erster grundsätzlicher Schritt um Unternehmensnetz (Enterprise) von Produktionsbereich (Manufacturing Zone) zu trennen stellt das Konzept der DMZ (Demiliterialized Zone). In diesem Bereich ist in der Regel der Security Service Tread Detection/Mitigation angesiedelt. Security Funktionen wie Firewalling, Intrusion Prevention, Accesslisten sind hier zu finden. Einordung in das SP99 Modell entspricht der Trennung zwischen Level 3 und 4.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Agenda






………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



DMZ

Level 3

Internet/ Intranet/ PSTN/WAN

SiSiSiSiSiSi

SiSiSiSiSiSi

SiSiSiSi

Corporate Network

Level 1

Level 0

Level 4 Level 5

Level 2• VLANs• 802.1x• Endpoint Security• Port Security• Access Control Lists• Storm Control• DHCP Snooping• ARP Inspection

• Firewall/Statefull Inspection• Intrusion Detection & Protection• AAA/Identity• Port Security• Access Control Lists• Security Management • Security Monitoring, Analysis

and Response

• IP Sec • VPN• SSL

• Wireless Security

• NAC

• Access Control Lists

• Port Security• 802.1x

SP99 – Ideale Security Architektur im Detail

Cisco's Sicherheitsarchitektur in Industrienetzwerken

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Agenda






………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Level 2 Security - VLAN 1, 2, 3 basierend auf Isolationsanforderung

Level 1 Security - Port Security/per Port

Level 2EndpunktSecurity

(CSA)


(CSA)


(CSA)

Schritt 1: Basis Security Dienste einrichten


Basierend auf SP99 und der darauf aufbauenden Cisco Security Architektur sind folgende Schritte sinnvoll. Einführen einer Basis Security bestehend aus Port Security und Isolation von bestimmten Ethernet Bereichen. Kontrollrechner die am selben Ethernet sollen sich nicht sehen oder sich gegenseitig stören (Isolation durch VLAN‘s). Weiter stellt Port Securityinnerhalb des VLAN‘s sicher, dass nur bestimmte MAC Addressen an einem Ethernet Port präsent sein duerfen. Weiter könnte in einem dritten Schritt mit End-Punkt Security der Kontrollrechner sichergestellt werden, dass nur „gewünschte Applikationen“ in der korrekten Weise auf den Kontrollrechnern arbeiten. Konkret werden die Systemaufrufe zum KernelBetriebssystem auf Anomalien untersucht.

…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………






(CSA)


(CSA)


(CSA)

Schritt 2: Engineering Netzwerkinfrastruktur

SNMP

Security/NetzwerkManagement

SNIFFER Module im Switch


Um ein einfaches Security und Netzmanagement zu gewährleisten können sogenannte Sniffermodule benutzt werden, welche die aktuellen Kommunikationsbeziehungen im Netz monitoren kann sowie ein Art Provisioning des Netzes bewerkstelligen. Dies ist wichtig bei Umbauten des Netzes, so dass wichtige Kommunikationsbeziehungen nicht versehentlich unterbrochen werden.

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………






(CSA)


(CSA)


(CSA)SNMP

Security ManagementSecure Policy


Schritt 3: Umbau/Erweiterung laufende Produktion

Level 2 Security - Erweiterung VLAN‘s z.B 4 basierend auf Isolationsanforderung

Level 2 Security - Einrichtung Guest VLAN‘s (802.1x)mit automatisierten Rechten vom Secure Policy Server


Security Management ist notwenig um definierte Policies ( wer darf was und in welchem Bereich ) automatisiert auf der Infrastruktur (FW, IDS, Router, Switch, ..) umzusetzen. Einfaches Beispiel könnte die Einrichtung von Guest-VLAN‘s sein um Fremdfirmen definiert und automatisiert und kontrolliert Zugang vom Netz zu geben (Policy für Guest-Access)

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Schritt 4: Sicherheitstechnische Trennung vom Enterprise Bereich




(CSA)


(CSA)


(CSA)SNMP

Security/Secure Policy




DMZ


SiSiSiSiSiSi

SiSiSiSiSiSi

Corporate Network

Level 4 Level 5

• Firewall/Statefull Inspection• Intrusion Detection & Protection• AAA/Identity• Security Monitoring, Analysis and Response



• NAC

Threat Defense


Dritter und letzter Schritt (wobei die Reihenfolge so nicht eingehalten werden muss) ist die Trennung des Produktionsnetz vom Unternehmensnetz. Well known Konzept einer DMZ. Funktionen sind Tread Defense und Mitigation (Funktionen: Identification/Authorization, Firewalling, Intrusion Prevention nicht Detection, Alarming)

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………



Schritt 5: Sichere zentrale Administration




(CSA)


(CSA)


(CSA)SNMP

Security/Secure Policy




DMZ


SiSiSiSiSiSi

SiSiSiSiSiSi

Corporate Network

Level 4 Level 5

• Firewall/Statefull Inspection• Intrusion Detection & Protection• AAA/Identity• Security Monitoring, Analysis and Response



• NAC

SSHVPN


Für den sicheren Zugriff bzw. Kommunikation bieten sich Funktionen wie SSH für das Geräte Management an. VPN Access ist für den Zugriff auf Applikationen geeignet und weitgehend Standord unabhängig, so dass Administration and Applikations Management remotedurchgeführt werden können.

……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

SAP Business Suite (ERP, SCM, CRM, SRM,…)

SAP Business One

Produkt Portfolio

SAP Business All-in-One

SAP Business ByDesign

> 2,500

Mitarbeiter

< 2,500

Mitarbeiter

100-500

Mitarbeiter

< 100

Mitarbeiter

SAP aktuell

Jahresumsatz der SAP AG 2006: 9,5 Mrd. Euro� Mehr als 41.200 Unternehmen setzen SAP ein

� Mehr als 25 Branchenlösungen

� 41.919 SAP-Mitarbeiter (Stand: Juni 2007)

12 Millionen Anwender in über 120 Ländern nutzenSAP-Lösungen zur

� Integration von Geschäftsprozessen

� Stärkung der Wettbewerbsfähigkeit

� schnelleren Rendite bei niedrigeren Systemgesamtkosten

Einzigartiges Partnernetzwerk

� Mehr als 3.850 Partner

� Insgesamt mehr als 180.000 SAP-Partner-Zertifikate

© SAP 2007 / Page 1

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential12985_08_2006_c2 2

Cisco Global

San Jose, CA

Herndon, VA

Lowell/Chelmsford, MA

Ottawa, Canada

Raleigh, NCRichardson, TX

London

Brussels

Tel Aviv

Bangalore

Shanghai

Singapore

Sydney

� 62,000+ Beschäftigte in 70 Ländern

� 300+ Cisco Büros weltweit

� Weltmarktführer in Netzwerk- und Kommunikationstechnologien

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential12985_08_2006_c2 1

Cisco Unternehmensübersicht

Gerhard Koch

Senior Business Development Manager

European Manufacturing Markets

Cisco

Documents

Konzept SAP und Cisco - all-electronics.de · Konzept SAP und Cisco Dr. Arne Manthey, SAP AG, Walldorf Gerhard Koch, Cisco Systems GmbH, Stuttgart Der rasante Wandel der weltweiten