konzept sap und cisco - all-electronics.de · konzept sap und cisco dr. arne manthey, sap ag,...
Post on 05-Aug-2019
216 Views
Preview:
TRANSCRIPT
3. VDMA-TECHNIK-BENCHMARK SECURITY, 8.11.2007
Konzept SAP und Cisco Dr. Arne Manthey, SAP AG, Walldorf Gerhard Koch, Cisco Systems GmbH, Stuttgart
Der rasante Wandel der weltweiten Märkte in der verarbeitenden Industrie erfordert eine flexible, sichere und integrierte Unternehmenssteuerung. Am Beispiel der verarbeitenden Industrie soll aufgezeigt werden, wie die neuen Informationsflüsse Unternehmen effektiver und schneller machen. Echtzeit-Informationen sind die notwendige Grundvoraussetzung dafür. Um das Unternehmenswissen in globalen Märkten zu schützen, sind Sicherheitsaspekte auf den verschiedensten Ebenen zu beachten. Ziel der Beitrags ist, die einzelnen Aspekte am Beispiel eines Produktionsnetzes aufzuzeigen. IP-basierte Produktion und Logistik erfordern in Zukunft neue integrierte Sicherheitskonzepte, um die Geschäftsprozesse zu schützen. Gezeigt wird, wie durch ein ganzheitliches Sicherheitskonzept diese Anforderungen umgesetzt werden können. Dem Anwender wird ein umfassender Rahmen an die Hand gegeben, mit dem er Schritt für Schritt die Sicherheitsaspekte in seinem Unternehmen umsetzen kann. Heutige Grenzen des Konzepts stellt die Verfügbarkeit der IP-Technologie als solche dar. Grundvoraussetzung ist also die konsequente Umsetzung von IP im Unternehmen. Ein sukzessiver Umstieg auf IP-basierte Technologien ist zwingende Voraussetzung, um eine effektive Sicherheitsarchitektur umsetzen können. Anwendungen, die heute noch auf proprietären Kommunikationsverfahren basieren, sollten nach und nach umgestellt werden. Dr. Arne Manthey ist bei der SAP AG Produktmanager für produktionsbegleitende Softwarelösungen (SAP Manufacturing). Zuvor betreute er 7 Jahre lang Chemie- und Pharma-Kunden als Berater für PP-PI. Kurzbiografie: Studium Verfahrenstechnik in Stuttgart und Promotion im Fachgebiet Aerosole an der TU Karlsruhe. Seit 2000 bei SAP beschäftigt. arne.manthey@sap.com Gerhard Koch ist bei der Cisco Systems GmbH verantwortlich für das Erschliessen neuer Geschäftsfelder im Bereich Manaufacturing (High Tech, Automotive und Energy/Utilities). Dies führt unter anderem auch zu Produktneuentwicklungen. Kurzbiografie: Studium Informatik und Betriebswirtschaft. 14 Jahre IT Erfahrung, davon ca. 8 Jahre im Bereich Manufacturing. Seit 1998 bei Cisco beschäftigt, davor 5 Jahre bei Didata als Lead Architect Strategic Accounts. gkoch@cisco.com
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 1
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialPresentation_ID 1
VDMA-Technology-Benchmarking
“IT-Sicherheit und Administration von Automatisierungsnetzwerkenam Beispiel einer Dieffenbacher Spanplattenanlage”
- Cisco/SAP Security Konzeption –
Gerhard KochSenior Business Development Manager Lead High Tech Industries/Manufacturinggkoch@cisco.com
Dr. Arne MantheySolution Manager ManufacturingArne.Manthey@sap.com
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 2
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 2
Globale Market Trends und Herausforderungen für die verarbeitende Industrie
Von ZuSequentieller
Fertigung
Paralleler
Fertigung
Statischen
Enterprise Systemen
Rekonfigurierbare
Enterprise Systeme
Quelle: Herauforderungen im Jahre 2015 – NRC (National Research Council)
Echtzeit
Informationen
Echtzeit
Wissen
ZielErhöhte
Kosteneffizienz&
Geschäfts-Agilität
&Anpassungs-
fähigkeit
Trend zu immer mehr parallelen Fertigungsreihen. Treiber für diese Entwicklung sind neue aukommende Märkte mit speziellen Anforderungen, personalisierte Produkte , etc.
Weg von Modell: „Development – Produktion – Sales Aftersales“ – Künftig können auch z.BSales/Aftersales Prozesse die Produktion direkt mit beeinflussen
Dies führt in der Folge zur Anforderung, sich von statischen Unternehmensabläufen zu lösen und in dynamisch konfigurierbaren Unternehmensabläufen zu planen
Um diese Dynamik zu erreichen sind Echtzeit Informationen unabdingbar. Jede Information über z.b. Produktion und Logistik Prozesse steht überall zu jeder Zeit an jedem Ort In Echtzeit zur Verfügung.
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 3
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 3
Alle Geräte vernetzt über IPAlle Geräte vernetzt über IP
Alle “Dienste” virtualisiertAlle “Dienste” virtualisiertKommunikation über IPKommunikation über IP
Alle Geräte über Ethernet angeschlossenAlle Geräte über Ethernet angeschlossen
Globale Technologie Trends in der „verarbeitenden Industrie“
Marktforschungsinstitute wie ARC oder Abiresearch prophezeien in der verarbeitenden Industrie den Einzug von „IP“ sowie Ethernet als Schnittstelle. Eine Standardisierung auf diese zwei Kerntechnologien haben sich im Office Umweld seit Jahren durchgesetzt und wird in Zukunft proprietäre Technologien in Produktionsumgebungen sukzessive ersetzen. Einfluss hat dieses auch auf die Applikationswelt in der sich ein Trend zu CompositeArchitectures und virtualisierten Diensten entwickeln wird.
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 4
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 4
IntegratedCISCO/SAPSecurity Approach
SAPProduktionssteuerungund Visualisierung
SAPEnterprise RessourcePlanning
IP basierte Produktion
Enterprise
Innerhalb der Fabrik
Fabrik 2
“Asset Performance”
“ProduktionsEvents”
Integration der Lieferkette
Asset Management und Optimierung
VisualisierungüberxMII
Optimierung derAbläufe
“ProduktionsAusführung”
Statistiken, MES
Anlagen Prozesse Produkte
Fabrik Integration über SAP xMII
Zulieferer
Fabrik 3Fabrik 1
Cis
co +
SA
P
xMII
Security Services
xMII Visibility
Kunden
Cisco/SAP –Sichere und flexible Produktionssteuerung
Um diese Trends zu addressieren, sind Cisco und SAP eine strategische Partnerschaft eingegangen:
SAP hat durch die Aquise der Firma XMII Zugang zu Supply Chain und Produktionsumgebungenn erlangt und konsolisdiert die verschiedensten Datenquellen.Ciscokonzentriert sich auf die Einführung auf IP und die assozierten Technologien wie Security, Voice over IP, Video Überwachung im Produktionsumfeld. An der Schnittstelle wird mit Hilfe des SONA/XMII Frameworks eine Schnittstelle zwischen beiden Welten geschaffen, um in Realtime Informationen aus der IP Welt in die Prozesswelt zur Verfügung zu stellen. Damit kann flexibler in den Prozessen reagiert werden. Flexibilität bedeutet aber auch dass in Zukunft die Grenzen zwischen den Systemen verwischen (MES Systeme werden in Zukunktdirekt gekoppelt sein mit ERP Systemen. IP basierte Produktion in Kontakt stehen mit MES.
Sozusagen horizontal darüber kommt der Cisco Security Ansatz zum Tragen, der sensible Daten und Systeme schützen sollen.
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 5
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 5
Agenda
Ganzheitliche Sicherheit in Industrienetzen
Gängige Industrie Standards im Bereich Sicherheit
Cisco’s Sicherheitsarchitektur in Industrienetzen
Anwendung auf die Aufgabenstellung
Diskussion und Fragen
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 6
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 6
SecurityManagement
Ganzheitliche Sicherheit in Industrienetzen
Ganzheitliche Sicherheit in Industrienetzwerken
Um eine ganzheitliche Sicherheit im Produktionsumfeld zu definieren sind drei wesentlicheAspekte zu berücksichtigen:
Thread Defense: Das Abwehren von Bedrohungen von aussen und innen (Internet/Intranet)
Trust & Identity: Die Zugangs- und Zugriffskontrolle von Menschen und Maschinen auf automatisierte Abläufe
sowie eine sichere Kommunikation zu Produktionssystemen und deren einfachesManagement. Wichtig ist dabei Security als Service zu verstehen, was bedeutet, dass Einzel-Technologien wie IDS; FW und andere zu Security Lösungen zusammengefasst werden. Dadurch wird die Anwendbarkeit von Security allgemein erhöht.
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 7
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 7
VPN, Encryption, IPsecSichere Kommunikation überungeschützteNetzbereiche hinweg
“Secure Connectivity”
Policy enforcement, monitoring, analysis and response, audit & reporting
Automatisiertes Security Management über sogenannte Security Policies ( Configuration, monitoring, analysis and respond to network activity )
“Security Management”
End-point Security, Firewall, QoS, RS Asset Security
Schützen von Anwendungen die auf Engeräten laufen(workstations, servers and devices).
“Application Security”
End-point protection, Firewall, Intrusion Protection, Analysis & Response
Monitoring auf Konsistenz des Netzwerk Verkehrs und Verhinderungvon Anomalien ( network activity for anomalous behavior )
“Threat Detection & Mitigation”
ACLs, MAC-filtering, VLANs, RS Asset Security, Application authorization
Zugangsberechtigung für einenBenutzer oder Gerät (Authentication, Authorization & Accounting)
“Trust & Identity”
Port security, End-point protection, Layer 2 & 3 protection
Schützen der “core network infrastructure” vor unberechtigtemZugriff oder Attacken
Schutz für “Network Core”
MechanismusBeschreibungSecurity Service
Ganzheitliche „Security Services“
Ganzheitliche Sicherheit in Industrienetzwerken
Um die verschiedenen Arten von Security Services zu definieren stehen eine Vielzahl von Security Funktionen zur Verfügung. Diese richten sich in der Regel nach dem OSI 7 Schichtenmodell aus. So reichen diese von einfachen Security Funktionen wie z.B Port Security oder ACL (Access Listen) bis Layer 7 Funktionen wie z.B Endpunkt Security(Monitoren von Systemaufrufen ausgelöst durch Anwendungen ). Der jeweilige SecurityService muss individuell an die verschiedenen Unternehmensanforderungen angepasst werden. Als Muss-Funktionen sind anzusehen Trust&Identity Service, Tread Detection und Secure Communication/Management .
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 8
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 8
Agenda
Ganzheitliche Sicherheit in Industrienetzen
Gängige Industrie Standards im Bereich Sicherheit
Cisco’s Sicherheitsarchitektur in Industrienetzen
Anwendung auf die Aufgabenstellung
Diskussion und Fragen
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 9
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 9
ISA SP-99: Security for Industrial Automation and Control Systems– Part 1: Terminology, Concepts, and Models– Part 2: Establishing an Industrial Automation and Control Systems Security
Program– Part 3: Operating an Industrial Automation and Control Systems Security
Program– Part 4: Specific Security Requirements for Industrial Automation and Control
Systems
ISA SP-100: Wireless Systems for AutomationISA SP-95: Enterprise Controls Systems IntegrationIEEE 1588: Precision Time ProtocolOPC – Ole for Process Control – Application standards for Automation devices and systemsNISTIAONA
Standards – Industrie Automation
Gängige Industrie Standards im Bereich Sicherheit
Basierend auf Industriestandards wird die (Security) Architektur für Industrienetze vorgenommen. Wichtigster Standard in diesem Umfeld ist der ISA SP99, der Manufacturingund Control System Security regelt.
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 10
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 10
Enterprise NetworkEnterpriseSecurity Zone
ManufacturingSecurity Zone
Site Business Planning and Logistics Network
Site Manufacturing Operations and Control
Area Control
Basic Control
Process
Safety-CriticalSafetySecurity Zone
AreaSecurityZone
Level 5
Level 4
Level 3
Level 2
Level 1
Level 0
SP99 – Security Referenzmodell
Gängige Industrie Standards im Bereich Sicherheit
Im Referenzmodell SP99 ist folgende Einteilung wichtig:
Die Einteilung in sogenannte Security Zones
Die Enterprise Security Zone, welche dem Übergang in eine klassische DMZ entspricht. Manufacturing Zone, welche mit dem Operations Control gleich zu setzen ist. Innerhalb dieser werden sogenannte Areas oder Cluster unterschieden. Cluster sind Ansammlungen von Produktionszellen. Abgestuft nach diesen Bereichen werden je nach Anforderung bestimmte Security Services implementiert. SP99 gibt also eine logische Struktur zur Implementierung vor.
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 11
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 11
Site Business Planning and Logistics Network
BatchControl
DiscreteControl
SupervisoryControl
OperatorInterface
ContinuousControl
HybridControl
SupervisoryControl
OperatorInterface
Enterprise Network
Terminal Services
PatchMgmt
Web Services Operations
AVServer
ApplicationServer
Email, Intranet, etc
Router
Firewall
FirewallProductionControl
ProcessHistory
OptimizingControl
DomainController
ContinuousControl
webEmailCIP
Terminal Services
HistorianMirror
Level 5
Site Manufacturing Operations and Control
Area Supervisory
Control
Level 4
Basic Control
Process
Level 3
Level 2
Level 1
Level 0
ManufacturingZone
EnterpriseZone
DMZ
SP99 – Security Umsetzung von Cisco
Gängige Industrie Standards im Bereich Sicherheit
Ein erster grundsätzlicher Schritt um Unternehmensnetz (Enterprise) von Produktionsbereich (Manufacturing Zone) zu trennen stellt das Konzept der DMZ (Demiliterialized Zone). In diesem Bereich ist in der Regel der Security Service Tread Detection/Mitigation angesiedelt. Security Funktionen wie Firewalling, Intrusion Prevention, Accesslisten sind hier zu finden. Einordung in das SP99 Modell entspricht der Trennung zwischen Level 3 und 4.
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 12
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 12
Agenda
Ganzheitliche Sicherheit in Industrienetzen
Gängige Industrie Standards im Bereich Sicherheit
Cisco’s Sicherheitsarchitektur in Industrienetzen
Anwendung auf die Aufgabenstellung
Diskussion und Fragen
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 13
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 13
DMZ
Level 3
Internet/ Intranet/ PSTN/WAN
SiSiSiSiSiSi
SiSiSiSiSiSi
SiSiSiSi
Corporate Network
Level 1
Level 0
Level 4 Level 5
Level 2• VLANs• 802.1x• Endpoint Security• Port Security• Access Control Lists• Storm Control• DHCP Snooping• ARP Inspection
• Firewall/Statefull Inspection• Intrusion Detection & Protection• AAA/Identity• Port Security• Access Control Lists• Security Management • Security Monitoring, Analysis
and Response
• IP Sec • VPN• SSL
• Wireless Security
• NAC
• Access Control Lists
• Port Security• 802.1x
SP99 – Ideale Security Architektur im Detail
Cisco's Sicherheitsarchitektur in Industrienetzwerken
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 14
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 14
Agenda
Ganzheitliche Sicherheit in Industrienetzen
Gängige Industrie Standards im Bereich Sicherheit
Cisco’s Sicherheitsarchitektur in Industrienetzen
Anwendung auf die Aufgabenstellung
Diskussion und Fragen
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 15
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 15
Level 2 Security - VLAN 1, 2, 3 basierend auf Isolationsanforderung
Level 1 Security - Port Security/per Port
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)
Schritt 1: Basis Security Dienste einrichten
Anwendung auf die Aufgabenstellung
Basierend auf SP99 und der darauf aufbauenden Cisco Security Architektur sind folgende Schritte sinnvoll. Einführen einer Basis Security bestehend aus Port Security und Isolation von bestimmten Ethernet Bereichen. Kontrollrechner die am selben Ethernet sollen sich nicht sehen oder sich gegenseitig stören (Isolation durch VLAN‘s). Weiter stellt Port Securityinnerhalb des VLAN‘s sicher, dass nur bestimmte MAC Addressen an einem Ethernet Port präsent sein duerfen. Weiter könnte in einem dritten Schritt mit End-Punkt Security der Kontrollrechner sichergestellt werden, dass nur „gewünschte Applikationen“ in der korrekten Weise auf den Kontrollrechnern arbeiten. Konkret werden die Systemaufrufe zum KernelBetriebssystem auf Anomalien untersucht.
…………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 16
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 16
Level 2 Security - VLAN 1, 2, 3 basierend auf Isolationsanforderung
Level 1 Security - Port Security/per Port
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)
Schritt 2: Engineering Netzwerkinfrastruktur
SNMP
Security/NetzwerkManagement
SNIFFER Module im Switch
Anwendung auf die Aufgabenstellung
Um ein einfaches Security und Netzmanagement zu gewährleisten können sogenannte Sniffermodule benutzt werden, welche die aktuellen Kommunikationsbeziehungen im Netz monitoren kann sowie ein Art Provisioning des Netzes bewerkstelligen. Dies ist wichtig bei Umbauten des Netzes, so dass wichtige Kommunikationsbeziehungen nicht versehentlich unterbrochen werden.
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 17
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 17
Level 2 Security - VLAN 1, 2, 3 basierend auf Isolationsanforderung
Level 1 Security - Port Security/per Port
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)SNMP
Security ManagementSecure Policy
SNIFFER Module im Switch
Schritt 3: Umbau/Erweiterung laufende Produktion
Level 2 Security - Erweiterung VLAN‘s z.B 4 basierend auf Isolationsanforderung
Level 2 Security - Einrichtung Guest VLAN‘s (802.1x)mit automatisierten Rechten vom Secure Policy Server
Anwendung auf die Aufgabenstellung
Security Management ist notwenig um definierte Policies ( wer darf was und in welchem Bereich ) automatisiert auf der Infrastruktur (FW, IDS, Router, Switch, ..) umzusetzen. Einfaches Beispiel könnte die Einrichtung von Guest-VLAN‘s sein um Fremdfirmen definiert und automatisiert und kontrolliert Zugang vom Netz zu geben (Policy für Guest-Access)
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 18
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 18
Schritt 4: Sicherheitstechnische Trennung vom Enterprise Bereich
Level 2 Security - VLAN 1, 2, 3 basierend auf Isolationsanforderung
Level 1 Security - Port Security/per Port
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)SNMP
Security/Secure Policy
SNIFFER Module im Switch
Level 2 Security - Erweiterung VLAN‘s z.B 4 basierend auf Isolationsanforderung
Level 2 Security - Einrichtung Guest VLAN‘s (802.1x)mit automatisierten Rechten vom Secure Policy Server
DMZ
Internet/ Intranet/ PSTN/WAN
SiSiSiSiSiSi
SiSiSiSiSiSi
Corporate Network
Level 4 Level 5
• Firewall/Statefull Inspection• Intrusion Detection & Protection• AAA/Identity• Security Monitoring, Analysis and Response
• IP Sec • VPN• SSL
• Wireless Security
• NAC
Threat Defense
Anwendung auf die Aufgabenstellung
Dritter und letzter Schritt (wobei die Reihenfolge so nicht eingehalten werden muss) ist die Trennung des Produktionsnetz vom Unternehmensnetz. Well known Konzept einer DMZ. Funktionen sind Tread Defense und Mitigation (Funktionen: Identification/Authorization, Firewalling, Intrusion Prevention nicht Detection, Alarming)
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 19
© 2006 Cisco Systems, Inc. All rights reserved. Cisco ConfidentialGerhard Koch 19
Schritt 5: Sichere zentrale Administration
Level 2 Security - VLAN 1, 2, 3 basierend auf Isolationsanforderung
Level 1 Security - Port Security/per Port
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)
Level 2EndpunktSecurity
(CSA)SNMP
Security/Secure Policy
SNIFFER Module im Switch
Level 2 Security - Erweiterung VLAN‘s z.B 4 basierend auf Isolationsanforderung
Level 2 Security - Einrichtung Guest VLAN‘s (802.1x)mit automatisierten Rechten vom Secure Policy Server
DMZ
Internet/ Intranet/ PSTN/WAN
SiSiSiSiSiSi
SiSiSiSiSiSi
Corporate Network
Level 4 Level 5
• Firewall/Statefull Inspection• Intrusion Detection & Protection• AAA/Identity• Security Monitoring, Analysis and Response
• IP Sec • VPN• SSL
• Wireless Security
• NAC
SSHVPN
Anwendung auf die Aufgabenstellung
Für den sicheren Zugriff bzw. Kommunikation bieten sich Funktionen wie SSH für das Geräte Management an. VPN Access ist für den Zugriff auf Applikationen geeignet und weitgehend Standord unabhängig, so dass Administration and Applikations Management remotedurchgeführt werden können.
……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
SAP Business Suite (ERP, SCM, CRM, SRM,…)
SAP Business One
Produkt Portfolio
SAP Business All-in-One
SAP Business ByDesign
> 2,500
Mitarbeiter
< 2,500
Mitarbeiter
100-500
Mitarbeiter
< 100
Mitarbeiter
SAP aktuell
Jahresumsatz der SAP AG 2006: 9,5 Mrd. Euro� Mehr als 41.200 Unternehmen setzen SAP ein
� Mehr als 25 Branchenlösungen
� 41.919 SAP-Mitarbeiter (Stand: Juni 2007)
12 Millionen Anwender in über 120 Ländern nutzenSAP-Lösungen zur
� Integration von Geschäftsprozessen
� Stärkung der Wettbewerbsfähigkeit
� schnelleren Rendite bei niedrigeren Systemgesamtkosten
Einzigartiges Partnernetzwerk
� Mehr als 3.850 Partner
� Insgesamt mehr als 180.000 SAP-Partner-Zertifikate
© SAP 2007 / Page 1
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential12985_08_2006_c2 2
Cisco Global
San Jose, CA
Herndon, VA
Lowell/Chelmsford, MA
Ottawa, Canada
Raleigh, NCRichardson, TX
London
Brussels
Tel Aviv
Bangalore
Shanghai
Singapore
Sydney
� 62,000+ Beschäftigte in 70 Ländern
� 300+ Cisco Büros weltweit
� Weltmarktführer in Netzwerk- und Kommunikationstechnologien
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential12985_08_2006_c2 1
Cisco Unternehmensübersicht
Gerhard Koch
Senior Business Development Manager
European Manufacturing Markets
Cisco
top related