Die vier Schlüsselinitiativen von Rockwell Automation und Cisco:
Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
White Paper
Dezember 2016
Dokumentreferenz-Nr.: ENET-WP011B-DE-P
• Gemeinsame technologische Sicht:Für ein industrielles Internet der Dinge und die für eine wettbewerbsfähige Fertigungsumgebung erforderliche Flexibilität, Transparenz und Effizienz ist eine vereinheitlichte, skalierbare Architektur mit offener Netzwerktechnologie nach Ethernet-IP-Standard unverzichtbar.
• Converged Plantwide Ethernet (CPwE)-Architekturen:Von den zuständigen Fachabteilungen bei Cisco und Rockwell Automation entwickelte Sammlung getesteter und validierter Architekturen. CPwE umfasst für die Disziplinen Produktionstechnologie (OT) und Informationstechnologie (IT) gleichermaßen relevante Inhalte wie dokumentierte Architekturen, Best Practices, Anleitungen und Konfigurationseinstellungen zur Unterstützung von Herstellern beim Design und der Bereitstellung einer skalierbaren, zuverlässigen, sicheren und zukunftsfähigen, werksweiten industriellen Netzwerkinfrastruktur.
• Gemeinsam entwickelte Produkte:Stratix® 5950 Industrial Firewall, Stratix 5100 Wireless Access Point/Workgroup Bridge und die industriellen Ethernet-Switches Stratix 5700, Stratix 5400 und Stratix 5410 vereinen das Beste von Cisco und das Beste von Rockwell Automation.
• Optimierung von Personal und Prozessen:Schulungen und Dienste, mit denen die Konvergenz von Produktionstechnologie (OT) und Informationstechnologie (IT) unterstützt werden sowie die erfolgreiche Bereitstellung von Architektur und Implementierung effizienter Betriebsabläufe, damit wichtige Ressourcen für Innovationen und höhere Produktivität eingesetzt werden können.
Industrielle Firewalls in einer Converged Plantwide E
ENET-WP011B-DE-P
Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
Der vorherrschende Trend bei IACS-Netzwerken (Industrial Automation and Control System) ist das Zusammenwachsen von Produktions- (OT) und Informationstechnologie (IT). Converged Plantwide Ethernet (CPwE) hilft durch den Einsatz von Standard-Ethernet- und -IP-Technologie bei der Netzwerkkonvergenz. Dies hilft bei der Realisierung des industriellen Internet der Dinge (IIoT).
Konvergierte IACS-Netzwerke sind standardmäßig offen. Diese Offenheit erleichtert die Koexistenz verschiedener Technologien und die IACS-Gerätekompatibilität. Dies hilft bei der Auswahl führender IACS-Produkte. Diese Offenheit erfordert jedoch auch eine Absicherung und Härtung der IACS-Netzwerke durch Konfiguration und Architektur. Der Härtungsgrad hängt dabei von den jeweils erforderlichen Sicherheitsstandards ab. Wichtige Faktoren bei der Bestimmung des richtigen Sicherheitsstandards sind Geschäftspraktiken, Unternehmensstandards, Sicherheitsrichtlinien, Anwendungsanforderungen, Branchensicherheitsstandards, Konformität mit Vorschriften, Risikomanagementrichtlinien und Risikotoleranz.
Der werksweite Einsatz von industriellen Firewalls (IFW) ist Teil eines umfassenden industriellen Sicherheitsstandards zur Unterstützung der Härtung der IACS-Netzwerkinfrastruktur und zur Erstellung kleinere Trusted Zonen. Industrielle Firewalls können den Datenverkehr im gesamten werksweiten IACS-Netzwerk einschränken und überprüfen. OT-Mitarbeiter nutzen industrielle Firewalls häufig zum Schutz veralteter IACS-Anwendungen wie Anlagen, Maschinen und Skids. Maschinen- und Anlagenbauer (OEMs) integrieren industrielle Firewalls zunehmend in ihre Angebote. Moderne industrielle Firewalls können mit verschiedenen lokal oder zentral verwalteten Methodiken bereitgestellt und verwaltet werden und unterstützen so das Zusammenwachsen von OT und IT. Die lokale Verwaltung ist bei OT-Mitarbeitern und OEM-Anwendungen üblich. In der IT ist eine zentrale Verwaltung üblich.
Im Design and Implementation Guide (DIG) „Deploying Industrial Firewalls within a CPwE Architecture“ über den Einsatz industrieller Firewalls in einer CPwE-Architektur in einem CVD (Cisco and Rockwell Automation Validated Design) werden mehrere Anwendungsbeispiele für Design, Bereitstellung und Verwaltung von industriellen Firewalls in einem werksweiten IACS-Netzwerk beschrieben. Das CVD für industrielle Firewalls in einer CPwE-Architektur wird durch eine strategische Allianz zwischen Cisco Systems® und Rockwell Automation auf den Markt gebracht.
CPwE ist die zugrundeliegende Architektur, die Standardnetzwerkdienste für Steuerungs- und Informationsdisziplinen sowie Geräte in modernen IACS-Anwendungen bereitstellt. Die CPwE-Architekturen (Abbildung 1) werden von Cisco und Rockwell Automation
1thernet (CPwE)-Architektur
Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
Industrial Security - ein ganzheitlicher Ansatz
getestet und validiert. Sie bieten Design- und Implementierungsrichtlinien, Testergebnisse und dokumentierte Konfigurationseinstellungen, die dazu beitragen, die Anforderungen moderner IACS-Anwendungen in Bezug auf Echtzeitkommunikation, Zuverlässigkeit, Skalierbarkeit und Ausfallsicherheit zu erfüllen.
Abbildung 1 CPwE-Architekturen
Notiz Diese Version der CPwE-Architektur konzentriert sich auf EtherNet/IP, das auf dem ODVA Common Industrial Protocol (CIP™) basiert, und ist für das industrielle Internet der Dinge (IIoT) vorbereitet. Weitere Informationen zu EtherNet/IP finden Sie unter odva.org unter der folgenden URL: http://www.odva.org/Technology-Standards/EtherNet-IP/Overview
Industrial Security - ein ganzheitlicher AnsatzEine vollständige Sicherung von IACS-Anwendungen kann mit einzelnen Produkten, Technologien oder Methoden nicht erreicht werden. Zum Schutz von IACS-Ressourcen ist ein Defense-in-Depth-Sicherheitskonzept erforderlich, das interne und externe Sicherheitsbedrohungen berücksichtigt. Dieses Konzept verwendet mehrere Verteidigungsschichten (administrativ, technisch und physikalisch) für verschiedene IACS-Ebenen, die sich gegen unterschiedliche Bedrohungsarten richten. Das CPwE Industrial Network Security Framework (Abbildung 2) verwendet ein Defense-in-Depth-Sicherheitskonzept und entspricht industriellen Sicherheitsstandards wie IEC-62443 (früher ISA-99) Industrial Automation and Control Systems (IACS) Security und NIST 800-82 Industrial Control System (ICS) Security.
IES IESIES
DAPWAP DAPWAP
IES IES
IES
IES IES
IES
IES
IES IES
IES
DAPWAP
IES
IES
IES
IES
IES
IES
3765
88
Wide Area Network (WAN) Data Center – virtualisierte Server• ERP – Unternehmenssysteme• E-Mail, Webdienste• Sicherheitsdienste – Active Directory (AD),
Identitätsdienste (AAA)• Netzwerkdienste – DNS, DHCPC• Call Manager
Unternehmen Internet
Identitätsdienste
Tatsächlich installierte oder virtualisierte Server• Patch-Management• AV-Server• Anwendungsspiegel• Remote-Desktop-Gateway-Server
Tatsächlich installierte oder virtualisierte Server• FactoryTalk Anwendungsserver und
Services-Plattform• Netzwerk- und Sicherheitsdienste –
DNS, AD, DHCP, Identitätsdienste (AAA)• Speicher-Array
Externe Demilitarized
Zone/Firewall
Identitätsdienste
Active (Aktiv)
Standby
Wireless LAN Controller (WLC) Remote
Access Server
Anlagen-Firewalls• Aktiv/Standby• Segmentierung des Datenverkehrs zwischen den Zonen• ACLs, IPS und IDS• VPN-Dienste• Proxy für Portal- und Remote-Desktop-Dienste
UnternehmenszoneEbenen 4 bis 5
IndustrielleDemilitarized Zone
(IDMZ)
Industrielle ZoneEbenen 0 bis 3
(werksweites Netzwerk)
Distribution Switch-Stapel
Core Switches
Distribution Switch-Stapel
Access Switches
Access Switches
Zelle/ZoneEbenen 0 bis 2
Ebene 3 – Standortbetrieb(Steuerzentrale)
Kamera
Telefon
WGB
Steuerung Steuerung
WGB
LWAPLWAP
SSID5 GHz
Zelle/Zone – Ebenen 0 bis 2Redundante Sterntopologie – Ausfallsicherheit durch Flex LinksUnified WLAN (Leitungen, Maschinen, Skids, Ausrüstung)
Zelle/Zone – Ebenen 0 bis 2Ringtopologie – Resilient Ethernet Protocol (REP)Unified WLAN (Leitungen, Maschinen, Skids, Ausrüstung)
LWAP
Frequen-zumrichter
Steuerung E/A
SSID2,4 GHz Rockwell Automation
Stratix 5000/8000Access Switch (Layer 2)
BEDIENER-SCHNITT-
STELLE
Softstarter
Instrumentierung
Zelle/Zone – Ebenen 0 bis 2Lineare/Bus-/SterntopologieAutonomes WLAN (Leitungen, Maschinen, Skids, Ausrüstung)
Sicherheits-steuerung
Servoantrieb
AP
WGB Sicherheits-E/A
RoboterBEDIENER-SCHNITTSTELLE
Sicherheits-E/A
SSID5 GHz
Zelle/ZoneEbenen 0 bis 2
2Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
ENET-WP011B-DE-P
Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
Industrial Security - ein ganzheitlicher Ansatz
Design und Implementierung eines umfassenden Sicherheits-Frameworks für den IACS-Netzwerkzugriff sollten als natürliche Erweiterung der IACS-Anwendung verstanden werden und nicht im Nachhinein geplant werden. Das industrielle Sicherheits-Framework für den Netzwerkzugriff sollte durchdringend und als Kern des IACS konzipiert werden. Bei bestehenden IACS-Bereitstellungen können jedoch dieselben umfassenden Ebenen inkrementell angewendet werden, um die Zugriffssicherheitsstandards des IACS zu erhöhen.
Zu den umfassenden CPwE-Ebenen (Abbildung 2) gehören:
• Steuerungssystemtechniker (hellbraun hervorgehoben) – IACS-Gerätehärtung (z. B. physisch und elektronisch), Infrastrukturgerätehärtung (z. B. Portsicherheit), Netzwerksegmentierung (Erstellen vertrauenswürdiger Zonen), industrielle Firewalls (mit Überprüfung) am Rand der IACS-Anwendung, Authentifizierung, Autorisierung und Abrechnung (AAA) der IACS-Anwendung.
• Steuerungssystemtechniker in Zusammenarbeit mit IT-Netzwerktechnikern (blau hervorgehoben) – Computerhärtung (BS-Patching, Einsatz von Positivlisten für Anwendungen), Netzwerkgerätehärtung (z. B. Zugriffssteuerung, Ausfallsicherheit), WLAN-Zugriffsrichtlinien
• IT-Sicherheitsarchitekten in Zusammenarbeit mit Steuerungssystemtechnikern (violett hervorgehoben) – Identitätsdienste (kabelgebunden und drahtlos), Active Directory (AD), Remotezugriffsserver, Anlagen-Firewalls und Best Practices zum Design der industriellen Demilitarized Zone (IDMZ)
Abbildung 2 Industrielles CPwE-Netzwerksicherheitsframework
–
IES IES
IES
IESIES
DAPWAP
IFW
3765
89
Unternehmen Internet
Identitätsdienste
Externe Demilitarized
Zone/Firewall
Unternehmenszone: Ebenen 4 bis 5
Industrial Demilitarized Zone (IDMZ)Tatsächlich installierte oder virtualisierte Server• Patch-Management• AV-Server• Anwendungsspiegel• Remote-Desktop-Gateway-Server
Industrielle Zone: Ebenen 0 bis 3
Ebene 3 – Standortbetrieb
FactoryTalk ClientEbene 2 – Area Supervisory Control
Ebene 1 – SteuerungEbene 0 – Prozess
Steuerungssystemtechniker
Steuerungssystemtechniker in Zusammenarbeit mit IT-Netzwerktechnikern (Industrielle IT)
IT-Sicherheitsarchitekten in Zusammenarbeit mit Steuerungssystem-technikern IACS-Gerätehärtung
• Richtlinien und Verfahrensweisen• Physische Maßnahmen• Elektronische Maßnahmen• Verschlüsselte Kommunikation
VLANs, Segmentierungvertrauenswürdiger Domänen
Core Switches
Distribution Switch-Stapel
Steuerung Steuerung Industrielle Firewall
Netzwerkstatus und -überwachung Best Practices zum Design der Standard-DMZ
Anlagen-Firewalls• Aktiv/Standby• Segmentierung des Datenverkehrs zwischen den Zonen• ACLs, IPS und IDS• VPN-Dienste• Proxy für Portal- und Remote-Desktop-Dienste
Netzwerkinfrastruktur• Härtung• Zugriffssteuerung• Stabilität
Portsicherheit• Physisch• Elektronisch
SoftstarterMCC
WGB
E/A
LWAP
SSID 2,4 GHz
Wireless LAN (WLAN)• Zugriffsrichtlinie
– Geräte-SSID– Anlagenmitarbeiter-SSID– Vertrauenswürdige
Partner-SSID• WPA2 mit AEL-Verschlüsselung• Autonomes WLAN
– vorab verteilter Schlüssel– 802.1X – (EAP-FAST)
• Unified WLAN– 802.1X – (EAP-TLS)– CAPWAP DTLSSSID
2,4 GHz
Wireless LAN Controller (WLC)
Active (Aktiv)
Standby
Active Directory (AD)Identity Services Engine (ISE)
FactoryTalk SecurityFireSIGHT Management CenterCisco Security ManagerRemote Access Server (RAS)
BS-HärtungAnwendungshärtung
Authentifizierung, Autorisierung und Abrechnung (AAA)
E/A
Frequenzumrichter
3Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
ENET-WP011B-DE-P
Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
Anwendungsbeispiele für industrielle Firewalls
Anwendungsbeispiele für industrielle Firewalls IACS werden in einer Vielzahl von diskreten und Prozessanwendungen der Fertigungsindustrie eingesetzt, etwa in der Automobil-, Pharma- oder Konsumgüterindustrie, der Zellstoff- und Papierherstellung, der Öl- und Gasbranche, im Bergbau und der Energieerzeugung. IACS-Anwendungen basieren auf verschiedenen Steuerungs- und Informationsdisziplinen wie kontinuierliche Prozesssteuerung, Batch- und diskreter Fertigung sowie Hybridkombinationen. Eine der Herausforderungen für Hersteller ist die industrielle Härtung von Standard-Ethernet- und IP-konvergierten IACS-Netzwerktechnologien, um die geschäftlichen Vorteile des industriellen Internets der Dinge (IIoT) nutzen zu können.
Der Design and Implementation Guide (DIG) „Deploying Industrial Firewalls within a CPwE Architecture“ beschreibt die Konzepte, Anforderungen und Technologielösungen für Anwendungsfälle, die von Cisco und Rockwell Automation zur Unterstützung einer gehärteten und konvergierten werksweiten EtherNet/IP™-IACS-Architektur getestet, validiert und dokumentiert wurden. Es folgt eine Zusammenfassung der Anwendungsfälle von CPwE IFW CVD:
• Industrielle Firewall-Technologie – Übersicht:
– Betriebsarten:
– Inline Transparent-Modus
– Inline Routed-Modus
– Passiver Monitor-Only-Modus
– Netzwerkschutz (Adaptives Sicherheitsgerät von Cisco)
– Angriffsprävention und -erkennung (Cisco FireSIGHT® Management System), Deep Packet Inspection (DPI) des Common Industrial Protocol (CIP)
– Industrielle Firewall (IFW):
– Allen-Bradley® Stratix® 5950 Industrial Network Security Appliance
– Cisco Industrial Security Appliance 3000
• Anwendungsbeispiele für Anwendungen (Abbildung 3):
– Schutz von Anlage/Maschine/Skid
– Schutz der Zellen-/Bereichszone:
– Redundante Sterntopologie, Ringtopologie
– Überwachung der Zellen-/Bereichszone
• Anwendungsbeispiele für Verwaltung:
– Lokale Verwaltung:
– Befehlszeilenschnittstelle (CLI, Command Line Interface), Adaptive Security Device Manager
– Zentralisierte Verwaltung:
– Cisco FireSIGHT Management Center, Cisco Security Manager
– Migration von der lokalen zur zentralisierten Verwaltung industrieller Firewalls
4Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
ENET-WP011B-DE-P
Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
Zusammenfassung
Abbildung 3 Werksweiter Einsatz industrieller Firewalls
ZusammenfassungCPwE besteht aus einer Sammlung getesteter und validierter Architekturen, welche von den zuständigen Fachabteilungen bei Cisco und Rockwell Automation entwickelt wurden und dem Cisco Validated Design (CVD)-Programm entsprechen. CPwE umfasst für die Disziplinen Produktionstechnologie (OT) und Informationstechnologie (IT) gleichermaßen relevante Inhalte wie dokumentierte Architekturen, Best Practices, Anleitungen und Konfigurationseinstellungen zur Unterstützung von Herstellern beim Design und der Bereitstellung einer skalierbaren, zuverlässigen, sicheren und zukunftsfähigen, werksweiten industriellen Netzwerkinfrastruktur. Da die Verwendung bewährter Designs eine schnellere Entwicklung und ein geringeres Risiko bei der Verbreitung neuer Technologien mit sich bringt, bedeutet CPwE zudem einen Kostenvorteil für die Hersteller.
Der Design and Implementation Guide (DIG) „Deploying Industrial Firewalls within a Converged Plantwide Ethernet Architecture“ beschreibt verschiedene Anwendungsbeispiele für Design, Bereitstellung und Verwaltung industrieller Firewalls in einer werksweiten IACS-Netzwerkinfrastruktur. In diesem DIG werden die wichtigsten Anforderungen von IACS-Anwendungen, die Technologie und hilfreiche Designkriterien hervorgehoben, die für ein erfolgreiches Design und eine erfolgreiche Bereitstellung dieser Anwendungsbeispiele im CPwE-Framework erforderlich sind.
Weitere Informationen zu CPwE-DIGs finden Sie unter den folgenden URLs:
• Website von Rockwell Automation:
– http://www.rockwellautomation.com/global/products-technologies/network-technology/architectures.page?
• Website von Cisco:
– http://www.cisco.com/c/en/us/solutions/enterprise/design-zone-manufacturing/landing_ettf.html
IES
IESIES
IES
IESIES
IES
IESIES
IES
IESIES
IESIESIES
IES
IFW
IFW
IFW
IFW
IFW
IFW
IFW
IndustrialDemilitarized Zone
(IDMZ)
Industrielle ZoneEbenen 0 bis 3
(werksweites Netzwerk)FireSIGHT Management Center Cisco Security Manager
Distribution Switch
Core Switches
Monitor-Modus
Transparent-Modus
IES IES
BEDIENERSCHNITTSTELLE
Skid
Skid Maschine Ausrüstung
Transparent-Modus
Transparent-Modus
Transparent-Modus
Zelle/Zone – Ebenen 0 bis 2Ringtopologie, Redundante Sterntopologie (Leitungen, Maschinen, Skids, Ausrüstung)
Industrieller Ethernet-Switch
FrequenzumrichterTransparent
-Modus Steuerung
Softstarter
5Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
ENET-WP011B-DE-P
Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
Zusammenfassung
Notiz Dieses Dokument verweist auf FireSIGHT Management Center als zentralisierte Management-Software für die IFW FirePOWER™-Module. Die Software wurde ab Version 6.0 in Firepower Management Center umbenannt. Beide Versionen sind zur Verwaltung von IFW FirePOWER-Modulen zur CIP-Überprüfung geeignet. Weitere Informationen zu dieser Terminologieänderung finden Sie im Cisco Firepower Compatibility Guide unter folgender URL:http://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-compatibility.html
Cisco ist weltweit führend im Bereich Networking und beeinflusst nachhaltig die Art und Weise, wie Menschen miteinander in Kontakt treten, kommunizieren und zusammenarbeiten. Weitere Informationen zu Cisco finden Sie unter www.cisco.com. Aktuelle Nachrichten finden Sie auf http://newsroom.cisco.com. Cisco-Geräte in Europa werden von Cisco Systems International BV geliefert, einer hundertprozentigen Tochtergesellschaft von Cisco Systems, Inc.
www.cisco.comZentrale in AmerikaCisco Systems, Inc.San Jose, CA
Zentrale im asiatisch-pazifischen RaumCisco Systems (USA) Pte. Ltd.Singapur
Zentrale in EuropaCisco Systems International BVAmsterdam, Niederlande
Cisco unterhält mehr als 200 Niederlassungen weltweit. Adressen, Telefon- und Faxnummern finden Sie auf der Cisco Website unter www.cisco.com/go/offices.
Cisco und das Cisco-Logo sind Marken oder eingetragene Marken von Cisco und/oder seinen angeschlossenen Unternehmen in den Vereinigten Staaten und bestimmten anderenLändern. Eine Liste der Cisco-Marken finden Sie hier: www.cisco.com/go/trademarks. Genannte Marken von Drittanbietern sind Eigentum der jeweiligen Unternehmen. DieVerwendung des Wortes "Partner" bedeutet nicht, dass eine Partnerschaft oder Gesellschaft zwischen Cisco und dem jeweils anderen Unternehmen besteht. (1110R)
Rockwell Automation ist ein führender Anbieter von Leistungs-, Steuerungs- und Informationslösungen, mit denen Kunden ihre Produktivität steigern und nachhaltiger agieren können. Mithilfe von Smart Manufactruing-Konzepten unterstützt Rockwell Automation seine Kunden bei der Wertmaximierung und der Zukunftsausrichtung durch den Aufbau eines Connected Enterprise.
www.rockwellautomation.comAmerika:Rockwell Automation
1201 South Second Street
Milwaukee, WI 53204-2496 USA
Tel.: +1 414 382-2000
Fax: +1 414 382-4444
Asiatisch-pazifischer Raum:Rockwell Automation
Level 14, Core F, Cyberport 3
100 Cyberport Road, Hongkong
Tel.: +852 2887-4788
Fax: +852 2508-1846
Europa/Naher Osten/Afrika: Rockwell Automation
NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Belgien
Tel.: +32 2 663-0600
Fax: +32 2 663-0640
Allen-Bradley, FactoryTalk, Rockwell Automation, Rockwell Software und Stratix sind Marken von Rockwell Automation, Inc.
Marken, die nicht Rockwell Automation gehören, sind Eigentum der entsprechenden Unternehmen.
EtherNet/IP und CIP sind Marken der ODVA.
© 2016 Cisco Systems, Inc. und Rockwell Automation, Inc. Alle Rechte vorbehalten. Publikation ENET-WP011B-DE-P Dezember 2016
6Industrielle Firewalls in einer Converged Plantwide Ethernet (CPwE)-Architektur
ENET-WP011B-DE-P