Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas

Documentos relacionados
Redes de Computadores I Seminário Novas Tecnologias em Redes. VPN-Virtual Private Network. Anderson Gabriel

Guia Primeiros Passos da Bomgar B400

TRABALHO DE GESTÃO DE INFORMAÇÃO VIRTUAL PRIVATE NETWORK VPN

Firewall. Prof. Marciano dos Santos Dionizio


Firewalls Reginaldo Campos 1

Firewalls. Carlos Gustavo A. da Rocha. ASSR

Segurança em camadas

GUIA DE CONFIGURAÇÃO. Conexões VPN SSL (Rede a Rede)

Firewall - Inspeção com estado. (Stateful Inspection)

1- Confiabilidade ( 2 ) Proteção contra perdas e estragos. 2- Integridade ( 3 ) Proteção contra interferência de cortes de funcionamento

CURSO DE SISTEMAS DE INFORMAÇÃO/ PROCESSAMENTO DE DADOS DISCIPLINA: ADM e PROJETO DE REDES PROFESSOR: Msc Walter Augusto Varella

Como Permitir a Navegação Usando o NetBIOS Over IP

INSTALANDO E CONFIGURANDO O WINDOWS SERVER 2012

Sistemas Distribuídos

Gerenciamento de Redes: Protocolo SNMP

Segurança da Informação

Manual de Configuração.

Redes para Automação Industrial: Introdução às Redes de Computadores Luiz Affonso Guedes

CEA463 SEGURANÇA E AUDITORIA DE SISTEMAS

Como o software Reflection facilita a conformidade com o PCI DSS

Protocolos e Arquiteturas de Redes. Thiago Leite

Redes de Computadores e Aplicações

AULA 2 - INTERNET. Prof. Pedro Braconnot Velloso

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Conecte-se e assuma o controle

Arquiteturas de Redes de Computadores

REDES DE COMPUTADORES

Redes de Computadores Prof. Fred Sauer

Gerenciamento de Redes. Alan Santos

GERENCIAMENTO DE IDENTIDADES DO OFFICE 365 E SERVIÇOS

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

Tecnologia da Informação

Utilização de Números de Porta FTP Não- Padrão com NAT

Sistemas de Informação (SI) Telecomunicações, Internet e tecnologia sem fio (I)

Este artigo é um em uma série para auxiliar na instalação, no troubleshooting e na manutenção de produtos Cisco Small Business.

Serviços de Segurança Gerenciados pela IBM para X-Force Hosted Threat Analysis Service

Comunicação Sem Fio (Somente em Determinados Modelos)

Guia de instalação. McAfee Web Gateway Cloud Service

Auditoria e Segurança de Sistemas -VPN (Virtual Private Network)

CCNA 1 Conceitos de Rede. Kraemer

Protótipo de um software de segurança em redes para monitoração de pacotes em uma conexão TCP/IP

Aula 4 TECNOLOGIA EM JOGOS DIGITAIS JOGOS MASSIVOS DISTRIBUÍDOS. Marcelo Henrique dos Santos

Redes de Computadores I

Prof. Ravel Silva ( SIMULADO 01 - PERITO PF QUESTÕES

Introdução ao Windows Server 2008

Introdução às Redes de Computadores. Prof. Leonardo Barreto Campos

Redes de Computadores

Administração de Sistemas (ASIST)

Informática Básica. Aula 03 Internet e conectividade

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 11

Redes de Comunicação de Dados

CONFIGURAÇÃO DE SERVIÇOS AVANÇADOS DO WINDOWS SERVER 2012

Funcionalidade e Protocolos da Camada de Aplicação

Administração de Redes I (LI) Ano, Semestre: 2, 1

Redes de Computadores e Internet

FUNDAMENTOS DE REDES DE COMPUTADORES AULA 2: MODELO OSI. Professor: LUIZ LEÃO

Modelo de Camadas. Redes de Computadores

APRESENTAÇÃO ESPECIFICAÇÕES TÉCNICAS

E-Guide A GESTÃO DE PLATAFORMAS UNIFICADAS PARA UC EM NUVENS HÍBRIDAS É UMA NECESSIDADE

Guia de início rápido do Bomgar B200

Revisão. Prof. Marciano dos Santos Dionizio

Pesquisando defeitos a vizinhança de rede Microsoft após ter estabelecido um túnel VPN com o Cisco VPN Client

Redes de Computadores

Seminário Transição do IPv4 para o IPv6: Acesso, Privacidade e Coibição de Ilícitos BRASÍLIA, 07 DE DEZEMBRO DE 2015 ALEXANDER CASTRO

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados

O computador foi criado para. auxiliar o homem em tarefas

Guia do Wi-Fi Direct. Configuração fácil usando Wi-Fi Direct. Solução de problemas

Princípios da infraestrutura centrada em aplicativos

Os três principais tipos de firewall são o filtro de pacotes, o filtro de pacotes com estado e o proxy.

Interconexão de redes locais. Repetidores. Hubs. Existência de diferentes padrões de rede

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Arquitetura da Internet TCP/IP

Rede Corporativa INTRODUÇÃO. Tutorial 10 mar 2009 Fabio Montoro

O Terminal Server nos fornece a possibilidade de vários usuários utilizarem o mesmo sistema ao mesmo tempo.

Capítulo 1. 4 Modem de conexão discada sobre linha telefônica: residencial;

Rede de Computadores Modelo OSI

Camada de Aplicação da Arquitetura TCP/IP

Aplicações com Banco de Dados e Cliente-Servidor

O que é um sistema distribuído?

CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DO RIO GRANDE DO NORTE DEPARTAMENTO ACADÊMICO DE TECNOLOGIA DA INFORMAÇÃO

Redes de Computadores

Estruturas básicas de redes Internet Padronização e Protocolos

Política de Segurança de Informações

Segurança do Ambiente Físico Para garantir adequada segurança do ambiente físico, é necessário combinar as seguintes medidas: o De prevenção; o Detecç

Redes de computadores

Virtualização do System302 em ambiente VMWARE

Symantec Network Access Control Starter Edition

Firewall. Andrei Jean Fabio Garzarella William Passig

Política de Segurança da Informação

ASIA ASSET GESTORA DE RECURSOS LTDA. PLANO DE CONTINGÊNCIA E CONTINUIDADE DOS NEGÓCIOS

Informática. Cloud Computing e Storage. Professor Márcio Hunecke.

IBM Managed Security Services para Reimplementação e Reativação do Agente

GATEPLUS SISTEMA HOTSPOT DE GESTÃO E CONTROLE DE INTERNET

Transcrição:

Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas Fabricantes de máquinas Sistemas Industriais em Toda a Planta Introdução Acesso remoto seguro para bens, dados e aplicativos de produção, juntamente com as mais recentes ferramentas de colaboração, confere aos fabricantes a capacidade de aplicar as habilidades e os recursos certos na hora certa, independentemente de sua localização física. Os fabricantes de máquinas estão procurando reduzir custos, agregar mais valor aos seus clientes de fabricação e se diferenciar de seus concorrentes. Este documento descreve os meios para habilitar o acesso remoto seguro para aplicativos e dados baseados em plantas e pode ser usado como orientação para os fabricantes de máquinas colaborarem com seus clientes, ao criar um acesso remoto seguro Desafios Técnicos Os fabricantes de máquinas tradicionalmente contaram com a implantação de pessoal no local para fornecer suporte para sistemas de automação e controle industriais (IACS), ou usaram métodos como acesso autônomo discado sem usar um firewall. Muitas vezes, este método de Acesso Remoto contorna a segurança perimetral, cria a ameaça de um back door no sistema de fabricação e pode representar um risco significativo de segurança. Uma vez que os fabricantes de máquinas fornecem suporte seguro remotamente e respondem a questões em tempo real, este método já não é suficiente. Tecnologias para acesso remoto a redes empresariais tradicionais já existem há algum tempo, como Redes Virtuais Privadas (VPNs). No entanto, aplicar tecnologias de forma exitosa para fornecer acesso remoto eficaz para IACS tem sido um desafio.

2 Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas Isso se deve a uma série de razões: IACS é muitas vezes gerido por organizações fabris, enquanto soluções de acesso remoto empresarial, como VPNs, são de responsabilidade da organização de TI. A implementação bem sucedida de acesso remoto ao IACS exige colaboração entre TI e as organizações fabris. O acesso remoto pode expor os sistemas principais de fabricação a vírus e malware que podem estar presentes em um computador remoto ou parceiro, potencialmente afetando a produção. É um desafio garantir que o dispositivo final (computador) usado para o acesso remoto é seguro e que tem as versões apropriadas dos aplicativos necessários para controle e acesso remoto. Limitar as capacidades do usuário remoto a essas funções que são apropriadas para usuários remotos, e não exigem a presença local devido à linha de visão ou outros requisitos semelhantes pode ser difícil. Os fabricantes são muitas vezes incapazes de limitar o acesso de um funcionário parceiro ou remoto apenas a máquinas, aplicativos ou partes da rede específicas pelas quais são responsáveis e têm autorização. Um tamanho não serve para todos. Uma solução de acesso remoto IACS que funciona para um cliente pode não ser suficiente para outro. Uma solução de acesso remoto IACS que é necessária para um cliente pode ser pesada demais ou mesmo impraticável para outro. Como se observa a seguir, uma solução de acesso remoto viável depende das exigências da indústria, requisitos do cliente (políticas e procedimentos de segurança), tamanho do cliente e sua infraestrutura de suporte. Como resultado, as soluções de acesso remoto, enquanto amplamente implantadas na rede empresarial, não têm sido tão amplamente adotadas para apoiar a rede IACS. Quando a tecnologia VPN foi utilizada, ela frequentemente estava sujeita aos desafios mencionados anteriormente, e, portanto, limitada a funcionários apenas (não parceiros), e ainda pode resultar em alguns riscos de segurança, incluindo vírus e acesso não autorizado, se não for devidamente implementada. Para alcançar de fato a fabricação colaborativa, o acesso precisa ser escalável, independentemente da localização ou da empresa. O acesso precisa ser seguro para se comunicar de forma eficaz, diagnosticar problemas e implementar ações corretivas. O acesso deve ser limitado àqueles indivíduos que estão autorizados a acessar os sistemas, e suas ações autorizadas devem estar alinhadas com as políticas e procedimentos corporativos e das plantas. Ao colaborar com o seu cliente para implementar o acesso remoto a suas soluções IACS (por exemplo, máquinas), as seguintes perguntas ajudarão a identificar o nível de prontidão da organização: Eles têm uma política de segurança de TI? Eles têm uma política de segurança de IACS? Eles têm uma política de acesso remoto para os funcionários e a infraestrutura para suportar? Que tecnologia VPN/produtos eles utilizam? Eles têm uma política de acesso remoto para parceiros - a capacidade e processo para adicionar parceiros (fabricantes de máquinas, SI, fornecedores de automação, contratados)? Para parceiros, sua solução está pronta para ser integrada na infraestrutura de rede IACS do seu cliente? Sua solução suporta acesso remoto? Sua solução está alinhada com os padrões estabelecidos de segurança IACS, como ISA-99 e NIST 800-82?

Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas 3 Algumas outras considerações importantes incluem: Monitorar e auditar as atividades de usuários remotos para identificar uso indevido Determinar se há qualquer linha de visão (requisitos visuais) ou outras restrições que precisam ser identificadas antes de permitir certas capacidades de acesso remoto Definir que ferramentas de software são permitidas para acesso remoto Tecnologias de Segurança Aplicadas Princípios do Acesso Remoto Seguro Ao desenvolver uma solução de Acesso Remoto Seguro, uma abordagem de Defesa em Profundidade deve ser implementada. Esta abordagem cria várias camadas de segurança que lidam com as diferentes ameaças possíveis que poderiam ocorrer em um cenário de acesso Engenheiros e Parceiros Remotos remoto. Embora não haja uma única tecnologia ou metodologia que protege totalmente redes Criptografia IPsec e VPN SSL IACS, combinar várias tecnologias de segurança constitui um forte elemento dissuasor para Listas de Controle de Acesso (ACLs) tipos mais conhecidos de ameaças e violações Navegação Segura (HTTPS) de segurança, enquanto limita o impacto de qualquer compromisso. Para garantir um Proteção e Detecção de Intrusão programa abrangente de segurança de Defesa em Sessão de Terminal Remoto Profundidade, as empresas precisam contar com Segurança de Aplicativo vários tipos de controles. Autenticação, Autorização e Contabilidade Estes controles podem ser categorizados como: Administrativos - Principalmente as políticas e procedimentos de segurança. - Exemplos incluem: política de senha, treinamento de conscientização de segurança, etc. Técnicos - Também chamados de controles lógicos e consistem em hardware, software e equipamentos eletrônicos para monitorar e controlar o acesso aos sistemas de informação. - Exemplos incluem: firewalls, IPS/IDS,smartcards, etc. Físicos VLANS Aplicativos e Dados de IACS Defesa em Profundidade - Principalmente controles mecânicos para monitorar e controlar o acesso físico - Exemplos incluem: cadeados, guardas de segurança, câmeras de segurança, etc. É importante lembrar que isso não tem a ver apenas com os controles técnicos e que um programa completo de segurança inclui controles Administrativos, Técnicos e Físicos. O diagrama acima é um exemplo de controles técnicos que podem ser implementados para criar uma estratégia de Defesa em Profundidade.

4 Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas Abordagem Existem várias abordagens para fornecer Acesso Remoto Seguro a um IACS, duas dos quais são Acesso Direto e Indireto. A escolha dessas abordagens depende dos critérios observados anteriormente como as políticas e procedimentos de segurança do cliente. Cada abordagem tem várias considerações de projeto que poderiam afetar o funcionamento adequado do IACS e devem ser levadas em conta no desenvolvimento e implementação de uma solução de acesso remoto IACS. Acesso Direto O Acesso Direto permite que o usuário remoto estabeleça uma conexão segura diretamente com o IACS. Depois de criar um túnel VPN seguro, o software no computador do usuário remoto, inicia a comunicação diretamente com o IACS. Considerações do Projeto - como elas serão aplicadas? - Autenticação e autorização de rede e aplicativo - Gestão de alterações, controle de versão, conformidade regulamentar e gestão de licenças de software - Gestão de saúde do cliente remoto (computador) - Alinhamento com as normas de segurança de IACS estabelecidas OBS.: Apesar de pouco ou nenhum suporte de TI ser necessário ao seguir esta abordagem, as melhores práticas de segurança devem estar alinhadas com as normas de segurança de IACS estabelecidas. Acesso Direto Site Remoto Sistemas Industriais em Toda a Planta

Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas 5 Acesso Indireto Acesso Indireto permite que o usuário remoto estabeleça uma conexão segura com o IACS através de um servidor intermediário geralmente residente na DMZ (Zona Desmilitarizada) para acesso remoto de gateway a um Servidor de Acesso Remoto (RAS) no IACS. O cliente remoto usa um aplicativo de software thin client ou um navegador da web para estabelecer uma conexão com o RAS assim que a sessão VPN é estabelecida. Considerações do Projeto - Várias camadas de autenticação e autorização de rede - Gestão simplificada de ativos - gestão de alterações, controle de versão, conformidade regulamentar e gestão de licenças de software - Gestão simplificada de saúde do cliente remoto - Maior alinhamento com as normas de segurança de IACS estabelecidas OBS.: O acesso indireto é a abordagem preferida devido a um maior alinhamento com as normas de segurança de IACS estabelecidas. Como tal, esta é a abordagem recomendada pela equipe da arquitetura de Ethernet Convergida em toda a planta (CPwE) da Rockwell Automation e da Cisco. Acesso Indireto Site Remoto Servidor de Acesso Remoto (RAS) Sistemas Industriais em Toda a Planta Ao analisar soluções de Acesso Remoto Seguro você deve determinar se o tipo de sistema(s) que

6 Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas precisa(m) ser acessado(s), são IACS autônomos isolados ou um IACS empresarial integrado. Exemplo Representativo de IACS Autônomo Isolado - Pequena fábrica, poderia ser pequenas lojas de operador único, localização remota (não empresarial integrado), com poucas máquinas automatizadas - Pouco ou nenhum suporte de TI com mínimas a nenhuma política de segurança - Pouco ou nenhum alinhamento com as normas de segurança de IACS estabelecidas Exemplo Representativo de IACS Empresarial Integrado - Maior fábrica - Interfaces de rede industriais com a rede empresarial - Forte presença de TI com as políticas de segurança de defesa profunda - Alinhamento com as normas de segurança de IACS estabelecidas Exemplo: Acesso Direto para IACS Autônomo WAN Equipamento de Segurança UTM Roteador WAN Site Remoto Engenheiro de Planta Fabricante de Máquinas Integrador de Sistemas

Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas 7 Exemplo: Acesso Indireto para IACS Autônomo (Abordagem Preferida) Site Remoto Engenheiro de Planta Fabricante de Máquinas Integrador de Sistemas WAN Roteador WAN Equipamento de Segurança UTM Servidor de Acesso Remoto (RAS) Exemplo: Acesso Indireto para IACS Empresarial Integrado (Abordagem Preferida) (Fabricante maior com integração de sistemas de produção (fabricação) e de negócios (TI)) WAN DMZ Site Remoto Engenheiro de Planta Fabricante de Máquinas Integrador de Sistemas Sistemas Empresariais Sistemas Industriais em Toda a Planta

8 Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas Possíveis Soluções de Acesso Remoto Modems de Conexão Discada (Dial-Up) Modems têm sido tradicionalmente um método de acesso remoto backdoor esquecido para aplicativos de IACS. Eles são tipicamente o método menos preferido para acessar um IACS. No entanto, se este é o método de acesso remoto escolhido com base na política de acesso remoto e limitações de infraestrutura física, então uma abordagem de segurança em camadas múltiplas deve ser usada, bem como desligar a energia do modem quando não estiver em uso. O modem deve ter as seguintes capacidades: Contas de Conexão Discada Configuráveis Identificador de Chamadas, permitindo apenas a autenticação para determinados números de telefone programáveis Recursos de Retorno de Chamada (Call-Back) Autenticação Criptografada Além de implantar um modem com segurança interna, outras camadas de defesa também devem ser empregadas. Algumas dessas defesas incluem: implementar um firewall com CIP ativo, estabelecer um IPsec ou VPN SSL, configurar um sistema de detecção/prevenção de intrusão (IDS/IPS), fornecer proteção contra vírus, etc. Os firewalls mais modernos oferecem várias camadas de segurança em um único pacote, muitas vezes referido como um dispositivo de Gerenciamento Unificado de Ameaças (UTM). OBS.: Para orientações adicionais sobre a segurança do modem consulte: Department of Homeland Security Recommended Practice for Securing Control System Modems (prática recomendada para proteger modems de sistemas de controle) - http://www.us-cert.gov/control_systems/practices/documents/securingmodems.pdf Serviços de Rede e Segurança Rockwell Automation - http://www.rockwellautomation.com/services/security/

Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas 9 Conexão remota para a planta (Roteadores/Modems de WAN: DSL, Celular, Satélite, Cabo, T1, etc.) Quando os modems tradicionais não são uma opção devido a inviabilidade de instalação de linhas telefônicas, acesso celular fornece uma excelente alternativa para estabelecer uma conexão WAN. Isso está se tornando uma opção popular devido a crescente área de cobertura, velocidade, custo e conveniência. Conexão Remota com a Planta Site Remoto WAN Roteador WAN Equipamento de Segurança UTM Sistemas Industriais em Toda a Planta No entanto, como dito acima sobre modems dial-in, conexões WAN celulares usando roteadores e modems celulares devem ser usadas em conjunto com outras tecnologias de segurança para fornecer Defesa em Profundidade ou no mínimo ter esses recursos incorporados no dispositivo (pacote UTM). Outras opções de conectividade WAN incluem: DSL, Cabo, T1, Satélite, etc. O tipo de conectividade que será usada para estabelecer conectividade WAN ao sistema autônomo dependerá da localização, restrições orçamentárias e política de acesso do fabricante. Uma coisa a notar é que ao implementar uma VPN, normalmente um endereço IP estático precisa ser atribuído pelo provedor de WAN. A seguir estão alguns recursos de segurança a considerar ao desenvolver uma solução: Tem capacidades VPN? SSL? IPsec? Fornece um firewall? - Filtra protocolos industriais? CIP, Modbus, etc. - Inspeção Profunda de Pacotes? NAT (Conversão de Acesso de Rede)? É construída para uso industrial? Antivírus, filtro de spam? Pode fornecer auditoria? Tem um sistema de detecção e/ou prevenção de intrusões?

10 Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas Conexão para fora da planta (Webex, GoToMyPc, dispositivos de Gateway VPN, etc) Conexões iniciadas pelo usuário final também podem fornecer recursos de acesso remoto seguro desde que o sistema de controle tenha pessoal no local e que já exista conectividade segura com a internet estabelecida usando controles de segurança de várias camadas. A pessoa de suporte remoto pode solicitar uma sessão remota usando tecnologias como Webex, etc. Site Remoto WAN Roteador WAN Equipamento de Segurança UTM Conexão Remota com a Planta Sistemas Industriais em Toda a Planta No entanto, o PC/Laptop no local precisa ter todo o software necessário instalado para fornecer capacidades remotas bem como TI para configurar as regras necessárias para permitir o acesso de saída. O risco de abrir conexões de saída para a internet (http/https) para usar esses serviços não deve ser ignorado e deve ser restrito a determinados sites e endereços IP para evitar a navegação na web a partir de sistemas de controle. O uso de navegadores da web pode constituir risco significativo e são conhecidos por serem uma fonte de ataques. Outra solução é um dispositivo Gateway VPN que reside no sistema de controle e estabelece o acesso remoto através de um serviço Hosted VPN (hospedado). Deve-se ter cuidado com esta solução para analisar o provedor de serviços de Hospedado, sua localização, se eles estão aderindo às melhores práticas de segurança e estão alinhados com as normas de segurança de IACS estabelecidas, como ISA-99 e NIST 800-82, bem como se atendem aos requisitos de segurança da política de segurança do fabricante.

Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas 11 IACS Empresarial Integrado Possível Solução Solução de Acesso Remoto Seguro CPwE da Rockwell Automation e da Cisco - http://literature.rockwellautomation.com/idc/groups/literature/documents/td/ enet-td001_-en-p.pdf - http://literature.rockwellautomation.com/idc/groups/literature/documents/wp/ enet-wp009_-en-e.pdf Soluções Customizadas. Para soluções customizadas, a Equipe de Serviços de Rede e Segurança da Rockwell podem desenvolver uma solução segura que atenda às suas necessidades. http://www.rockwellautomation.com/services/networks/ http://www.rockwellautomation.com/services/security/

12 Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas Resumo A evolução dos recursos de acesso remoto seguro permite que os fabricantes de máquinas melhorem a produtividade, reduzam custos e respondam mais rapidamente aos eventos que afetam seus clientes. Ao utilizar essas soluções de Acesso Remoto Seguro, os fabricantes de máquinas podem fornecer suporte remoto em tempo real. Esses recursos são cada vez mais importantes conforme as operações de fabricação se tornam mais complexas e distribuídas globalmente, enquanto a disponibilidade de trabalhadores qualificados para apoiar os sistemas no local 24 horas está diminuindo. Os recursos de acesso remoto para sistemas autônomos dão aos fabricantes de máquinas a capacidade de aplicar as habilidades e recursos certos na hora certa, independentemente de sua localização física. Isso proporciona maior eficiência, menos tempo de inatividade e menor custo. Dada a natureza crítica de aplicativos de IACS, no entanto, é importante que qualquer solução de acesso remoto forneça níveis adequados de segurança para atender às necessidades do fabricante e alinhar-se com as normas de segurança de IACS estabelecidos. Aplicar os princípios de Defesa em Profundidade garante que nunca há acesso remoto direto não seguro para um aplicativo IACS. Recursos Adicionais Alliance Member Cisco Roteadores de Serviços Integrados - http://www.cisco.com/en/us/products/ps10906/products_sub_category_home.html Rockwell Automation Modems de Acesso Remoto - http://www.rockwellautomation.com/services/onlinephone/modems/ Encompass Partners http://www.rockwellautomation.com/encompass/

Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas 13 Glossário de Termos CIP - Protocolo Industrial Comum O Protocolo Industrial Comum (CIP) engloba um conjunto abrangente de mensagens e serviços para a coleção de aplicativos de automação de fabricação controle, segurança, sincronização, movimento, configuração e informações. CIP pertence e é mantido pela ODVA. A ODVA é uma associação internacional, composta por membros das principais empresas de automação do mundo. DMZ - Zona Desmilitarizada Refere-se a um buffer ou segmento de rede entre duas zonas de rede. Uma DMZ é comumente encontrada entre a rede corporativa e a internet onde dados e serviços podem ser compartilhados/acessados por usuários na internet ou em redes corporativas. Uma DMZ é normalmente estabelecida com os firewalls de rede para gerenciar e proteger o tráfego de qualquer zona. Para um exemplo de uma rede DMZ, consulte Scenario: DMZ Configuration (Cenário: Configuração DMZ): http://www.cisco.com/en/us/docs/solutions/verticals/cpwe/cpwe_chapter4.html#wp1050554 IACS - Sistemas de Automação e Controle Industriais Refere-se ao conjunto de dispositivos e aplicativos usados para automatizar e controlar o processo de fabricação em questão. Ao invés de usar vários termos com um significado semelhante (por exemplo, sistemas de produção, sistemas de chão de fábrica) padronizamos este termo para uso neste documento. Isso não serve para sugerir qualquer foco ou limitações específicas. Pretendemos que as ideias e conceitos descritos aqui são aplicáveis em vários tipos de fabricação, incluindo, mas não se limitando a em lote, contínua, discreta, híbrida e processo. Outros documentos e referências da indústria podem referir-se a Sistemas de Controle Industrial (ICS). Para os efeitos deste documento, esses termos são intercambiáveis. Este documento usa IACS, como refletido nas normas ISA 99, e está alinhado com a Ethernet Convergida em Toda a Planta (CPwE) da Cisco e da Rockwell Automation IPA-3 - Protocolo de Internet Protocolo de Internet. Protocolo de camada de rede na pilha de TCP/IP, oferecendo um serviço de inter-rede sem conexão. IP fornece recursos para endereçamento, especificação do tipo de serviço, fragmentação e remontagem e segurança. Definido na RFC 791. Para mais informações sobre IP, TCP e UDP, consulte Protocolos de Internet-Manual de Tecnologia de Inter-Rede: http://www.cisco.com/en/us/docs/internetworking/technology/handbook/internet-protocols. html IPS - Sistemas de Prevenção de Intrusões Um dispositivo de segurança de rede que monitora a atividade de rede quanto a comportamento malicioso ou indesejado. Saiba mais sobre Sistemas de Prevenção de Intrusões na Wikipédia: http://en.wikipedia.org/wiki/intrusion-prevention_system Ou Cisco IPS: http://www.cisco.com/en/us/products/sw/secursw/ps2113/index.html

14 Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas IPSec - Segurança IP Uma estrutura de padrões abertos que fornece confidencialidade de dados, integridade de dados e autenticação de dados entre pares participantes. IPSec fornece esses serviços de segurança na camada IP. IPSec utiliza IKE (veja acima) para lidar com a negociação de protocolos e algoritmos baseados na política local e para gerar as chaves de criptografia e autenticação a serem usadas pelo IPSec. IPSec pode proteger um ou mais fluxos de dados entre um par de hosts, entre um par de gateways de segurança ou entre um gateway de segurança e um host. Para uma compreensão mais aprofundada do IPsec, consulte o seguinte URL: http://www.cisco.com/en/us/tech/tk583/tk372/technologies_tech_note09186a0080094203. shtml. ISA-99 Visa a segurança para sistemas de controle e automação industriais. Para mais informações, consulte: http://www.isa.org/mstemplate.cfm?micrositeid=988&committeeid=6821 NAT - Conversão de Endereços de Rede Mecanismo para reduzir a necessidade de endereços IP globalmente exclusivos. NAT permite que uma organização com endereços que não são globalmente exclusivos se conecte à Internet, convertendo esses endereços para espaço de endereços globalmente roteáveis. Planta - Unidade de Produção, Fábrica ou Chão de Fábrica Neste documento optou por utilizar o termo planta como uma palavra-chave para descrever a área na qual o processo de fabricação e controle ocorre. Este não serve para excluir palavras semelhantes, como fábrica, instalação de produção ou qualquer outro termo usado para se referir à área em que existe o processo de fabricação. Na verdade, eles podem ser usados de forma intercambiável, mas para fins de consistência, o termo Planta é usado. Sessão de Terminal Remoto Área de Trabalho Remota se refere a um conjunto de protocolos e software que permitem que um computador ou usuário acesse e controle remotamente outro computador através de Emulação de Terminal gráfico. O software que o faz aparecer para um host remoto como um terminal diretamente conectado, incluindo RDP, Protocolo de Área de Trabalho Remota e Computação de Rede Virtual VNC da Microsoft. SSL - Secure Socket Layer Tecnologia de criptografia para a Web usada para fornecer transações seguras, como a transmissão de números de cartão de crédito para comércio eletrônico. Sub-Rede Em redes IP, uma sub-rede é uma rede que compartilha um endereço de sub-rede específico. As sub-redes são redes arbitrariamente segmentadas por um administrador de rede para fornecer uma estrutura de roteamento hierárquica multinível enquanto marcará a sub-rede da complexidade de endereçamento das redes conectadas.

Soluções de Acesso Remoto Seguro Escalável para fabricantes de máquinas 15 Suite de Protocolos IP Um conjunto de normas de rede em que se baseia a internet e a maioria das redes empresariais. Ele inclui o Protocolo de Internet (IP) de 3 Camadas, o Protocolo de Controle de Transmissão (TCP) de 4 Camadas e o Protocolo de Datagrama de Usuário (UDP). UTM - Gerenciamento Unificado de Ameaças Uma solução abrangente que surgiu recentemente no setor de segurança de rede e, desde 2004, ganhou moeda generalizada como uma solução de defesa de gateway de rede primária para as organizações.[1] Na teoria, é a evolução do firewall tradicional em um produto de segurança completo que tem a capacidade de executar várias funções de segurança em um único dispositivo: firewall de rede, prevenção de intrusões na rede e antivírus de gateway (AV), antispam de gateway, VPN, filtragem de conteúdo, balanceamento de carga, prevenção de vazamento de dados e relatórios no dispositivo. Veja mais sobre UTM na Wikipédia: http://en.wikipedia.org/wiki/unified_threat_management VPN - Rede Virtual Privada Uma rede que usa principalmente a infraestrutura de telecomunicações pública, como a Internet, para fornecer aos usuários de escritórios remotos ou em viagem um acesso a uma rede organizacional central. VPNs normalmente exigem que os usuários remotos da rede sejam autenticados e muitas vezes protegem dados com tecnologias de criptografia para impedir a divulgação de informações privadas para partes não autorizadas. VPNs podem servir qualquer funcionalidade de rede que é encontrada em qualquer rede, como compartilhamento de dados e acesso a recursos de rede, impressoras, bancos de dados, websites, etc. Um usuário de VPN geralmente tem sua experiência na rede central de forma idêntica como se estivesse conectado diretamente à rede central. A tecnologia VPN através da Internet pública substituiu a necessidade de requerer e manter circuitos dedicados de telecomunicações de linha alugada caros uma vez típico em instalações de rede de longa distância. Veja mais sobre VPNs na Wikipédia: http://en.wikipedia.org/wiki/vpn WAN - Rede de Longa Distância Uma rede de longa distância (WAN) é uma rede de telecomunicações que cobre uma área ampla (ou seja, qualquer rede que conecta limites metropolitanos, regionais ou nacionais). Entidades empresariais e governamentais utilizam WANs para transmitir dados entre funcionários, clientes, compradores e fornecedores de várias localizações geográficas. Em essência, este modo de telecomunicação permite que uma empresa realize suas funções diárias de forma eficaz, independentemente do local. http://en.wikipedia.org/wiki/wide_area_network Zona de Produção Uma zona de rede na Estrutura Lógica da Planta como mostrado no Capítulo 2 do Converged Plantwide Ethernet (CPwE) Design and Implementation Guide (Guia de Desenvolvimento e Implementação de Ethernet Convergida em Toda a Planta (CPwE)) da Cisco e da Rockwell Automation. A zona contém o conjunto completo de aplicativos, sistemas, infraestrutura e dispositivos que são críticos para as operações contínuas da planta. Em outros documentos (por exemplo, ISA 99), esta zona pode também ser referida como a zona de Controle. Os termos são intercambiáveis neste sentido.

Allen-Bradley, Rockwell Automation, e Rockwell Software são marcas registradas da Rockwell Automation, Inc. Todas as marcas registradas não pertencentes à Rockwell Automation são de propriedade de suas respectivas companhias. Publicação ENET-WP025A-PT-E Março 2012 2012 Rockwell Automation, Inc. Todos os direitos reservados. Impresso nos EUA.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback