Embed Size (px)
Citation preview
在融合式全廠區乙太網路架構之內部署身分識別服務
白皮書
2015 年 5 月
文件參照編號:ENET-WP037A-ZC-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment.
• Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
在融合式全廠區ENET-WP037A-ZC-P
在融合式全廠區乙太網路架構之內部署身分識別服務
管理產業網路存取安全性與控制未知風險的複雜度隨著產業網路存取方法的擴增而持續增加。 隨著承包商出入廠內的需求日益增加 ( 例如 OEM 和系統整合商 ),全廠區網路面臨持續的安全威脅。
產業自動化和控制系統 (IACS) 網路通常預設為開放,這有助於技術共存和 IACS 裝置交互運作。 IACS 網路受到組態和架構的保護,因為未知的承包商電腦對全廠的營運安全是一大挑戰。
工廠內進化的技術共存的管理和安全性需要不同的方法。 融合式全廠區乙太網路 (CPwE) 使用 Cisco 身份識別服務引擎 (ISE),支援廠內人員和承包商對 IACS 網路的集中管理的安全有線或無線電腦存取。
CPwE 是提供標準網路服務的基礎架構,適用於現今 IACS 應用程式的控制和資訊領域、裝置及設備。 Cisco ISE 搭配 CPwE 架構使用,透過辨識以 Microsoft® 為基礎的電腦、作業系統及登入使用者,在電腦存取的網路基礎架構建置安全性政策,提供另一層動態的網路存取控制安全性。 CPwE 架構提供設計與建置指南,以實現 IACS 的即時通訊、可靠度、擴充性。Cisco ISE 以定義明確的最佳實務以及具有集中管理架構模式的網路架構為基礎,其中 IT 部門維護產業區內操作的 Cisco ISE 平台管理。
CPwE 身份識別服務透過 Cisco Systems® 與 Rockwell Automation 雙方的策略結盟推出上市。 CPwE 身份識別 Cisco 驗證設計 (CVD) 提供在產業區內設計與建置 Cisco 身份識別服務引擎的指南。
安全存取管制因為連線到 IACS 網路的已知和未知電腦持續增加,管理不同安全性解決方案與風險管控的方法日趨成熟。 實體安全性已經不足以阻擋存取 IACS 網路的企圖。 隨著承包商電腦連線的持續增加,以及已經受限的全廠營運 資源,未能識別與補救安全性威脅的潛在衝擊,對全廠的營運造成重大的風險。 CPwE 身份識別服務是進化工廠管理與安全性的新方法。
保護 IACS 資產需要可集中管理的深入防禦安全性方法,才能因應內部的安全性威脅。 Cisco ISE 支援有限與無線的存取方法,以保護廠內人員與承包商存取 IACS 網路的不同方法。
CPwE 產業網路安全性架構 ( 圖 1) 採用深入防禦方法,符合 ISA/IEC-62443 ( 原為 ISA-99) IACS 安全性及 NIST 800-82 產業控制系統 (ICS) 安全性等產業安全性標準。
設計和建置全面性 IACS 網路存取安全性架構應該是 IACS 的自然延伸,而不是事後才建置網路安全性。 產業網路安全性架構對於 IACS 而言應該相當普遍而且重要。不過,以既有的 IACS 部署為基礎,可以逐漸運用相同的深入防禦層改善 IACS 的存取安全性態勢。
1乙太網路架構之內部署身分識別服務
在融合式全廠區乙太網路架構之內部署身分識別服務CPwE 的統一網路存取政策管理
CPwE 深入防禦層 ( 圖 1) 包括:
• 控制系統工程師 ( 以褐色標示 )—IACS 裝置強化 ( 例如:實體和電子 )、基礎架構裝置強化 ( 例如:連接埠安全性 )、網路分段、IACS 應用程式驗證、授權及帳戶管理 (AAA)
• 控制系統工程師協同 IT 網路工程師 ( 以藍色標示 )—IACS 應用程式、作業系統強化、網路裝置強化 ( 例如:存取控制、彈性 )、有線和無線 LAN 存取政策的區域型政策防火牆
• IT 安全性架構師協同控制系統工程師 ( 以紫色標示 )— 身分識別服務 ( 有線和無線 )、Active Directory (AD)、遠端存取伺服器、廠區防火牆、產業隔離區 (IDMZ) 設計最佳實務
圖 1 CPwE 產業網路安全性架構
CPwE 的統一網路存取政策管理Cisco 身份識別服務引擎讓企業 IT 透過提供以下功能,協助確保廠內高度安全的有線和無線存取:
• 全面性的集中化政策管理
• 簡化的裝置登入
• 動態實施
提供以規則為基礎的屬性驅動政策模型,以建立存取控制政策。 Cisco ISE 包括建立微調政策的能力。 也可以動態地建立屬性並儲存,以供新的操作和管理裝置引進 IACS 網路之後使用。
如 圖 2 所示,CPwE 身份識別服務支援多個外部身份存放庫,包括驗證與授權的 Active Directory。 全廠的網路管理員可以根據網路式 GUI 主控台所提供的驗證與授權服務,集中配置與管理員工、訪客、廠商及承包商的有線與無線存取。 Cisco ISE 針對分散式網路環境的單一管理介面提供整合式的中央管理,進而簡化管理。
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
2在融合式全廠區乙太網路架構之內部署身分識別服務
ENET-WP037A-ZC-P
在融合式全廠區乙太網路架構之內部署身分識別服務融合式全廠區乙太網路身份識別服務
圖 2 有線和無線的統一身份識別服務
透過結合 Cisco ISE,在整個網路套用即時的佈建政策,讓使用者從有線和無線的連線體驗持續的服務存取:
• 未知的裝置被導向管理定義的安全目的地,無法在工廠端運作之內存取本機資源。
• 受信任的裝置可以存取產業區內的主要平台。
這類裝置感應能力嵌入 Allen-Bradley® Stratix 和 Cisco® 開關以及 Cisco 無線 LAN 控制器 (WLC),在入口點控制網路的全面概況,因而省卻了疊加器材、單機裝置或基礎架構更換的費用與管理。
融合式全廠區乙太網路身份識別服務在產業區內的裝置概況是根據裝置分析服務,可辨識連線到全廠網路的特定電腦。 Cisco ISE 之內的概況分析服務,可辨識連線到單元 / 區域與其位置內,切換方便連結埠的特定電腦,或在初始連線到廠內無線網路時進行辨識。 特定裝置的狀態分析是根據在 Cisco ISE 內部配置的端點狀態分析政策,之後授予權限給特定的電腦,根據政策評估的結果存取全廠網路,或是將不受信任的電腦路由至管理定義的安全目的地。 狀態分析服務使用在 Stratix 之內所支援的 IEEE 標準 802.1X 連接埠式驗證存取控制,以及 CPwE 架構之內支援的 Cisco 產業乙太網路交換器 (IES),以促進驗證管理。
Cisco ISE 將可透過電腦概況分析,確保只有受信任的工廠人員和承包商電腦才能存取全廠的網路。 Cisco ISE 會根據使用者或電腦的身份識別,傳送安全的存取規則給 Stratix 或 Cisco IES,讓全廠操作都受到統一政策實施的保護,不論使用者或電腦是在何處嘗試存取網路。
CPwE 身份識別服務運用集中式全廠彈性以決定如何實施訪客政策。 Cisco ISE 提供自助註冊連接埠,讓廠區人員、廠商、合作夥伴及訪客根據全廠操作所定義的業務政策,自動註冊與佈建新的裝置。 CPwE 身份識別服務讓 IT 建立自動化的全廠裝置佈建與狀態分析,同時讓廠內人員可以在有限的 IT 協助之下,透過簡單的流程將電腦登入全廠網路。
總結在產業區內,CPwE 身份識別服務:
• 在產業區內提供對管理存取控制最關鍵的集中式環境感知身份識別管理。
• 確定使用者是否在已授權、政策相容的電腦上存取網路,並指派根據指定使用者角色、群組及相關政策的存取。 列入考量的變數包括員工、廠商、合作夥伴、工作職務、地點及裝置類型。
EnterpriseWAN
Firewalls(Active/Standby)
MCC
Enterprise Zone: Levels 4-5
IO
Level 3Site Operations
Drive
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
FactoryTalk Client
Internet
ExternalDMZ / Firewall
WGB
IO
WLC (Active)
ISE PSN
WLC (Standby)
PACPAC
PACLevels 0-2Cell/Area Zone
Distribution switch
LWAP
3746
40
WLC (Enterprise)
ISE MnT
ISE PAN/PSN
Remote Access Server (RAS)
ISE Synchronization
ISE Logging
Laptop Client
Core switches
Core switches
3在融合式全廠區乙太網路架構之內部署身分識別服務
ENET-WP037A-ZC-P
在融合式全廠區乙太網路架構之內部署身分識別服務總結
• 根據驗證的結果授予已驗證使用者存取特定的產業區區塊。
IACS 網路仰賴技術共存與 IACS 裝置交互運作。 同樣地,IACS 網路也必須安全,避免未知與不受信任的裝置威脅全廠的操作。 CPwE 身份識別服務是建立在產業區內分散的有線和無線產業網路之上,集中式管理的網路存取保護層。 身份識別服務整合到產業區,提供全廠操作的廣範圍存取控制選項。 CPwE 身份識別服務建立與分散即時的存取政策,讓廠區人員和承包商從他們從全廠區網路的任何地點體驗一致的存取。
注意 這個版本的 CPwE 架構著重於採用 ODVA 通用產業通訊協定 (CIP) 驅動的 EtherNet/IP。 請參閱《CPwE 設計及建置指南》的「IACS 通訊協定」小節。
洛克威爾自動化網站http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf
Cisco 網站:http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html
4在融合式全廠區乙太網路架構之內部署身分識別服務
ENET-WP037A-ZC-P
在融合式全廠區乙太網路架構之內部署身分識別服務總結
5在融合式全廠區乙太網路架構之內部署身分識別服務
ENET-WP037A-ZC-P
在融合式全廠區乙太網路架構之內部署身分識別服務
Cisco 是改變人際之間聯繫、通訊和共同合作方式的全球網路領導廠商。 可以在 www.cisco.com 找到關於 Cisco 的資訊。 如需後續更新消息,請造訪
http://newsroom.cisco.com。 歐洲的 Cisco 設備由 Cisco Systems, Inc. 的全資子公司 Cisco Systems International BV 提供。
www.cisco.com
美洲總部Cisco Systems, Inc.
加州聖荷西
亞太地區總部Cisco Systems (USA) Pte. Ltd.
新加坡
歐洲總部Cisco Systems International BV
荷蘭阿姆斯特丹
Cisco 在全球設立 200 多處辦公室。 Cisco 網站 www.cisco.com/go/offices 列出地址、電話號碼及傳真號碼。
Cisco 及 Cisco 標誌為 Cisco 及 / 或其附屬公司在美國及其他國家的商標或註冊商標。 請前往此 URL:www.cisco.com/go/trademarks 檢視 Cisco 商標的清單。 提及的第三方商標為其各自擁有者的財產。 使用的「合作夥伴」一詞不表示 Cisco 與其他任何公司之間的合作夥伴關係。 (1110R)
Rockwell Automation 是電源、控制及資訊解決方案的領導供應商,能讓客戶加速產品上市、降低總擁有成本、更有效運用廠區資產,並大幅降低製造環境的風險。
www.rockwellautomation.com
美洲:洛克威爾自動化公司1201 South Second Street
Milwaukee, WI 53204-2496 USA
電話:(1) 414.382.2000,傳真:(1) 414.382.4444
亞太地區:洛克威爾自動化公司Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
電話:(852) 2887 4788,傳真:(852) 2508 1846
歐洲 / 中東 / 非洲:
洛克威爾自動化公司NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Belgium
電話:(32) 2 663 0600,傳真:(32) 2 663 0640
Allen-Bradley、FactoryTalk、Integrated Architecture、Stratix 8000、Stratix 5700、Stratix 8000 及 Studio 5000
是 Rockwell Automation, Inc. 的商標。
Microsoft 是 Microsoft Systems 的商標。 EtherNet/IP 為 ODVA 的註冊商標。
© 2015 Cisco Systems, Inc. 及 Rockwell Automation, Inc. All Rights Reserved.
出版品 ENET-WP037A-ZC-P 2015 年 5 月
