Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

Livre blanc

Mai 2015

Numéro de référence du document : ENET-WP038A-FR-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment. • Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS

ENET-WP038A-FR-P

s données de

Circulation sécurisée desystèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

Les réseaux des systèmes d’automatisation et de commande industriels (IACS) sont généralement ouverts implicitement ; l’ouverture facilite la coexistence de la technologie et l’interopérabilité des périphériques de l’IACS. L’ouverture exige également la sécurisation des réseaux de l’IACS à l’aide d’une configuration et d’une architecture ; ce qui revient à défendre la périphérie. Plusieurs organisations et organismes de normalisation recommandent de séparer les réseaux des systèmes commerciaux des réseaux d'usine à l’aide d’une zone démilitarisée industrielle (IDMZ).

L’IDMZ existe sous forme de réseau distinct situé à un niveau, communément appelé niveau 3.5, situé entre les zones industrielles et les zones d’entreprises. Un environnement d’IDMZ se compose de nombreux périphériques d’infrastructure, notamment des pare-feu, des serveurs VPN, des miroirs d’application IACS et des serveurs proxy inverses, en plus de périphériques d’infrastructure réseau tels que des commutateurs, des routeurs et des services virtualisés.

Converged Plantwide Ethernet (CPwE) est l’architecture sous-jacente qui fournit des services de réseau standard pour les disciplines de contrôle et d’information, ainsi que les périphériques et les équipements qui se trouvent dans les applications IACS modernes. L’architecture CPwE fournit des directives de conception et d’implémentation pour atteindre les exigences de communication en temps réel, de fiabilité, d’évolutivité, de sécurité et de résilience de l’IACS.

L’IDMZ CPwE pour les applications IACS a pu être mise sur le marché grâce à une alliance stratégique entre Cisco Systems® et Rockwell Automation. L’IDMZ CPwE détaille les considérations de conception afin de concevoir et d’exécuter une IDMZ avec succès et de partager en toute sécurité des données de l’IACS dans l’IDMZ.

Sécurité industrielle globaleAucun produit, ni aucune technologie ou méthode ne peut pleinement sécuriser les applications IACS. Protéger les actifs de l’IACS nécessite une approche de sécurité de défense en profondeur, qui répond aux menaces à la sécurité interne et externe. Cette approche utilise plusieurs couches de défense (physique, procédurale et électronique) à des niveaux distincts de l’IACS, qui répondent à différents types de menaces.

Note Les exigences de sécurité pour une IDMZ physique doivent prendre en compte les besoins de l’application IACS, étant donné que les données doivent être transmises de façon sécurisée de la zone industrielle vers la zone de l’entreprise. Séparément, la traduction d’adresses réseau (NAT) et les services d’identité font partie de l’architecture globale de sécurité du CPwE. Ils sont tous deux disponibles séparément, en complément de l’approche de sécurité industrielle globale du CPwE.

1) dans la zone démilitarisée industrielle

Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

Sécurité industrielle globale

Le cadre de sécurité pour réseau industriel du CPwE (Figure1), qui utilise une approche de défense en profondeur, est conforme aux normes de sécurité industrielle, telles que le système d’automatisation et de commande industriel (IACS) ISA/IEC-62443 (anciennement ISA-99) et le système de contrôle industriel (ICS) NIST 800-82.

La conception et l’exécution d’un cadre de sécurité réseau complet pour l'IACS devraient servir d’extension naturelle pour l’IACS. La sécurité réseau ne doit pas être prise en considération après coup. Le cadre de sécurité pour réseau industriel doit être omniprésent et au centre de l’IACS. Cependant, pour les déploiements d’IACS existants, les mêmes couches de défense en profondeur peuvent être appliquées de manière progressive pour aider à améliorer la sécurité de l’IACS.

Les couches de défense en profondeur de la CPwE (Figure1) comprennent :

• des ingénieurs spécialisés en systèmes de commande (en brun) responsables de la sécurisation renforcée des périphériques de l’IACS (par ex., mesures physiques et électroniques), de la sécurisation renforcée des périphériques infrastructurels (par ex., sécurité des ports), de la segmentation réseau ainsi que de l’authentification, l’autorisation et la traçabilité de l’application IACS (protocole AAA) ;

• des ingénieurs spécialisés en systèmes de commande en partenariat avec des ingénieurs spécialisés en réseaux informatiques (en bleu) responsables du pare-feu de stratégie basé sur zones au niveau de l’application IACS, de la sécurisation renforcée des systèmes d’exploitation, de la sécurisation des périphériques réseau (par ex., contrôle d’accès et résilience) et des stratégies d’accès sans fil au réseau local ;

• des architectes en sécurité informatique en partenariat avec des ingénieurs spécialisés en systèmes de commande (en violet) responsables d’Identity Services (services câblés et sans fil), d’Active Directory (AD), des serveurs d’accès à distance, des pare-feu d’usine et des pratiques exemplaires de conception de zones démilitarisées industrielles (IDMZ).

Figure1 Cadre de sécurité réseau industriel CPwE

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••

2Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

ENET-WP038A-FR-P

Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

Zone démilitarisée industrielle

Zone démilitarisée industrielleParfois appelée « zone d’accueil », l’IDMZ (Figure 2) est une zone tampon permettant de mettre en œuvre des stratégies de sécurité des données dans un réseau non fiable (la zone d’entreprise) à partir d’un réseau de confiance (la zone industrielle). L’IDMZ est une couche de défense en profondeur complémentaire qui sécurise l’échange de données de l’IACS et de services réseau entre la zone industrielle et la zone d’entreprise. Si le principe de zone démilitarisée régit déjà largement les réseaux informatiques traditionnels, il n’est encore que très peu exploité par les applications IACS.

Pour protéger les échanges de données de l’IACS, l’IDMZ comporte des actifs qui font l’intermédiaire entre les zones. Il existe de nombreuses méthodes permettant de faire circuler les données dans l’IDMZ :

• Utiliser un miroir d’application tel qu’une interface PI-to-PI pour FactoryTalk® Historian

• Utiliser les services de passerelle Bureau à distance de Microsoft® (RD Gateway)

• Utiliser un proxy inverse

Ces méthodes de conciliation sont mises en évidence sur la Figure 2 et sont couvertes par l’IDMZ CPwE. Elles contribuent au masquage et à la protection de l’existence et des caractéristiques des serveurs de la zone industrielle, qui sont mis à l’abri des clients et des serveurs de la zone d’entreprise.

Figure 2 Modèle logique CPwE

Les principes de conception de l’IDMZ de haut niveau (Figure 3) sont les suivants.

• L’intégralité du trafic réseau de l’IACS, qu’il provienne d’un côté ou de l’autre de l’IDMZ, aboutit à l’IDMZ ; le trafic de l’IACS ne traverse jamais directement l’IDMZ :

– Il n’existe pas de chemin direct entre la zone industrielle et la zone d’entreprise.

– Il n’existe aucun protocole commun entre les différents pare-feu logiques.

• Le trafic de l’IACS EtherNet/IP™ ne pénètre pas dans l’IDMZ ; il est contenu dans la zone industrielle.

• Les principaux services ne sont pas stockés de manière permanente dans l’IDMZ.

• Toutes les données sont temporaires ; l’IDMZ ne stocke pas les données de manière permanente.

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Remote Gateway Services

Patch Management

AV Server

Application Mirror

Web Services Operations

Reverse Proxy

Enterprise Network

Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.

FactoryTalkApplication

Server

FactoryTalk Directory

Engineering Workstation

Remote Access Server

FactoryTalkClient

Operator Interface

FactoryTalkClient

Engineering Workstation

Operator Interface

Batch Control

Discrete Control

Drive Control

ContinuousProcess Control

Safety Control

Sensors Drives Actuators Robots

Enterprise

Security

Zone

Industrial

Demilitarized

Zone

Industrial

Security

Zone(s)

Cell/Area

Zone(s)

WebE -Mail

CIP

Site Operations

Area Supervisory

Control

Basic Control

Process

Firewall

Firewall

3746

24

3Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

ENET-WP038A-FR-P

Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

IDMZ CPwE

• L’IDMZ peut être divisée en sous-zones fonctionnelles pour segmenter l’accès aux données de l’IACS et aux services réseau (par ex., IT, Exploitation, Partenaires de confiance).

• Une IDMZ correctement conçue doit pouvoir être mise hors service si sa sécurité est compromise, sans toutefois interrompre le fonctionnement de la zone industrielle.

Figure 3 Concepts de haut niveau de la zone démilitarisée industrielle

IDMZ CPwELe programme CVD (« Cisco Validated Design ») de Cisco pour IDMZ CPwE souligne les principales exigences et considérations de conception à prendre en compte pour élaborer et déployer une IDMZ de manière optimale. Les données de l’IACS et les services réseau entre la zone industrielle et la zone d’entreprise comprennent :

• une présentation de l’IDMZ et les principales considérations de conception.

• un cadre architectural CPwE résilient :

– pare-feu IDMZ redondants

– commutateurs Ethernet de distribution/d’aggrégation redondants

• des méthodes sécurisant la circulation des données de l’IACS dans l’IDMZ :

– miroir d’application

– proxy inverse

– services de passerelle Bureau à distance

• des méthodes sécurisant la circulation des services réseau dans l’IDMZ.

• des cas d’utilisation de l’IDMZ CPwE :

– applications IACS, par exemple les applications Secure File Transfer et FactoryTalk (FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition [SE], FactoryTalk ViewPoint, FactoryTalk AssetCentre et Studio 5000®)

– services réseau, par exemple Active Directory (AD), Identity Services Engine (ISE), commande par contrôleurs WLC et mise à disposition de points d’accès sans fil (CAPWAP), et protocole de temps du réseau

– accès à distance sécurisé

• des étapes et des considérations de conception importantes pour l’exécution et la configuration de l’IDMZ.

No Direct IACS Traffic

Enterprise Security

Zone

IndustrialSecurity

Zone

Disconnect Point

Disconnect Point

IDMZReplicated Services

Untrusted ? Trusted?

Trusted 3746

25

4Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

ENET-WP038A-FR-P

Circulation sécurisée des données de systèmes d’automatisation et de commande industriels (IACS) dans la zone démilitarisée industrielle

Note Cette version de l’architecture CPwE cible l’EtherNet/IP, qui est géré par les protocoles CIP (« Common Industrial Protocol ») d’OVDA. Consultez la section sur les protocoles de communication de l’IACS du Guide de conception et d’exécution de l’architecture CPwE.

Site Internet de Rockwell Automation :

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

Site Internet de Cisco :

http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html

Cisco est le leader mondial dans le domaine de la mise en réseau qui transforme la façon dont les personnes se connectent, communiquent et collaborent. Vous trouverez

des informations concernant Cisco sur le site www.cisco.com. Pour obtenir les dernières nouvelles, veuillez visiter http://newsroom.cisco.com. L’équipement de Cisco en

Europe est fourni par Cisco Systems International BV, une filiale en propriété exclusive de Cisco Systems, Inc.

www.cisco.com

Siège social pour les Amériques

Cisco Systems, Inc.

San Jose, CA

Siège social pour la zone Asie-Pacifique

Cisco Systems (USA) Pte. Ltd.

Singapour

Siège social européen

Cisco Systems International BV

Amsterdam, Pays-Bas

Cisco a plus de 200 bureaux dans le monde entier. Les adresses, les numéros de téléphone et les numéros de télécopie sont indiqués sur le site Internet de Cisco à

l’adresse www.cisco.com/go/offices.

Cisco et le logo Cisco sont des marques commerciales ou des marques déposées de Cisco ou de ses filiales aux États-Unis et dans d’autres pays. Pour voir la liste des

marques de Cisco, visitez le site www.cisco.com/go/trademarks. Les marques commerciales tierces mentionnées appartiennent à leur détenteur respectif. L’utilisation du mot

« partenaire » n’implique pas une relation de partenariat entre Cisco et toute autre société. (1110R)

Rockwell Automation est un fournisseur de pointe en solutions de puissance, de commande et d’informations qui permettent aux clients de commercialiser leurs produits

plus rapidement, de réduire leur coût total de possession, de mieux utiliser les actifs de l’usine et de minimiser les risques dans leurs environnements de fabrication.

www.rockwellautomation.com

Amériques :

Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496, États-Unis

Tél. : (1) 414.382.2000, télécopieur : (1) 414.382.4444

Asie-Pacifique :

Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

Tél. : (852) 2887 4788, télécopieur : (852) 2508 1846

Europe/Moyen-Orient/Afrique :

Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Belgique

Tél. : (32) 2 663 0600, télécopieur : (32) 2 663 0640

Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 et Studio 5000 sont des marques commerciales

de Rockwell Automation, Inc. EtherNet/IP est une marque commerciale d’ODVA.

© 2015 Cisco Systems, Inc. et Rockwell Automation, Inc. Tous droits réservés.

Publication ENET-WP038A-FR-P - Mai 2015