ENET-WP037A-FR-P, Déploiement de services d’identité dans une … · 2016-01-25 ·...

Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine

Livre blanc

Mai 2015

Numéro de référence du document : ENET-WP037A-FR-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment.

• Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Déploiement de services d’identité dans une architecture Eth

ENET-WP037A-FR-P


Avec l’expansion des méthodes d’accès au réseau industriel, la complexité de la gestion de la sécurité de l’accès au réseau et du contrôle des risques inconnus ne cesse d’augmenter. La demande croissante des entrepreneurs (tels que les OEM et les intégrateurs de système) pour un accès au sein de l'usine fait que les réseaux d’usines sont confrontés en permanence à des risques liés à la sécurité.

Les réseaux des systèmes d’automatisation et de commande industriels (IACS, Industrial Automation and Control System) sont généralement ouverts par défaut, ce qui facilite la coexistence de technologies et l’interopérabilité avec le système IACS. Les réseaux IACS doivent être sécurisés au moyen de la configuration et de l’architecture, étant donné que les ordinateurs inconnus des entrepreneurs représentent des menaces pour la sécurité des opérations dans l’usine.

La gestion et la sécurité des technologies coexistantes dans l’usine nécessitent une approche différente. Le réseau Ethernet convergé à l’échelle de l’usine (CPwE, Converged Plantwide Ethernet) utilise le moteur Identity Services Engine (ISE) de Cisco pour prendre en charge l’accès sécurisé de manière centralisée d’ordinateurs filaires ou sans fil aux réseaux IACS par le personnel de l’usine et des entrepreneurs.

La solution CPwE est l’architecture sous-jacente qui fournit des services de réseau standard dans les domaines de l’information et du contrôle, ainsi qu'aux dispositifs et équipements que l’on retrouve dans des applications IACS modernes. Le moteur Cisco ISE est utilisé en conjonction avec l’architecture CPwE pour fournir une couche supplémentaire et dynamique de contrôle de sécurité d’accès au réseau en identifiant l’ordinateur Microsoft®, le système d’exploitation et l’utilisateur connecté pour mettre en œuvre les politiques de sécurité à l’infrastructure réseau auquel l’ordinateur accède. L’architecture CPwE fournit des directives en matière de conception et d’exécution pour remplir les exigences en termes de communication en temps réel, de fiabilité, d’évolutivité, de sécurité et de résilience du système IACS. Le moteur Cisco ISE repose sur les meilleures pratiques définies et l’architecture réseau avec un modèle architectural géré de manière centralisée où le service informatique s’occupe de la gestion de la plate-forme Cisco ISE qui fonctionne dans la zone industrielle.

1ernet convergée à l’échelle de l’usine


Contrôle d’accès sécurisé

La commercialisation des services d’identité de l’architecture CPwE se fait au moyen d’une alliance stratégique entre Cisco Systems® et Rockwell Automation. La conception Cisco Validated Design (CVD) en matière de services d’identité CPwE fournit des directives de conception et d’exécution pour le moteur Cisco Identity Services Engine dans la zone industrielle.

Contrôle d’accès sécurisé

Étant donné que le nombre d’ordinateurs connus et inconnus qui se connectent au réseau IACS ne cesse d’augmenter, les méthodes pour gérer des solutions de sécurité disparates et d’atténuation des risques ne cessent de progresser. La sécurité physique n’est plus adéquate pour empêcher les tentatives d’accès à un réseau IACS. Avec la prolifération incessante des connexions d’ordinateurs d’entrepreneur et les ressources opérationnelles à l’échelle de l’usine qui sont déjà limitées, l’incidence possible de la non-identification et de la non-résolution des risques liés à la sécurité introduit un risque considérable aux opérations à l’échelle de l’usine. Les services d’identité CPwE constituent une nouvelle approche pour la gestion et la sécurité de l’usine en croissance.

La protection des actifs IACS nécessite une approche de la sécurité, offrant un système de défense en profondeur, qui peut être géré de manière centralisée et qui traite des menaces de sécurité internes. Le moteur Cisco ISE prend en charge les méthodes d’accès avec et sans fil pour sécuriser différentes méthodes d’accès aux réseaux IACS par le personnel de l’usine et les entrepreneurs.

La structure de la sécurité réseau industrielle CPwE (Figure1) utilise une approche avec un système de défense en profondeur et est conforme aux normes de sécurité industrielles, telles que la norme de sécurité IACS ISA/CEI-62443 (anciennement ISA-99) et la norme de sécurité Industrial Control System (ICS) NIST 800-82.

La conception et l’exécution d’une structure complète d’accès réseau IACS doivent être une extension naturelle de la plate-forme IACS et ne pas être prises en considération après coup. La structure de la sécurité d’accès au réseau industriel doit être omniprésente et constituer un élément central de la plate-forme IACS. Toutefois, au-delà des déploiements de systèmes IACS existants, les mêmes couches de défense en profondeur peuvent être appliquées de manière progressive pour améliorer le niveau de sécurité d’accès du système IACS.

Les couches de défense en profondeur de la plate-forme CPwE (Figure1) incluent les éléments suivants :

• Ingénieurs de système de contrôle (indiqués en marron) – Renforcement d’appareil IACS (par exemple, au niveau physique et électronique), renforcement de l’appareil au niveau de l’infrastructure (par exemple, sécurité de port), segmentation du réseau, authentification, autorisation et comptabilité (AAA) d’application IACS

• Ingénieurs de système de contrôle en collaboration avec les ingénieurs réseau informatique (indiqués en bleu) – Pare-feu d'une politique basée sur les zones au niveau de l’application IACS, renforcement du système d’exploitation, renforcement de l’appareil au niveau du réseau (tels que le contrôle d’accès, la résilience), politiques d’accès filaires et sans fil au réseau local

• Architectes de sécurité informatique en collaboration avec les ingénieurs de systèmes de contrôle (indiqués en violet) – Services d’identité (filaires et sans fil), Active Directory (AD), serveurs d’accès à distance, pare-feu d’usine, meilleurs pratiques de conception de zone démilitarisée industrielle (IDMZ)

2Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine

ENET-WP037A-FR-P


Gestion de politique d’accès réseau unifié pour CPwE

Figure1 Structure de sécurité réseau industrielle CPwE

Gestion de politique d’accès réseau unifié pour CPwELe moteur Cisco Identity Services Engine permet au service informatique d’une entreprise de contribuer à assurer un accès filaire et sans fil hautement sécurisé dans l’usine en fournissant les avantages suivants :

• Gestion de politique centralisée complète

• Intégration rationalisée de dispositifs

• Mise en œuvre dynamique

Un modèle de politique basé sur des règles et axé sur des attributs est fourni pour créer des politiques de contrôle d’accès. Le moteur Cisco ISE permet de créer des politiques détaillées. Il est également possible de créer des attributs de manière dynamique et de les enregistrer pour un usage ultérieur à mesure que de nouvelles opérations et de nouveaux dispositifs de gestion sont introduits dans le réseau IACS.

Comme illustré sur la Figure 2, les services d’identité CPwE prennent en charge plusieurs référentiels d’identité externes, y compris Active Directory, pour l’authentification et l’autorisation. Les administrateurs réseau à l’échelle de l’usine peuvent configurer et gérer de manière centralisée l’accès filaire et sans fil pour les employés, les invités, les fournisseurs et les entrepreneurs, en fonction des services d’authentification et d’autorisation disponibles à partir d’une console GUI basée sur le Web. Le moteur Cisco ISE simplifie l’administration en fournissant une gestion centralisée intégrée à partir d’une seule interface administrative pour des environnements de réseau distribué.

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••


ENET-WP037A-FR-P


Services d’identité sur un réseau Ethernet convergé à l’échelle de l’usine

Figure 2 Services d’identité unifiés pour accès filaire et sans fil

Par l’intermédiaire de l’intégration du moteur Cisco ISE, les politiques de provisionnement sont appliquées sur le réseau en temps réel. Les utilisateurs peuvent ainsi vivre une expérience uniforme lorsqu’ils accèdent à leurs services à partir de connexions filaires et sans fil :

• Les dispositifs inconnus sont dirigés vers une destination sécurisée déterminée par l’administration, sans aucun accès aux ressources dans les opérations à l’échelle de l’usine.

• Les dispositifs de confiance peuvent accéder aux plates-formes essentielles dans la zone industrielle.

Ces fonctionnalités de détection de dispositif sont intégrées aux commutateurs Allen-Bradley® Stratix et Cisco® et aux contrôleurs de réseau local sans fil (WLC) Cisco, avec un contrôle centralisé du profilage à l’échelle du réseau au point d’entrée et sans les coûts et la gestion des appareils superposés, des dispositifs autonomes ou du remplacement d’infrastructure.

Services d’identité sur un réseau Ethernet convergé à l’échelle de l’usine

Le profilage de dispositifs dans la zone industrielle est basé sur un service de profilage de dispositifs qui identifie des ordinateurs spécifiques qui se connectent au réseau à l’échelle de l’usine. Le service de profilage dans le moteur Cisco ISE identifie des ordinateurs spécifiques qui se connectent à un port de commutation pratique dans la cellule/zone et leurs emplacements, ou lors de la connexion initiale au réseau sans fil de l’usine. Les profils de dispositifs spécifiques sont définis en fonction des politiques de profilage de points d’extrémité configurées dans la plate-forme Cisco ISE, qui accorde ensuite l’autorisation aux ordinateurs spécifiques pour accéder au réseau à l’échelle de l’usine en fonction du résultat de l’évaluation de la politique ou dirige l’ordinateur non fiable vers une destination sécurisée déterminée par l’administration. Le service de profilage facilite la gestion de l’authentification en utilisant la norme IEEE 802.1X de contrôle d’accès d’authentification basée sur le port, prise en charge par les commutateurs Ethernet industriels (IES) Cisco et Stratix compatibles avec l'architecture CPwE.

EnterpriseWAN

Firewalls(Active/Standby)

MCC

Enterprise Zone: Levels 4-5

IO

Level 3Site Operations

Drive

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

FactoryTalk Client

Internet

ExternalDMZ / Firewall

WGB

IO

WLC (Active)

ISE PSN

WLC (Standby)

PACPAC

PACLevels 0-2Cell/Area Zone

Distribution switch

LWAP

3746

40

WLC (Enterprise)

ISE MnT

ISE PAN/PSN

Remote Access Server (RAS)

ISE Synchronization

ISE Logging

Laptop Client

Core switches

Core switches


ENET-WP037A-FR-P


Récapitulatif


Grâce au profilage d’ordinateurs, le moteur Cisco ISE s’assure que seuls les ordinateurs de confiance du personnel de l’usine et des entrepreneurs accèdent au réseau à l’échelle de l’usine. En fonction de l’identité de l’utilisateur ou de l’ordinateur, le moteur Cisco ISE envoie des règles d’accès sécurisé au commutateur Ethernet industriel Stratix ou Cisco. La mise en application uniforme de la politique relative aux opérations à l’échelle de l’usine est ainsi garantie, quel que soit l’endroit où l’utilisateur ou l’ordinateur tente d’accéder au réseau.

Les services d’identité CPwE permettent une flexibilité centralisée à l’échelle de l’usine quant au choix de la méthode d’exécution des politiques relatives aux invités. Le moteur Cisco ISE fournit un portail d’inscription en libre-service pour le personnel de l’usine, les fournisseurs, les partenaires et les invités qui leur permet de s’inscrire et d’effectuer automatiquement le provisionnement de nouveaux dispositifs, conformément aux politiques d’entreprise définies par les opérations à l’échelle de l’usine. Les services d’identité CPwE permettent au service informatique d’établir le profilage et le provisionnement de dispositifs à l’échelle de l’usine, tout en maintenant un processus simple pour les membres du personnel de l’usine pour inscrire leurs ordinateurs au réseau à l’échelle de l’usine avec peu d’aide de la part du service informatique.

RécapitulatifDans la zone industrielle, les services d’identité CPwE :

• fournissent une gestion centralisée d’identité qui est sensible au contexte pour gérer le contrôle d’accès dans une zone industrielle ;

• déterminent si les utilisateurs accèdent au réseau à partir d'un ordinateur autorisé et conforme à la politique, et attribuent un accès en fonction du rôle de l’utilisateur, du groupe et de la politique associée ; les variables, telles que l’employé, le fournisseur, le partenaire, le rôle, la fonction, l’emplacement et le type de dispositif sont prises en compte ;

• accordent aux utilisateurs authentifiés l’accès à des segments spécifiques de la zone industrielle en fonction des résultats d’authentification.

Les réseaux IACS reposent sur la coexistence de technologies et l’interopérabilité IACS. De la même façon, les réseaux IACS doivent également être sécurisés, en empêchant des dispositifs inconnus ou non fiables de menacer les opérations à l’échelle de l’usine. Les services d’identité CPwE sont une couche de protection de l’accès au réseau qui est gérée de manière centralisée au-dessus de réseaux industriels filaires et sans fil qui sont répartis sur la zone industrielle. L’intégration des services d’identité à la zone industrielle offre de nombreuses options de contrôle d’accès pour les opérations à l’échelle de l’usine. Les services d’identité CPwE créent et distribuent des politiques d’accès en temps réel, ce qui permet aux membres du personnel et aux entrepreneurs de vivre une expérience d’accès uniforme, quel que soit l’endroit à partir duquel ils accèdent au réseau à l’échelle de l’usine.

Note Cette version de l’architecture CPwE se concentre sur EtherNet/IP, qui repose sur le protocole Common Industrial Protocol (CIP) de l’ODVA. Reportez-vous à la section sur les protocoles de communication IACS du CPwE Design and Implementation Guide (Guide de conception et d’exécution d’une CPwE).

Site de Rockwell Automation :

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/ enet-td001_-en-p.pdf

Site de Cisco :

http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html

5ENET-WP037A-FR-P

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html


Cisco est le leader mondial dans le domaine de la mise en réseau qui transforme la façon dont les personnes se connectent, communiquent et collaborent. Vous trouverez

des informations concernant Cisco sur le site www.cisco.com. Pour être informé des dernières nouvelles, rendez-vous sur http://newsroom.cisco.com. L’équipement Cisco

en Europe est fourni par Cisco Systems International BV, une filiale en propriété exclusive de Cisco Systems, Inc.

www.cisco.com

Siège social pour les AmériquesCisco Systems, Inc.

San Jose, CA

Siège social pour la zone Asie-PacifiqueCisco Systems (USA) Pte. Ltd.

Singapour

Siège social européenCisco Systems International BV

Amsterdam, Pays-Bas

Cisco a plus de 200 bureaux dans le monde entier. Les adresses, les numéros de téléphone et les numéros de télécopie sont indiqués sur le site Internet de Cisco à

l’adresse www.cisco.com/go/offices.

Cisco et le logo de Cisco sont des marques commerciales ou des marques déposées de Cisco et/ou de ses filiales aux États-Unis et dans d’autres pays. Pour consulter la liste

des marques commerciales de Cisco, accédez à l’URL suivante : www.cisco.com/go/trademarks. Les marques commerciales de tiers mentionnées sont la propriété de leurs

détenteurs respectifs. L’utilisation du mot « partenaire » n’implique pas une relation de partenariat entre Cisco et toute autre société. (1110R)

Rockwell Automation est un fournisseur de pointe en solutions de puissance, de commande et d’informations qui permettent aux clients de commercialiser leurs produits

plus rapidement, de réduire leur coût total de possession, de mieux utiliser les actifs de l’usine et de minimiser les risques dans leurs environnements de fabrication.

www.rockwellautomation.com

Amériques :Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496, États-Unis

Tél. : (1) 414.382.2000, télécopie : (1) 414.382.4444

Asie-Pacifique :Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

Tél. : (852) 2887 4788, télécopie : (852) 2508 1846

Europe/Moyen-Orient/Afrique : Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Belgique

Tél. : (32) 2 663 0600, télécopie : (32) 2 663 0640

Allen-Bradley, FactoryTalk, Integrated Architecture, Stratix 8000, Stratix 5700, Stratix 8000 et Studio 5000 sont des

marques commerciales de Rockwell Automation, Inc.

Microsoft est une marque commerciale de Microsoft Systems. EtherNet/IP est une marque commerciale de

l’ODVA.

© 2015 Cisco Systems, Inc. et Rockwell Automation, Inc. Tous droits réservés.

Publication ENET-WP037A-FR-P, mai 2015

ENET-WP037A-FR-P, Déploiement de services d’identité dans une … · 2016-01-25 ·...

Documents

Transcript of ENET-WP037A-FR-P, Déploiement de services d’identité dans une … · 2016-01-25 ·...