Caractérisation de marqueurs d’identité cellulaire de la ...
ENET-WP037A-FR-P, Déploiement de services d’identité dans une … · 2016-01-25 ·...
Transcript of ENET-WP037A-FR-P, Déploiement de services d’identité dans une … · 2016-01-25 ·...
Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
Livre blanc
Mai 2015
Numéro de référence du document : ENET-WP037A-FR-P
3746
29
Rockwell Automation and
Cisco Four Key Initiatives:
• Common Technology View: A single system architecture, using open,
industry standard networking
technologies, such as Ethernet and IP, is
paramount for achieving the flexibility,
visibility and efficiency required in a
competitive manufacturing environment.
• Converged Plantwide Ethernet
Architectures: These manufacturing focused reference
architectures, comprised of the Rockwell
Automation Integrated Architecture® and
Cisco’s Ethernet to the Factory, provide
users with the foundation for success to
deploy the latest technology by addressing
topics relevant to both engineering and
IT professionals.
• Joint Product and Solution
Collaboration: Stratix 5700™ and Stratix 8000™ Industrial
Ethernet switches incorporating the best
of Cisco and the best of Rockwell Automation.
• People and Process Optimization: Education and services to facilitate
Operational Technology (OT) and
Information Technology (IT) convergence
and allow successful architecture
deployment and efficient operations
allowing critical resources to focus on
increasing innovation and productivity.
Déploiement de services d’identité dans une architecture Eth
ENET-WP037A-FR-P
Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
Avec l’expansion des méthodes d’accès au réseau industriel, la complexité de la gestion de la sécurité de l’accès au réseau et du contrôle des risques inconnus ne cesse d’augmenter. La demande croissante des entrepreneurs (tels que les OEM et les intégrateurs de système) pour un accès au sein de l'usine fait que les réseaux d’usines sont confrontés en permanence à des risques liés à la sécurité.
Les réseaux des systèmes d’automatisation et de commande industriels (IACS, Industrial Automation and Control System) sont généralement ouverts par défaut, ce qui facilite la coexistence de technologies et l’interopérabilité avec le système IACS. Les réseaux IACS doivent être sécurisés au moyen de la configuration et de l’architecture, étant donné que les ordinateurs inconnus des entrepreneurs représentent des menaces pour la sécurité des opérations dans l’usine.
La gestion et la sécurité des technologies coexistantes dans l’usine nécessitent une approche différente. Le réseau Ethernet convergé à l’échelle de l’usine (CPwE, Converged Plantwide Ethernet) utilise le moteur Identity Services Engine (ISE) de Cisco pour prendre en charge l’accès sécurisé de manière centralisée d’ordinateurs filaires ou sans fil aux réseaux IACS par le personnel de l’usine et des entrepreneurs.
La solution CPwE est l’architecture sous-jacente qui fournit des services de réseau standard dans les domaines de l’information et du contrôle, ainsi qu'aux dispositifs et équipements que l’on retrouve dans des applications IACS modernes. Le moteur Cisco ISE est utilisé en conjonction avec l’architecture CPwE pour fournir une couche supplémentaire et dynamique de contrôle de sécurité d’accès au réseau en identifiant l’ordinateur Microsoft®, le système d’exploitation et l’utilisateur connecté pour mettre en œuvre les politiques de sécurité à l’infrastructure réseau auquel l’ordinateur accède. L’architecture CPwE fournit des directives en matière de conception et d’exécution pour remplir les exigences en termes de communication en temps réel, de fiabilité, d’évolutivité, de sécurité et de résilience du système IACS. Le moteur Cisco ISE repose sur les meilleures pratiques définies et l’architecture réseau avec un modèle architectural géré de manière centralisée où le service informatique s’occupe de la gestion de la plate-forme Cisco ISE qui fonctionne dans la zone industrielle.
1ernet convergée à l’échelle de l’usine
Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
Contrôle d’accès sécurisé
La commercialisation des services d’identité de l’architecture CPwE se fait au moyen d’une alliance stratégique entre Cisco Systems® et Rockwell Automation. La conception Cisco Validated Design (CVD) en matière de services d’identité CPwE fournit des directives de conception et d’exécution pour le moteur Cisco Identity Services Engine dans la zone industrielle.
Contrôle d’accès sécurisé
Étant donné que le nombre d’ordinateurs connus et inconnus qui se connectent au réseau IACS ne cesse d’augmenter, les méthodes pour gérer des solutions de sécurité disparates et d’atténuation des risques ne cessent de progresser. La sécurité physique n’est plus adéquate pour empêcher les tentatives d’accès à un réseau IACS. Avec la prolifération incessante des connexions d’ordinateurs d’entrepreneur et les ressources opérationnelles à l’échelle de l’usine qui sont déjà limitées, l’incidence possible de la non-identification et de la non-résolution des risques liés à la sécurité introduit un risque considérable aux opérations à l’échelle de l’usine. Les services d’identité CPwE constituent une nouvelle approche pour la gestion et la sécurité de l’usine en croissance.
La protection des actifs IACS nécessite une approche de la sécurité, offrant un système de défense en profondeur, qui peut être géré de manière centralisée et qui traite des menaces de sécurité internes. Le moteur Cisco ISE prend en charge les méthodes d’accès avec et sans fil pour sécuriser différentes méthodes d’accès aux réseaux IACS par le personnel de l’usine et les entrepreneurs.
La structure de la sécurité réseau industrielle CPwE (Figure1) utilise une approche avec un système de défense en profondeur et est conforme aux normes de sécurité industrielles, telles que la norme de sécurité IACS ISA/CEI-62443 (anciennement ISA-99) et la norme de sécurité Industrial Control System (ICS) NIST 800-82.
La conception et l’exécution d’une structure complète d’accès réseau IACS doivent être une extension naturelle de la plate-forme IACS et ne pas être prises en considération après coup. La structure de la sécurité d’accès au réseau industriel doit être omniprésente et constituer un élément central de la plate-forme IACS. Toutefois, au-delà des déploiements de systèmes IACS existants, les mêmes couches de défense en profondeur peuvent être appliquées de manière progressive pour améliorer le niveau de sécurité d’accès du système IACS.
Les couches de défense en profondeur de la plate-forme CPwE (Figure1) incluent les éléments suivants :
• Ingénieurs de système de contrôle (indiqués en marron) – Renforcement d’appareil IACS (par exemple, au niveau physique et électronique), renforcement de l’appareil au niveau de l’infrastructure (par exemple, sécurité de port), segmentation du réseau, authentification, autorisation et comptabilité (AAA) d’application IACS
• Ingénieurs de système de contrôle en collaboration avec les ingénieurs réseau informatique (indiqués en bleu) – Pare-feu d'une politique basée sur les zones au niveau de l’application IACS, renforcement du système d’exploitation, renforcement de l’appareil au niveau du réseau (tels que le contrôle d’accès, la résilience), politiques d’accès filaires et sans fil au réseau local
• Architectes de sécurité informatique en collaboration avec les ingénieurs de systèmes de contrôle (indiqués en violet) – Services d’identité (filaires et sans fil), Active Directory (AD), serveurs d’accès à distance, pare-feu d’usine, meilleurs pratiques de conception de zone démilitarisée industrielle (IDMZ)
2Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
ENET-WP037A-FR-P
Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
Gestion de politique d’accès réseau unifié pour CPwE
Figure1 Structure de sécurité réseau industrielle CPwE
Gestion de politique d’accès réseau unifié pour CPwELe moteur Cisco Identity Services Engine permet au service informatique d’une entreprise de contribuer à assurer un accès filaire et sans fil hautement sécurisé dans l’usine en fournissant les avantages suivants :
• Gestion de politique centralisée complète
• Intégration rationalisée de dispositifs
• Mise en œuvre dynamique
Un modèle de politique basé sur des règles et axé sur des attributs est fourni pour créer des politiques de contrôle d’accès. Le moteur Cisco ISE permet de créer des politiques détaillées. Il est également possible de créer des attributs de manière dynamique et de les enregistrer pour un usage ultérieur à mesure que de nouvelles opérations et de nouveaux dispositifs de gestion sont introduits dans le réseau IACS.
Comme illustré sur la Figure 2, les services d’identité CPwE prennent en charge plusieurs référentiels d’identité externes, y compris Active Directory, pour l’authentification et l’autorisation. Les administrateurs réseau à l’échelle de l’usine peuvent configurer et gérer de manière centralisée l’accès filaire et sans fil pour les employés, les invités, les fournisseurs et les entrepreneurs, en fonction des services d’authentification et d’autorisation disponibles à partir d’une console GUI basée sur le Web. Le moteur Cisco ISE simplifie l’administration en fournissant une gestion centralisée intégrée à partir d’une seule interface administrative pour des environnements de réseau distribué.
Zone-basedPolicy Firewall
(ZFW)
EnterpriseWAN Internet
Firewall(Active)
Firewall
(Standby)
MCC
Enterprise Zone: Levels 4-5
Core switches
Soft Starter
I/O
Level 0 - ProcessLevel 1 -Controller
Level 3 - Site Operations:
Controller
Drive
Level 2 - Area Supervisory Control
FactoryTalkClient
Controller
Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror
•••• Remote Desktop Gateway Server
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
Authentication, Authorization and Accounting (AAA)
Distribution switch
External DMZ/
Firewall
LWAP
SSID2.4 GHz
SSID5 GHz
WGB
I/O
Active
Wireless LAN Controller
(WLC)UCS
RADIUS
AAA Server
Standby
Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy
Plant Firewalls
Standard DMZ Design Best Practices
HardeningAccess ControlResiliency
VLANs, Segmenting Domains of Trust
PhysicalProceduresElectronicEncrypted Communications
OS Hardening
Remote Access Server
FactoryTalk Security
Identity Services Engine (ISE)RADIUS
Active Directory (AD)Network Statusand Monitoring
Device Hardening
••••
Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS
•••
•
Wireless LAN (WLAN)
•
••
•
••
•
Port Security
•••
Network Infrastructure
3746
23
••••
3Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
ENET-WP037A-FR-P
Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
Services d’identité sur un réseau Ethernet convergé à l’échelle de l’usine
Figure 2 Services d’identité unifiés pour accès filaire et sans fil
Par l’intermédiaire de l’intégration du moteur Cisco ISE, les politiques de provisionnement sont appliquées sur le réseau en temps réel. Les utilisateurs peuvent ainsi vivre une expérience uniforme lorsqu’ils accèdent à leurs services à partir de connexions filaires et sans fil :
• Les dispositifs inconnus sont dirigés vers une destination sécurisée déterminée par l’administration, sans aucun accès aux ressources dans les opérations à l’échelle de l’usine.
• Les dispositifs de confiance peuvent accéder aux plates-formes essentielles dans la zone industrielle.
Ces fonctionnalités de détection de dispositif sont intégrées aux commutateurs Allen-Bradley® Stratix et Cisco® et aux contrôleurs de réseau local sans fil (WLC) Cisco, avec un contrôle centralisé du profilage à l’échelle du réseau au point d’entrée et sans les coûts et la gestion des appareils superposés, des dispositifs autonomes ou du remplacement d’infrastructure.
Services d’identité sur un réseau Ethernet convergé à l’échelle de l’usine
Le profilage de dispositifs dans la zone industrielle est basé sur un service de profilage de dispositifs qui identifie des ordinateurs spécifiques qui se connectent au réseau à l’échelle de l’usine. Le service de profilage dans le moteur Cisco ISE identifie des ordinateurs spécifiques qui se connectent à un port de commutation pratique dans la cellule/zone et leurs emplacements, ou lors de la connexion initiale au réseau sans fil de l’usine. Les profils de dispositifs spécifiques sont définis en fonction des politiques de profilage de points d’extrémité configurées dans la plate-forme Cisco ISE, qui accorde ensuite l’autorisation aux ordinateurs spécifiques pour accéder au réseau à l’échelle de l’usine en fonction du résultat de l’évaluation de la politique ou dirige l’ordinateur non fiable vers une destination sécurisée déterminée par l’administration. Le service de profilage facilite la gestion de l’authentification en utilisant la norme IEEE 802.1X de contrôle d’accès d’authentification basée sur le port, prise en charge par les commutateurs Ethernet industriels (IES) Cisco et Stratix compatibles avec l'architecture CPwE.
EnterpriseWAN
Firewalls(Active/Standby)
MCC
Enterprise Zone: Levels 4-5
IO
Level 3Site Operations
Drive
Industrial Demilitarized Zone (IDMZ)
Industrial Zone: Levels 0-3
FactoryTalk Client
Internet
ExternalDMZ / Firewall
WGB
IO
WLC (Active)
ISE PSN
WLC (Standby)
PACPAC
PACLevels 0-2Cell/Area Zone
Distribution switch
LWAP
3746
40
WLC (Enterprise)
ISE MnT
ISE PAN/PSN
Remote Access Server (RAS)
ISE Synchronization
ISE Logging
Laptop Client
Core switches
Core switches
4Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
ENET-WP037A-FR-P
Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
Récapitulatif
Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
Grâce au profilage d’ordinateurs, le moteur Cisco ISE s’assure que seuls les ordinateurs de confiance du personnel de l’usine et des entrepreneurs accèdent au réseau à l’échelle de l’usine. En fonction de l’identité de l’utilisateur ou de l’ordinateur, le moteur Cisco ISE envoie des règles d’accès sécurisé au commutateur Ethernet industriel Stratix ou Cisco. La mise en application uniforme de la politique relative aux opérations à l’échelle de l’usine est ainsi garantie, quel que soit l’endroit où l’utilisateur ou l’ordinateur tente d’accéder au réseau.
Les services d’identité CPwE permettent une flexibilité centralisée à l’échelle de l’usine quant au choix de la méthode d’exécution des politiques relatives aux invités. Le moteur Cisco ISE fournit un portail d’inscription en libre-service pour le personnel de l’usine, les fournisseurs, les partenaires et les invités qui leur permet de s’inscrire et d’effectuer automatiquement le provisionnement de nouveaux dispositifs, conformément aux politiques d’entreprise définies par les opérations à l’échelle de l’usine. Les services d’identité CPwE permettent au service informatique d’établir le profilage et le provisionnement de dispositifs à l’échelle de l’usine, tout en maintenant un processus simple pour les membres du personnel de l’usine pour inscrire leurs ordinateurs au réseau à l’échelle de l’usine avec peu d’aide de la part du service informatique.
RécapitulatifDans la zone industrielle, les services d’identité CPwE :
• fournissent une gestion centralisée d’identité qui est sensible au contexte pour gérer le contrôle d’accès dans une zone industrielle ;
• déterminent si les utilisateurs accèdent au réseau à partir d'un ordinateur autorisé et conforme à la politique, et attribuent un accès en fonction du rôle de l’utilisateur, du groupe et de la politique associée ; les variables, telles que l’employé, le fournisseur, le partenaire, le rôle, la fonction, l’emplacement et le type de dispositif sont prises en compte ;
• accordent aux utilisateurs authentifiés l’accès à des segments spécifiques de la zone industrielle en fonction des résultats d’authentification.
Les réseaux IACS reposent sur la coexistence de technologies et l’interopérabilité IACS. De la même façon, les réseaux IACS doivent également être sécurisés, en empêchant des dispositifs inconnus ou non fiables de menacer les opérations à l’échelle de l’usine. Les services d’identité CPwE sont une couche de protection de l’accès au réseau qui est gérée de manière centralisée au-dessus de réseaux industriels filaires et sans fil qui sont répartis sur la zone industrielle. L’intégration des services d’identité à la zone industrielle offre de nombreuses options de contrôle d’accès pour les opérations à l’échelle de l’usine. Les services d’identité CPwE créent et distribuent des politiques d’accès en temps réel, ce qui permet aux membres du personnel et aux entrepreneurs de vivre une expérience d’accès uniforme, quel que soit l’endroit à partir duquel ils accèdent au réseau à l’échelle de l’usine.
Note Cette version de l’architecture CPwE se concentre sur EtherNet/IP, qui repose sur le protocole Common Industrial Protocol (CIP) de l’ODVA. Reportez-vous à la section sur les protocoles de communication IACS du CPwE Design and Implementation Guide (Guide de conception et d’exécution d’une CPwE).
Site de Rockwell Automation :
http://literature.rockwellautomation.com/idc/groups/literature/documents/td/ enet-td001_-en-p.pdf
Site de Cisco :
http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html
5ENET-WP037A-FR-P
Déploiement de services d’identité dans une architecture Ethernet convergée à l’échelle de l’usine
Cisco est le leader mondial dans le domaine de la mise en réseau qui transforme la façon dont les personnes se connectent, communiquent et collaborent. Vous trouverez
des informations concernant Cisco sur le site www.cisco.com. Pour être informé des dernières nouvelles, rendez-vous sur http://newsroom.cisco.com. L’équipement Cisco
en Europe est fourni par Cisco Systems International BV, une filiale en propriété exclusive de Cisco Systems, Inc.
www.cisco.com
Siège social pour les AmériquesCisco Systems, Inc.
San Jose, CA
Siège social pour la zone Asie-PacifiqueCisco Systems (USA) Pte. Ltd.
Singapour
Siège social européenCisco Systems International BV
Amsterdam, Pays-Bas
Cisco a plus de 200 bureaux dans le monde entier. Les adresses, les numéros de téléphone et les numéros de télécopie sont indiqués sur le site Internet de Cisco à
l’adresse www.cisco.com/go/offices.
Cisco et le logo de Cisco sont des marques commerciales ou des marques déposées de Cisco et/ou de ses filiales aux États-Unis et dans d’autres pays. Pour consulter la liste
des marques commerciales de Cisco, accédez à l’URL suivante : www.cisco.com/go/trademarks. Les marques commerciales de tiers mentionnées sont la propriété de leurs
détenteurs respectifs. L’utilisation du mot « partenaire » n’implique pas une relation de partenariat entre Cisco et toute autre société. (1110R)
Rockwell Automation est un fournisseur de pointe en solutions de puissance, de commande et d’informations qui permettent aux clients de commercialiser leurs produits
plus rapidement, de réduire leur coût total de possession, de mieux utiliser les actifs de l’usine et de minimiser les risques dans leurs environnements de fabrication.
www.rockwellautomation.com
Amériques :Rockwell Automation
1201 South Second Street
Milwaukee, WI 53204-2496, États-Unis
Tél. : (1) 414.382.2000, télécopie : (1) 414.382.4444
Asie-Pacifique :Rockwell Automation
Level 14, Core F, Cyberport 3
100 Cyberport Road, Hong Kong
Tél. : (852) 2887 4788, télécopie : (852) 2508 1846
Europe/Moyen-Orient/Afrique : Rockwell Automation
NV, Pegasus Park, De Kleetlaan 12a
1831 Diegem, Belgique
Tél. : (32) 2 663 0600, télécopie : (32) 2 663 0640
Allen-Bradley, FactoryTalk, Integrated Architecture, Stratix 8000, Stratix 5700, Stratix 8000 et Studio 5000 sont des
marques commerciales de Rockwell Automation, Inc.
Microsoft est une marque commerciale de Microsoft Systems. EtherNet/IP est une marque commerciale de
l’ODVA.
© 2015 Cisco Systems, Inc. et Rockwell Automation, Inc. Tous droits réservés.
Publication ENET-WP037A-FR-P, mai 2015