...

Connected Enterprise – Integrando o Corporativo ao chão de fábrica

by user

on
Category: Documents
1

views

Report

Comments

Transcript

Connected Enterprise – Integrando o Corporativo ao chão de fábrica
Connected Enterprise – Integrando
o Corporativo ao chão de fábrica
Jorge Rosa
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
1
É um monte de coisas
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
2
The Internet of Things
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
3
Things… Coisas…
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
4
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
5
Oportunidade
IoT
INFORMATION
TECHNOLOGY
Connected Enterprise é nossa visão de integração
IT/OT
OPERATIONS
TECHNOLOGY
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
6
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
7
Google
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
8
O Facebook
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
9
Eficiência Operacional
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
10
Informação em tempo real
Internet
Ethernet
Enterprise
Network
Cameras
Secure
Remote
Access
Asset
Management
Email
Historian
HMI
Automation
Network
EtherNet/IP
Programmable
Automation
Controllers
Programmable
Controllers
Motion
Controllers
Robots
Drives
w/ Safety
Drives
Device
Network
Servo
Drives
Light
Curtains
Instruments
Valves
Encoders
Discrete
Motion
Safety
Energy
Management
Process
Controllers
Barcode
Scanners
Safety
I/O
I/O
Fieldbus
Safety
Controllers
Operator
Consoles
Voice
Process
Drives
Starters
Overloads
Smart
Motor
Controllers
Power
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Rockwell Automation Stratix
Switches Gerenciáveis com Tecnologia Cisco
O melhor da Cisco
 Cisco IOS™
 Conjunto de recursos e arquitetura Catalyst™
 CLI (linhas de comando) e gerenciador de dispositivos
 Integração segura com a rede corporativa
O melhor da Rockwell Automation
 Common Industrial Protocol (CIP)  interface com a arquitetura
integrada da Rockwell Automation™
 RSLogix 5000™ para configuração via Add-on Profile (AOP)
 Lógica pré-definida com tags lógicos para diagnósticos
 FactoryTalk™ faceplates para visualização
Um produto único no
mercado …
…Integrando os
ambientes corporativo e
de manufatura
O melhor para o chão de fábrica
 Compact flash para substituição com“zero-configuração”
 Níveis de proteção compatíveis com ambiente Industrial
 Configurações de fábrica para Automação Industrial
 Fácil manutenção
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Switch Industrial Stratix
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Switch Industrial Cisco
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Stratix 5700 – Vencedor do Control
Engineering 2014 Engineers Choice Award
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
15
Ferramenta de Configuração Web
Smartports
Configurações pré-definidas:
– Otimize o fluxo da porta
– Maximize a performance
A programação certa para o dispositivo certo
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Ferramentas para Monitorar a rede
•
•
Utilize os faceplates para
monitorar o tráfego e diagnóstico
da rede
Status em tempo real no
RSLogix 5000
Tags pré-configuradas no Logix
•
Cisco Network Assistant (CNA)
•
Solução para os problemas de rede
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Switches - Faceplates
Help
Status
Alarms
Configuration
Trending
Faceplates pré-configurados para monitoramento e configuração
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Conecte-se com seus dispositivos
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
19
Segurança de Redes
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
20
Tendências de Segurança em Redes Industriais
Padrões estabelecidos de Segurança Industrial
 International Society of Automation
 ISA-99
 Industrial Automation and Control System (IACS) Security
 Defesa-em-Camadas.
 Implementação de DMZ.
 National Institute of Standards and Technology.
 NIST 800-82
 Industrial Control System (ICS) Security
 Defesa-em-Camadas
 Implementação de DMZ .
 Department of Homeland Security / Idaho National Lab.
 DHS INL/EXT-06-11478
 Control Systems Cyber Security: Defense-in-Depth Strategies
 Defesa-em-Camadas
 Implementação de DMZ
Uma aplicação segura depende de multiplas camadas de proteção.
Segurança Industrial deve ser implementada como um sistema.
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
21
Tendências de segurança Industrial
Modelo Lógico para Zonas Seguras
Enterprise Network
Level 5
Level 4
E-Mail, Intranet, etc.
Site Business Planning and Logistics Network
Remote
Gateway
Services
Patch
Management
Application
Mirror
Enterprise
Security
Zone
Firewall
AV
Server
Web Services
Operations
Web
E-Mail
CIP
Application
Server
Industrial
DMZ
Firewall
Level 3
Level 2
FactoryTalk
Application
Server
FactoryTalk
Directory
Engineering
Workstation
Remote
Access
Server
Site Operations
and Control
Area
Supervisory
Control
Operator
Interface
FactoryTalk
Client
FactoryTalk
Client
Operator
Interface
Engineering
Workstation
Basic Control
Level 1
Level 0
Batch
Control
Sensors
Discrete
Control
Drive
Control
Drives
Continuous
Process
Control
Actuators
Industrial
Security
Zone
Safety
Control
Robots
Cell/Area
Zone
Process
Logical Model
Converged Multi-discipline Industrial Network
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
22
Rede Industrial Convergênte
Arquitetura de Rede
Internet
Rede Corporativa
Nível 4-5
Web
Patch Management
Terminal Services
Application Mirror
AV Server
Apps
DNS
FTP
Gbps Link for
Failover Detection
Firewall
(Standby)
Demilitarized
Zone
(DMZ)
Cisco
ASA 5500
Integração de IT Corporativa
Colaboração
Wireless
Otimização de Aplicação
Controle de Acesso
Proteção contra Ameaças
Firewall
(Active)
Cisco Catalyst
6500/4500
Cisco
Catalyst
Switch
FactoryTalk
Application Servers
Rede de
Produção
Nível 3
Network Services
Cisco Cat. 3750
StackWise
Switch Stack
Segmentação
Redes Multi-Serviço
Aplicações e Gerenciamento de
Segurança
Controle Real-Time
Rockwell Automation
Stratix 8000
Layer 2 Access Switch
Drive
HMI
Controller
HMI
Controller
HMI
Cell/Area #1
(Redundant Star Topology)
Drive
Drive
Distributed I/O
Controller
Cell/Area #2
(Ring Topology)
Distributed I/O
Cell/Area #3
(Bus/Star Topology)
Célula de
Acesso
Nível 0-2
Convergência <100ms
Tráfego Multicast
Simplicidade
Integração MFG
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Network Security Framework
Zona Desmilitarizada (DMZ)
UNTRUSTED
Proxy
BROKER
DMZ
TRUSTED
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
24
Segurança de Rede
•
•
•
•
•
Segurança Física – limitar o acesso físico a
pessoas autorizadas: areas, paineis de controle,
dispositivos, cabeamentos e sala de controle –
acompanhamento e monitoração de visitantes
Segurança de Rede – infra-estrutura – utilização
de firewalls com IDS/IPS e proteção da
integridade dos equipamentos de redes como
Switchs e Roteadores
Manuseio de Computadores – gerenciamento de
patchs, utilizar software antivirus e remoção de
aplicativos, protocolos e serviços não utilizados
Segurança de Aplicação – utilizar software de
controle de acesso, autenticação e auditoria
Manuseio de dispositivos – utilizar
gerenciamento de mudanças e restringir o
acesso
Múltiplas camadas
de proteção
Physical
Network
Computer
Application
Device
Defense
in Depth
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Defesa-em-Camadas
Protegendo o Controlador : Exemplos
 Procedimento Físico:
 Restringir o acesso ao painel a pessoal não-autorizado
 Colocar a chave do Controlador Logix Controller em “RUN”
 Digital - Logix Controller CPU Lock Tool.
 Acesso protegido por senha aos controladores
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
26
Defesa-em-Camadas
Protegendo o Controlador : Exemplos
 Projeto - Logix Controller Data Access Control
Usuarios podem definir o Acesso Externo à tags como Read/Write, Read Only, ou None
 Útil para controlar quais tags podem ser modificadas de uma IHM ou outra aplicação externa.
 Uma conexão confiável e criptografada é estabelecida entre o RSLogix 5000 o controlador
Logix.



Garante que tags designadas como Read-Only ou None podem ser alteradas apenas pelo RSLogix
5000.
Tags tambem podem ser definidas com “constantes”.
 “Contantes”não podem ser alteradas pela lógica do controlador.
Aumenta a segurança
de tags
especialmente quando usadas em
conjuto com FactoryTalk Security ou
a CPU Lock tool
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
27
Defesa-em-Camadas
Segurança de Aplicação: Exemplos
• Use o FactoryTalk Security para
– Gerenciar ameaça interna autenticando o usuário
e autorizando o uso de softwares Rockwell Automation
usados para acesar dispositivos de automação.
• Como funciona?
– Provê A&A centralizada verificando a identidade de cada usuário e;
– Permitindo ou negando cada requisição de usuário para realizar um
conjunto particular de ações no sistema
A&A Authority
(Domain
Controller)
FactoryTalk
Security Server
Request
Permission
Grant -orDeny Access
User authorization
+ all FactoryTalk Security
enabled software
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
28
FactoryTalk Security
Security Authority
(FactoryTalk Directory)
Use FactoryTalk Security para…
Gerenciar as ameaças internas,
autenticar o usuário e autorizar o uso de
aplicativos de software para acessar os
dispositivos de automação
(Passo 1)
Solicitação
de Acesso
(Passo 2) Acesso
Permitido ou Negado
(Passo 3 - opcional) Autoriza
O acesso para um dispositivo
específico
Como isto funciona?
O software possui um gerenciamento
centralizado para verificar as permissões
de cada usuário e conceder ou não as
solicitações do usuário para executar uma
ação sobre o recurso dentro do sistema.
(Todos os softwares possuem o
FactoryTalk Security habilitado)







Regras de Usuários (Grupos FT Windows)
Contas de Usuários (Usuários FT ou Windows)
Computadores e Grupos de Computadores
Politicas de Segurança de Sistema
Politicas de Segurança de Produtos
Controladores devem ser seguros
Segurança dos Controladores
por área
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
29
Autorização de Aplicação
 Atua como uma lista em branco de aplicações para "aceitar" ou "negar" o
acesso ao Directory a partir de aplicações FactoryTalk criadas.

Gerenciamento do acesso por: App, Versão, Computador e Fabricante (RA).

A coluna do fabricante mostra a assinatura digital que verifica a autenticidade do
software.
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
30
Solução Rockwell – Camadas
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
31
Defesa-em-Camadas
Segurança de Rede
 Segurança não é um componente
(“cadeado”).
 Modelo de Segurança completo
para Defesa-em-Camadas.
 Política de Segurança Industrial.
 Implementação de DMZ .
 Projeto de uma Politica de Acesso
Remoto, com implementação
robusta & segura.
Serviços de Segurança de Rede Não
Devem comprometer Operação da
Celula ou Area
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
32
Arquiteturas de Convergência
 Requisitos da Aplicação:
-Conexão remota à planta.
IPSEC VPN
Remote Engineer
or Partner
-Acesso Indireto.
-Regras da Cooporação:
Envolvimento de TI.

Infraestrutura comum de TI.

Obdecer os padrões de segurança
emergentes para Sistemas de Automação
e Controle.

defesa-em-Camadas.

DMZ.

Requisitos de Gerenciamento de
Mudanças.
Internet
Enterprise
Edge
Firewall
SSL VPN

Enterprise
Data Center
VPN Client
Enterprise Zone
Levels 4 and 5
Enterprise
Connected
Engineer
Enterprise
WAN
Patch Management
Application Mirror
AV Server
Enterprise
Zone
Levels 4 and 5
Demilitarized Zone
(DMZ)
Gbps Link
Failover
Detection
Firewall
(Active)
Firewall
(Standby
)
Demilitarized Zone
(DMZ)
FactoryTalk Application Servers
• View
• Historian
• AssetCentre
• Transaction Manager
FactoryTalk Services
Platform
• Directory
• Security/Audit
Remote Access Server
Catalyst
6500/4500
• Remote Desktop Services
• RSLogix 5000
• FactoryTalk View Studio
Catalyst 3750
StackWise
Switch Stack
Data Servers
EtherNet/IP
Industrial Zone
Site Operations and
Control
Level 3
Cell/Area
Zones
Levels 0–
2
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
33
Stratix 5900
 Stratix 5900
 Site-to-Site: VPN.
 Physical features
 Network features

RJ-45 Gigabit WAN

ACL / Firewall

4 – 10/100Base-Tx LAN
ports

DHCP

QoS

VLAN

NAT
 Perfil industrial

Shock /Vibration &
Extended
Temperature
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
34
Physical Network Security in the Panel
•
•
•
Keyed solutions for copper
and fiber
USB Type A, B Ports
Lock-in, Blockout products
secure connections
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
O que é o Industrial Data Center?
Líderes de mercado em colaboração com Rockwell Automation para ajudar seus
negócios a terem todos os benefícios de virtualização e conexão entre chão de fábrica
e o ambiente Corporativo.
 Solução completa Turn key:
 Hardware
 Software
 Factory assembly
 Configuração On-site
 Documentação
 Suporte TechConnectSM
Model Shown: Essentials+
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
36
Um número único para suporte
Suporte disponível 24x7 ou monitoração remota
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
37
Serviços para Industrial Network &
Security
Avaliação
• Avaliar o estado atual do programa de segurança, formulação de políticas de segurança,
• Avaliar o estado atual do projeto de implantação da rede
Desenvolvimento/Planejamento
Implantação
• Desenvolver e planejar a infraestrutura da rede
• Desenvolver e planejar o programa de segurança, politicas, infraestrutura,
plano de continuidade
• Instalação e configuração da rede
• Instalação do programa de segurança, projeto de infrastrutura e treinamento de segurança
Auditoria
• Audit current architecture compared to governing body (ODVA, IEEE,
ISO/IEC, ANSI/TIA)
• Audit security program compared to governing body (NERC CIP, ISA -99,
NIST 800-53, NIST 800-82
Gerenciamento/Monitoração
• Gerencia, mantem e monitor o tempo de operação da rede e desvios operacionais
• Gerencia Serviços de Segurança (Resposta a incidente, programa de recuperação,
monitoração)
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
38
Mais Informações
http://rockwellautomation.com/security
Security
Resources
Knowledgebase
c/ Notas
Técnicas
Serviços de
Avaliação
Tecnologia
Segurança
Segurança
FAQ
MS Patch
Qualificação
Serviços
Segurança
Arquiteturas
Referencia
Liderança &
Padrões
[email protected]
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
39
Material Adicional
Cisco and Rockwell Automation Alliance
 Websites

http://www.ab.com/networks/architectures.html
 Guias de Projeto
 Converged Plantwide Ethernet (CPwE)
 Guias de Aplicação
 Fiber Optic Infrastructure Application Guide
 Education Series
 Whitepapers

Top 10 Recommendations for Plantwide EtherNet/IP
Deployments

Securing Manufacturing Computer and Controller Assets

Production Software within Manufacturing Reference
Architectures

Achieving Secure Remote Access to Plant Floor Applications
and Data
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
40
Industrial IP Advantage
 www.industrial-ip.org
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
Perguntas?
Copyright © 2012 Rockwell Automation, Inc. All rights reserved.
Obrigado!!!
PUBLIC INFORMATION
Copyright © 2014 Rockwell Automation, Inc. All Rights Reserved.
43
Fly UP