Whitepaper zur Sicherheitsarchitektur

Dieses Dokument enthält eine Beschreibung der Netzwerkarchitektur und des Sicherheitsdesigns der

Rockwell Automation’s

FactoryTalk® Remote Access™

-Lösung.

Dieses Dokument richtet sich an Netzwerkadministratoren, Sicherheitsauditoren und Entscheidungsträger, um eine vollständige Beschreibung des Sicherheitsmanagements und -designs bereitzustellen, mit denen Sie bewerten können, ob

FactoryTalk® Remote Access™

ihren Sicherheitsstandards und Anwendungsszenarien entspricht.

Überlegungen zum Entwurf

Die Kernaufgabe von

FactoryTalk® Remote Access™

besteht darin, eine sichere Verbindung mit einem Client und Remotegeräten über das Internet herzustellen (ein so genanntes unsicheres Netzwerk). Daher steht die Sicherheit bei allen Entwurfs- und Implementierungsentscheidungen an erster Stelle, mehr als alle anderen Nutzbarkeitsaspekte.

Komponentenarchitektur
FactoryTalk® Remote Access™ Runtime	Der Softwaredienst, der auf Remotegeräten ausgeführt wird, um den Remotezugriff auf das Gerät selbst von Front-End-Clients aus zu ermöglichen. Die Runtime ist sowohl für offene Systeme wie Windows-Computer als auch für geschlossene Systeme wie Industrierouter von Rockwell Automation verfügbar. In jedem Fall gelten die gleichen Sicherheitsüberlegungen.
Zugriffsserver	Zugriffsserver sind eine verteilte, redundante Gruppe von Servern, die Geräteverbindungen ermöglichen und einen Speicherort für Clients bereitstellen, um eine Verbindung mit Geräten herzustellen.
FactoryTalk® Remote Access™ -Domäne	Die Domäne ist ein logischer Container, in dem alle Ressourcen eines Kundenkontos gespeichert sind: Benutzer, Gruppen und Geräte sowie deren Konfigurationen, Ordner, Autorisierungsregeln und Protokolle.
Web-Frontend	Der interaktive Webclient ermöglicht es Benutzern, sich bei der FactoryTalk® Remote Access™ -Organisation anzumelden und eine Verbindung zu Remotegeräten herzustellen, auf denen die FactoryTalk® Remote Access™ Runtime ausgeführt wird. Administrative Benutzer können das Web-Frontend auch verwenden, um die Sicherheitsregeln und die Konfiguration von Geräten zu verwalten. Erweiterte Funktionen wie VPN werden durch die Verwendung von Applets (Tools) erreicht, die direkt aus dem Webbrowser heraus gestartet werden können. In diesem Dokument wird das Web-Frontend generisch als Frontend-Client referenziert.
Relayserver	Diese Server befinden sich in mehreren Regionen und fungieren als öffentlicher Relayendpunkt zwischen Control Center und Runtime. Sie sind nicht direkt exponiert und über das Internet erreichbar.
FactoryTalk® Remote Access™ -Web-API	Diese API stellt die API zur Verfügung, die vom Web-Frontend und den Tools-Applets benötigt wird, um zu funktionieren, und bietet andere Hilfsfunktionen wie Softwareupdates.

Systemarchitektur

Netzwerk- und Protokolldesign

Transportsicherheit

Sicherheit von Remote Access Tools

Authentifizierung

Aktionsaudit

Autorisierung

Gegenmaßnahmen bei Cyberangriffen

Rechenzentrum

Software-Updates

Richtlinie zu Datenlecks

Bewährte Methoden

Rückmeldung geben

Haben Sie Fragen oder Feedback zu dieser Dokumentation? Bitte geben Sie hier Ihr Feedback ab.