Proteja sus datos

Proteja sus datos

Descubra algunas consideraciones importantes para planificar, diseñar e implementar una solución de acceso seguro a una red remota y los recursos que lo ayudarán.

Aunque ampliamente difundido en los sistemas corporativos, el acceso remoto a sistemas de automatización industrial y de control (IACS) ha sido un desafío por mucho tiempo. Los obstáculos para adoptar el acceso remoto industrial incluían las preocupaciones con respecto a la seguridad, la conectividad insuficiente y la falta de colaboración entre el personal de TI y el de Operaciones.

 

Estos desafíos son cada vez más manejables, en la medida en que más organizaciones adoptan el enfoque de Empresa Conectada. Al converger las redes de Tecnología de la Información (TI) y de Operaciones (TO) y, al apoyar la adopción de tecnologías de red estándar, la Empresa Conectada convierte al acceso remoto industrial en una posibilidad bastante real.

 

De hecho, muchas industrias ya están usando esto para ayudar a mejorar e, inclusive, reinventar sus operaciones.

 

Las industrias de petróleo y gas monitorean remotamente sus activos dispersos geográficamente, en vez de tener a sus trabajadores alojados en campo o que tengan que trasladarse entre las diferentes locaciones. Las industrias en general usan el acceso remoto para conectar a sus especialistas con las fábricas en todo el mundo. Esta colaboración instantánea puede reducir el tiempo de respuesta a incidentes y los costos de traslado.

 

El acceso remoto también crea oportunidades para que las empresas utilicen la asistencia y experticia de sus proveedores de maneras nuevas y valiosas.

 

Una importante empresa de biotecnología, por ejemplo, pasó por una reconstrucción de su infraestructura de red, que duró algunos años, con el objetivo de integrar su sistema de fabricación al sistema corporativo. Al hacer eso, la empresa utilizó a un proveedor tercerizado para prestar asistencia remota. Sin esa asistencia remota, la empresa habría necesitado asegurarse de que tendría no solo los trabajadores, sino también los conocimientos especializados necesarios para mantener conectada su compleja arquitectura de red.

Facilitar el proceso

Diversos recursos industriales están disponibles para auxiliar a los fabricantes, operadores industriales y OEM a implementar el acceso remoto seguro.

Uno de esos recursos es el que conocemos como arquitecturas CPwE (Converged Plantwide Ethernet), desarrolladas en conjunto con Cisco y Rockwell Automation.

 

Las arquitecturas CPwE incluyen varios documentos que ofrecen buenas prácticas para diseñar e implementar infraestructuras de redes convergidas. Los documentos, que incluyen arquitecturas de referencia probadas y validadas con orientaciones de diseño e implementación, abarcan tecnologías clave, principios e historias de éxito, para sacar el máximo provecho de esas infraestructuras de red, incluido cómo facilitar el acceso remoto.

Controles esenciales para acceso remoto seguro

La seguridad es una preocupación importante para cualquier industria que desee suministrar acceso remoto a través de Internet. El acceso debe ser restringido a las personas autorizadas e incluso las acciones de esas personas deben estar alineadas con las políticas y procedimientos aprobados.

 

Se recomienda un enfoque de seguridad de defensa en profundidad (defense-in-depth -DID) para cada operación industrial conectada y es especialmente importante para que se pueda tener un acceso remoto seguro. La seguridad en profundidad se basa en la idea de que cualquier punto de protección puede ser eliminado, y probablemente será así. Por eso, se utilizan varias capas de seguridad y controles, como protección contra una gama de amenazas.

 

Algunos de los controles de seguridad que son esenciales para un acceso remoto seguro incluyen:

  • La implementación de un firewall de «tres piernas»  - concepto fundamental para posibilitar el acceso remoto industrial. Impide el flujo de tráfico directo entre las zonas industriales y corporativas. En vez de ello, todo el tráfico termina en la zona industrial desmilitarizada (IDMZ), que actúa como zona de protección y permite apenas el acceso autorizado de datos y sistemas entre las dos zonas.
  • Sistema de prevención de invasión (IPS) - inspecciona el tráfico de entrada que proviene de las redes corporativas y externa y puede bloquearlo si el sistema determina que los datos son inseguros.
  • Redes locales virtuales (VLAN) - ayudan a segmentar el tráfico de dispositivos y canales específicos en la zona industrial. Ayudan a controlar el tráfico que se está transmitiendo de y hacia los servidores de acceso remoto.
  • Servicios de identificación con listas de control de acceso (dACL) que pueden descargarse - utilizan una lista de declaraciones de «permiso» y «rechazo» que son aplicadas a los usuarios, direcciones IP y protocolos. Estos pueden ayudar a evitar que usuarios y tipos de tráfico no autorizados puedan acceder a una arquitectura de red.

Implementar el acceso remoto seguro

Existen ocho pasos principales para que las industrias implementen con eficiencia un enfoque de defensa en profundidad, que utilice los controles de seguridad detallados anteriormente:

 

  1. Usar acceso remoto estándar basado en TI - actualmente, las VPN basadas en IPsec y SSL/TLS son la tecnología de acceso remoto más utilizada. Estas requieren el uso de servicios de identificación para autentificar, autorizar y auditar (AAA), que es una forma de servicio para el usuario del discado de autentificación remota (RADIUS). Los servicios de identificación también ofrecen control de acceso a la red (NAC) para confirmar y determinar si el sistema del usuario remoto está corriendo un determinado nivel de código o si tiene ciertas precauciones de seguridad implementadas.

 

  1. Limitar el acceso - cada acceso de usuario remoto debe ser manejado adecuadamente. Por ejemplo: una política de acceso de socio remoto debe ser explícitamente limitada, mientras que la política de acceso remoto de un funcionario deberá ser definida por su identidad corporativa. Las ACL restringidas, con base en servicios de identificación, deben establecerse para un conjunto limitado de usuarios, direcciones IP y una cantidad de puertos de la capa de transporte para administrar los niveles de acceso de esos usuarios remotos.

 

  1. Usar navegadores de Internet protegidos - los usuarios remotos que interactúan con datos y aplicaciones de la planta deben hacerlo solamente con navegadores de Internet compatibles con HTTPS. Este importante recurso de seguridad se utiliza comúnmente en aplicaciones de Internet y suministra criptografía y autentificación adicional.

 

  1. Establecer sesiones SSL en VPN - incluso usando un navegador seguro, las sesiones VPN de capa de puertos seguros (SSL) deben establecerse, para que haya un nivel de protección adicional. Esas sesiones utilizan criptografía para proporcionar transacciones seguras entre el usuario remoto y el firewall IDMZ. El usuario remoto se autentifica para verificar cuál servicio es solicitado por el servidor de acceso remoto y el firewall confirma que el usuario remoto está autentificado y autorizado para utilizar el servicio.

 

  1. Implementar IPS - cuando se establece una sesión remota, el IPS tiene la tarea crítica de inspeccionar el tráfico que se traslada de y hacia el servidor de acceso remoto. El sistema bloqueará cualquier amenaza detectada, previniendo, de esta manera, que las mismas afecten los sistemas en la zona IDMZ o industrial.

 

  1. Usar sesiones de terminal remoto - permitir solamente protocolos de terminal remoto entre el cliente remoto y el firewall IDMZ puede reducir significativamente el potencial de ataques y contaminación con virus desde sesiones remotas. Esto puede hacerse usando cualquier número de tecnologías de sesión vía terminal, como el protocolo de desktop remoto (RDP), que es utilizado por la plataforma ThinManager.

 

  1. Tratar la seguridad de la aplicación - las aplicaciones IACS deben implementarse en un servidor de acceso remoto dedicado y seguro. Eso permite que el personal de la fábrica controle las versiones de la aplicación, limite las acciones que pueden realizarse y los dispositivos a los que se puede acceder.

 

  1. Segmentar e inspeccionar el tráfico - segmente el acceso remoto en una VLAN dedicada, para controlar detalladamente el tráfico de y hacia la VLAN. En caso de usarse varios servidores de acceso remoto, estos deben estar en VLAN separadas. Cada una de ellas puede tener acceso a un conjunto específico de las VLAN de la fábrica, limitando, así, la visualización o el acceso del usuario remoto a la zona industrial. Inspeccione el tráfico entre los servidores de acceso remoto y las aplicaciones IACS con un firewall industrial.

Orientación detallada

Estos pasos lo van a ayudar a implementar el acceso remoto seguro. Sin embargo, solo abordan de manera superficial las diversas consideraciones técnicas que necesitan tratarse durante las fases de diseño, planificación e implementación.

 

El acceso remoto crea oportunidades para que las empresas utilicen la asistencia y experticia de parte de sus proveedores, de formas nuevas y valiosas.

 

 

Las VPN basadas en IPsec y SSL/TLS son la tecnología de acceso remoto más utilizada.

 

Lea más acerca de las Soluciones de Seguridad Industrial de Rockwell Automatiopn.

 

Por Gregory Wilcox, gerente de Desarrollo de Negocios y de Tecnología Global, Rockwell Automation

Automation Today

La revista Automation Today es una publicación semestral de Rockwell Automation que tiene como finalidad comunicar las tendencias y soluciones en el área de la automatización industrial.