Proteja seus dados

Embora amplamente difundido em sistemas corporativos, o acesso remoto a sistemas de automação industrial e de controle (IACS) tem permanecido um desafio por longo tempo. Os obstáculos para adotar acesso remoto industrial incluíam preocupações de segurança, conectividade insuficiente e falta de colaboração entre o pessoal de TI e de Operação.

Esses desafios são cada vez mais gerenciáveis, à medida que mais organizações adotam a abordagemde de Empresa Conectada. Ao convergir redes de Tecnologia de Informação (TI) e de Operações (TO) e, ao suportar a adoção de tecnologias de rede padrão, a Empresa Conectada torna o acesso remoto industrial uma possibilidade bem real.

De fato, muitas indústrias já estão usando isso para ajudar a melhorar e, até mesmo, reinventar suas operações.

Indústrias de petróleo e gás estão monitorando remotamente seus ativos dispersos geograficamente, em vez de ter seus trabalhadores alojados onsite (em campo) ou se deslocando entre os locais. As indústrias em geral estão usando acesso remoto para conectar seus especialistas com as fábricas em todo o mundo. Esta colaboração instantânea pode reduzir o tempo de resposta a incidentes e os custos de deslocamento.

O acesso remoto também cria oportunidades para empresas utilizarem a assistência e a expertise de seus fornecedores, de maneiras novas e valiosas.

Uma importante empresa de biotecnologia, por exemplo, passou por uma reconstrução de sua infraestrutura de rede, que durou alguns anos, com o objetivo de integrar o seu sistema de fabricação ao sistema corporativo. Ao fazer isso, a empresa utilizou um fornecedor terceirizado para prestar assistência remota. Sem essa assistência remota, a empresa precisaria certificar-se de que teria não apenas os funcionários, mas os conhecimentos especializados necessários para manter conectada sua complexa arquitetura de rede.

Facilitando o processo

Vários recursos industriais estão disponíveis para auxiliar fabricantes, operadores industriais e OEMs a implementar acesso remoto seguro.

Um desses recursos é o que chamamos de arquiteturas CPwE (Converged Plantwide Ethernet), desenvolvidas em conjunto pela Cisco e pela Rockwell Automation.

As arquiteturas CPwE incluem vários documentos que oferecem boas práticas para projetar e implantar infraestruturas de redes convergidas. Os documentos, que incluem arquiteturas de referência testadas e validadas com orientações de projeto e implantação, abrangem tecnologias-chave, princípios e casos de sucesso, para tirar o máximo proveito dessas infraestruturas de rede – incluindo como facilitar o acesso remoto.

Controles essenciais para acesso remoto seguro

A segurança é uma preocupação importante para qualquer indústria que deseje fornecer acesso remoto via internet. O acesso deve ser restrito às pessoas autorizadas, e mesmo as ações dessas pessoas devem estar alinhadas com políticas e procedimentos aprovados.

Uma abordagem de segurança de defesa em profundidade (defense-in-depth - DID) é recomendada para cada operação industrial conectada e é especialmente importante para se ter acesso remoto seguro. A segurança em profundidade se baseia na ideia de que qualquer ponto de proteção pode ser derrubado, e provavelmente será. É por isso que se utilizam várias camadas de segurança e controles, para proteção contra uma gama de ameaças.

Alguns dos controles de segurança essenciais a um acesso remoto seguro incluem:

• Implantação de firewall de "três pernas" - Conceito fundamental para tornar o acesso remoto industrial possível. Impede o fluxo de tráfego direto entre as zonas industriais e corporativas. Em vez disso, todo o tráfego termina na zona industrial desmilitarizada (IDMZ), que atua como zona de proteção e permite apenas acesso autorizado a dados e sistemas entre as duas zonas.
• Sistema de Prevenção de Invasão (IPS) - Inspeciona o tráfego de entrada vindo das redes corporativa e externa e pode bloqueá-lo, se o sistema determinar que os dados são inseguros.
• Redes locais virtuais (VLANs) - Ajudam a segmentar o tráfego de dispositivos e canais específicos na zona industrial. Ajudam a controlar o tráfego que está sendo transmitido de e para os servidores de acesso remoto.
• Serviços de identificação com listas de controle de acesso (dACLs) que podem ser baixadas - Utilizam uma lista de declarações de "permissão" e "recusa" que são aplicadas a usuários, endereços IP e protocolos. Eles podem ajudar a evitar que usuários e tipos de tráfego não autorizados acessem uma arquitetura de rede.

Implantando acesso remoto seguro

Oito passos principais para indústrias implantarem com eficiência uma abordagem de defesas em profundidade, que utiliza os controles de segurança detalhados anteriormente:

1. Usar acesso remoto padrão baseado em TI - Atualmente, VPNs baseadas em IPsec e SSL/TLS são a tecnologia de acesso remoto mais utilizada. Elas requerem o uso de serviços de identificação para Autenticar, Autorizar e Auditar (AAA), que é uma forma de serviço para o usuário de discagem de autenticação remota (RADIUS). Os serviços de identificação também oferecem Controle de Acesso à Rede (NAC) para confirmar e determinar se o sistema do usuário remoto está rodando um determinado nível de código ou se tem certas precauções de segurança implantadas.

1. Limitar o acesso - Cada acesso de usuário remoto deve ser apropriadamente gerenciado. Por exemplo: uma política de acesso de parceiro remoto deve ser explicitamente limitada, enquanto a política de acesso remoto de um funcionário deverá ser definida pela sua identidade corporativa. ACLs restritos, com base em serviços de identificação, devem ser estabelecidos para um conjunto limitado de usuários, endereços de IP e uma quantidade de portas da camada de transporte para gerenciar os níveis de acesso desses usuários remotos.

1. Usar navegadores de internet protegidos - Usuários remotos que interagem com dados e aplicações do chão de fábrica devem fazer isso somente com navegadores de internet que suportem HTTPS. Este importante recurso de segurança é utilizado comumente em aplicações de internet e fornece criptografia e autenticação adicional.

1. Estabelecer sessões SSL em VPN - Mesmo usando um navegador seguro, as sessões VPN de camada de soquete segura (SSL) devem ser estabelecidas, para haver um nível de proteção adicional. Essas sessões utilizam criptografia para fornecer transações seguras entre o usuário remoto e o firewall IDMZ. O usuário remoto se autentica para verificar qual serviço é solicitado pelo servidor de acesso remoto, e o firewall confirma que o usuário remoto está autenticado e autorizado a utilizar o serviço.

1. Implantar IPS - Quando uma sessão remota é estabelecida, o IPS tem a tarefa crítica de inspecionar o tráfego que se desloca de e para o servidor de acesso remoto. O sistema bloqueará quaisquer ameaças detectadas, prevenindo, assim, que elas afetem os sistemas na zona IDMZ ou industrial.

1. Usar sessões de terminal remoto - Permitir somente protocolos de terminal remoto entre o cliente remoto e o firewall IDMZ pode reduzir significativamente o potencial de ataques e contaminação com vírus a partir de sessões remotas. Isso pode ser feito usando qualquer número de tecnologias de sessão via terminal, como o protocolo de desktop remoto (RDP), que é utilizado pela plataforma ThinManager.

1. Tratar a segurança da aplicação - As aplicações IACS devem ser implantadas em um servidor de acesso remoto dedicado e seguro. Isso permite que o pessoal da fábrica controle versões da aplicação, limite as ações que podem ser realizadas e dos dispositivos que podem ser acessados.

1. Segmentar e inspecionar o tráfego - Segmente o acesso remoto em uma VLAN dedicada, para controlar detalhadamente o tráfego de e para a VLAN. Se forem usados vários servidores de acesso remoto, eles devem estar em VLANs separadas. Cada uma delas pode acessar um conjunto específico de VLANs da fabricação, limitando, assim, a visualização ou o acesso do usuário remoto à zona industrial. Inspecione o tráfego entre os servidores de acesso remoto e as aplicações IACS com um firewall industrial.

Orientação detalhada

Esses passos vão ajudá-lo a implementar acesso remoto seguro. No entanto, eles abordam superficialmente as várias considerações técnicas que precisam ser tratadas durante os estágios de projeto, planejamento e implantação.

Saiba mais sobre as Soluções de Segurança Industrial da Rockwell Automatiopn.

Por Gregory Wilcox, gerente de Desenvolvimento de Negócios e de Tecnologia Global, Rockwell Automation.