산업용 DMZ 에서 IACS 데이터의 안전한 트래버싱

백서

2015 년 5 월

문서 참조 번호 : ENET-WP038A-KO-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment. • Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Industrial DMZ

ENET-WP038A-KO-P

산업용 DMZ 에서 IACS 데이터의 안전한 트래버싱

산업 자동화 및 제어 시스템 (IACS) 네트워크는 기본적으로 개방형입니다 . 개방성은 기술적 공존성과 IACS 장치 상호 운용성을 촉진합니다 . 이와 동시에 , 개방성은 IACS 네트워크가 설정 및 아키텍처를 통해 보안될 것 ( 즉 , 엣지 방어 ) 을 요구합니다 . 많은 조직과 표준 단체는 Industrial DMZ(IDMZ) 를 통해 사업 시스템을 공장 전반에 걸친 네트워크로부터 분리하도록 권장합니다 .

IDMZ 는 Industrial Zone 과 Enterprise Zone 사이의 계층에 일반적으로 레벨 3.5 라고 불리는 개별 네트워크로 존재합니다 . IDMZ 환경은 스위치 , 라우터 및 가상 서비스 등과 같은 네트워크 인프라 장치 이외에도 방화벽 , VPN 서버 , IACS 애플리케이션 미러 및 역방향 프록시 서버 등이 포함되는 수 많은 인프라 장치로 구성되어 있습니다 .

Converged Plantwide Ethernet(CPwE) 은 현대 IACS 애플리케이션에서 발견되는 제어 및 정보 제품군 , 장치 및 장비를 위한 표준 네트워크 서비스를 제공하는 기본 아키텍처입니다 . CPwE 아키텍처는 IACS 의 실시간 통신 , 신뢰성 , 확장성 , 보안 및 장애 대응력을 달성할 수 있는 설계 및 구현 지침을 제공합니다 .

IACS 애플리케이션용 CPwE IDMZ 는 시스코와 로크웰 오토메이션의 전략적 제휴를 통해 시장에 출시되었습니다 . CPwE IDMZ 는 IDMZ 전반에서 IACS 데이터를 안전하게 공유하는 IDMZ 를 성공적으로 설계 및 구현할 수 있도록 세부적인 설계 고려 사항을 제공합니다 .

전체론적 산업 보안단 하나의 제품 , 기술 또는 방법으로는 IACS 애플리케이션에 대한 완전한 보안을 구현할 수 없습니다. IACS 자산을 보호하기 위해 내부 및 외부 보안 위협을 모두 해결하는 심층 방어 보안 방식이 필요하게 되었습니다 . 이러한 방식은 개별적인 IACS 레벨에서 다양한 유형의 위협을 해결하는 다수의 방어 계층 ( 물리적 , 절차적 및 전자적 ) 을 사용합니다 .

참고 데이터가 Industrial Zone 에서 Enterprise Zone 으로 안전하게 통과해야 하므로 물리적 IDMZ 의 보안 요구 사항은 IACS 애플리케이션 필요 사항을 인식해야 합니다 . Separately, NAT(Network Address Translation) 와 Identity 서비스는 개별적으로 CPwE 전체 보안 아키텍처의 일부입니다 . 각각은 개별적으로 사용 가능해서 CPwE 의 전체론적 산업 보안 방식을 완성합니다 .

1에서 IACS 데이터의 안전한 트래버싱

Industrial DMZ 에서 IACS 데이터의 안전한 트래버싱

전체론적 산업 보안

심층 방어 방식을 사용하는 CPwE 산업용 네트워크 보안 프레임워크 ( 그림 1) 는 ISA/IEC-62443( 기존의 ISA-99) 산업 자동화 및 제어 시스템 (IACS) 보안 및 NIST 800-82 산업 제어 시스템 (ICS) 보안과 같은 표준에 부합합니다 .

포괄적인 IACS 네트워크 보안 프레임워크의 설계 및 구현은 IACS 로의 자연적인 확장을 지원해야 합니다 . 네트워크 보안은 사후에 고려하는 사항이 되어서는 안됩니다 . 산업 네트워크 보안 프레임워크는 모든 곳에 적용되어 있고 IACS 의 핵심이 되어야 합니다 . 그러나 , 기존의 IACS 구축에서는 IACS의 보안 기능을 개선하기 위해 동일한 심층 방어 계층의 점진적인 적용만 가능합니다 .

CPwE 심층 방어 계층 ( 그림 1) 에는 다음이 포함됩니다 .

• 제어 시스템 엔지니어 ( 황갈색으로 강조 표시됨 )—IACS 장치 보안 강화 ( 예를 들어 , 물리적 및 전자적 ), 인프라 장치 보안 강화 ( 예를 들어 , 포트 보안 ), 네트워크 세분화 , IACS 애플리케이션 인증 , 승인 및 계정 관리 (AAA)

• IT 네트워크 엔지니어와 협력하는 제어 시스템 엔지니어 ( 파란색으로 강조 표시됨 )—IACS 애플리케이션에서 존 (Zone) 기반 정책 방화벽 , 운영 체제 보안 강화 , 네트워크 장치 보안 강화 ( 예를 들어 , 접근 통제 , 장애 대응력 ), 무선 LAN 액세스 정책

• 제어 시스템 엔지니어와 협력하는 IT 보안 설계자 ( 자주색으로 강조 표시됨 )—Identity 서비스( 유선 및 무선 ), Active Directory(AD), 원격 액세스 서버 , 공장 방화벽 , Industrial DMZ(IDMZ) 설계 모범 사례

그림 1 CPwE 산업 네트워크 보안 프레임워크

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••

2Industrial DMZ 에서 IACS 데이터의 안전한 트래버싱

ENET-WP038A-KO-P

Industrial DMZ 에서 IACS 데이터의 안전한 트래버싱Industrial Demilitarized Zone (IDMZ)

Industrial Demilitarized Zone (IDMZ)경계 네트워크라고도 불리는 IDMZ( 그림 2) 는 신뢰 네트워크 (Industrial Zone) 비신뢰 네트워크(Enterprise Zone) 사이의 데이터 보안 정책을 적용하는 완충 지대입니다 . IDMZ 는 Industrial Zone 과 Enterprise Zone 사이에 IACS 데이터와 네트워크 서비스를 안전하게 공유하는 추가적인 심층 보안 계층입니다 . DMZ 개념은 전통적인 IT 네트워크에서 흔한 것이지만 , IACS 애플리케이션의 경우에는 여전히 초기 단계입니다 .

보안 IACS 데이터 공유의 경우 , IDMZ 는 존 사이의 중개 기능을 하는 자산을 포함하고 있습니다 . IDMZ 전반에 IACS 데이터의 중개 기능을 하는 복수의 방법 :

• FactoryTalk® Historian 에 대한 PI-to-PI 인터페이스와 같은 애플리케이션 미러의 사용

• Microsoft® 원격 데스크탑 게이트웨이 (RD 게이트웨이 ) 서비스 사용

• 역방향 프록시 서버 사용

Enterprise Zone 에 있는 클라이언트 및 서버로부터 Industrial Zone 의 존재 및 특성을 숨기고 보호하는 이러한 중개 방법은 그림 2 에서 자세히 다루고 있으며 CPwE IDMZ 에서 지원됩니다 .

그림 2 CPwE 논리 모델

고급 IDMZ 설계 원리 ( 그림 3):

• IDMZ 에서 IDMZ 종단의 한 쪽에서 오는 모든 IACS 네트워크 트래픽 ; 어떠한 IACS 트래픽도 IDMZ 를 직접 트래버싱하지 않음 :

– Industrial Zone 과 Enterprise Zone 사이에 직접적인 경로 없음

– 각 논리 방화벽에 공통적인 프로토콜을 사용하지 않음

• EtherNet/IP ™ IACS 트래픽이 IDMZ 로 들어가지 않음 ; Industrial Zone 내부에 남아 있음

• 1 차 서비스가 IDMZ 에 영구 저장되지 않음

• 모든 데이터는 과도적임 ; IDMZ 는 데이터를 영구 저장하지 않음

• IACS 데이터 및 네트워크 서비스에 대한 액세스를 세그먼트화 하기 위해 IDMZ 내에서 기능별 하위 존을 설정 ( 예를 들어 , IT, 운영 및 신뢰 파트너 존 )

• 적절히 설계된 IDMZ 는 해킹된 경우에 기능이 정지되지만 Industrial Zone 은 중단 없이 작동하도록 허용함

Level 5

Level 4

Level 3

Level 2

Level 1

Level 0

Remote Gateway Services

Patch Management

AV Server

Application Mirror

Web Services Operations

Reverse Proxy

Enterprise Network

Site Business Planning and Logistics NetworkE-Mail, Intranet, etc.

FactoryTalkApplication

Server

FactoryTalk Directory

Engineering Workstation

Remote Access Server

FactoryTalkClient

Operator Interface

FactoryTalkClient

Engineering Workstation

Operator Interface

Batch Control

Discrete Control

Drive Control

ContinuousProcess Control

Safety Control

Sensors Drives Actuators Robots

Enterprise

Security

Zone

Industrial

Demilitarized

Zone

Industrial

Security

Zone(s)

Cell/Area

Zone(s)

WebE -Mail

CIP

Site Operations

Area Supervisory

Control

Basic Control

Process

Firewall

Firewall

3746

24

3Industrial DMZ 에서 IACS 데이터의 안전한 트래버싱

ENET-WP038A-KO-P

Industrial DMZ 에서 IACS 데이터의 안전한 트래버싱Converged Plantwide Ethernet IDMZ

그림 3 Industrial DMZ 고급 개념

Converged Plantwide Ethernet IDMZCPwE IDMZ Cisco Validated Design(CVD) 은 IDMZ 의 성공적인 설계 및 배치를 지원하기 위한 중요 요구 사항과 설계 고려 사항을 규정합니다 . Industrial Zone 과 Enterprise Zone 사이의 IACS 데이터 및 네트워크 서비스에는 다음이 포함됩니다 .

• IDMZ 검토 및 중요 설계 고려 사항

• 장애 대응력이 있는 CPwE 아키텍처 프레임워크 :

– 이중화 IDMZ 방화벽

– 이중화 분산 / 집성 이더넷 스위치

• IACS 데이터가 IDMZ 를 안전하게 통과하도록 하는 방법 :

– 애플리케이션 미러

– 역방향 프록시

– 원격 데스크톱 게이트웨이 서비스

• 네트워크 서비스가 IDMZ 를 안전하게 통과하도록 하는 방법

• CPwE IDMZ 사용 사례 :

– IACS 애플리케이션—예를 들어, Secure File Transfer, FactoryTalk 애플리케이션(FactoryTalk Historian, FactoryTalk VantagePoint®, FactoryTalk View Site Edition (SE), FactoryTalk ViewPoint, FactoryTalk AssetCentre, Studio 5000®)

– 네트워크 서비스—예를 들어 , Active Directory(AD), Identity Services Engine(ISE), 무선 LAN 컨트롤러 (WLC) 제어 및 무선 액세스 포인트 프로비저닝 (CAPWAP), Network Time Protocol(NAP)

– 보안 원격 액세스

• IDMZ 구현 및 설정의 중요 단계 및 설계 고려 사항

참고 이번 릴리스의 CPwE 아키텍처는 ODVA CIP(Common Industrial Protocol) 에 의해 구동되는 EtherNet/IP 를 중심으로 합니다 . CPwE 설계 및 구현 가이드의 IACS 통신 프로토콜 섹션을 참조하십시오 .

No Direct IACS Traffic

Enterprise Security

Zone

IndustrialSecurity

Zone

Disconnect Point

Disconnect Point

IDMZReplicated Services

Untrusted ? Trusted?

Trusted 3746

25

4Industrial DMZ 에서 IACS 데이터의 안전한 트래버싱

ENET-WP038A-KO-P

Industrial DMZ 에서 IACS 데이터의 안전한 트래버싱

로크웰 오토메이션 사이트 :

http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

시스코 사이트 :

http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_DIG.html

시스코는 사람들이 서로 연결하고 , 통신하고 , 협력하는 방법을 변화시키는 네트워크 분야의 세계적인 선도 업체입니다 . 시스코에 대한 정보는 www.cisco.com 에 있습니다 . 향

후 소식은 http://newsroom.cisco.com 을 참조하십시오 . 유럽의 시스코 장비는 Cisco Systems, Inc. 의 전액 출자 자회사인 Cisco Systems International BV 가 공급합니다 .

www.cisco.com

미국 본사

Cisco Systems, Inc.

캘리포니아 산호세

아시아 태평양 본사

Cisco Systems (USA) Pte. Ltd.

싱가포르

유럽 본사

Cisco Systems International BV

네덜란드 암스테르담

시스코는 전세계에 200 개 이상의 사무소를 가지고 있습니다 . 주소 , 전화 번호 및 팩스 번호는 시스코 웹사이트 www.cisco.com/go/offices 를 참조하십시오 .

시스코 및 시스코 로고는 미국 및 기타 국가에서 시스코 및 / 또는 계열사의 상표 또는 등록 상표입니다 . 시스코의 상표 목록을 확인하려면 www.cisco.com/go/trademarks 로 이동

하십시오 . 언급된 제 3 자 상표는 해당 소유자의 재산입니다 . 파트너라는 단어를 사용하더라도 시스코와 기타 회사의 제휴 관계를 의미하지 않습니다 . (1110R)

로크웰 오토메이션은 고객이 제품을 시장에 더욱 빨리 출시하고 , 총 소유 비용을 절감하고 , 공장 자산을 더욱 잘 활용하고 , 제조 환경에서의 위험을 최소화할 수 있도록 해주는

전력 , 제어 및 정보 솔루션 분야에서 세계적인 선도 업체입니다 .

www.rockwellautomation.com

미주 :

로크웰 오토메이션

1201 South Second Street

Milwaukee, WI 53204-2496 USA

전화 : (1) 414.382.2000, 팩스 : (1) 414.382.4444

아시아 태평양 :

로크웰 오토메이션

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

전화 : (852) 2887 4788, 팩스 : (852) 2508 1846

유럽 / 중동 / 아프리카 :

로크웰 오토메이션

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Belgium

전화 : (32) 2 663 0600, 팩스 : (32) 2 663 0640

Integrated Architecture, FactoryTalk, Stratix 5700, Stratix 8000 및 Studio 5000 등은 로크웰 오토메이션의 상표입니

다 . EtherNet/IP 는 ODVA 의 상표입니다 .

© 2015 Cisco Systems, Inc. and Rockwell Automation, Inc. All Rights Reserved.

Publication ENET-WP038A-KO-P - 2015 년 5 월