Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開

白書

May 2015

ドキュメント参照番号：: ENET-WP037A-JA-P

3746

29

Rockwell Automation and

Cisco Four Key Initiatives:

• Common Technology View: A single system architecture, using open,

industry standard networking

technologies, such as Ethernet and IP, is

paramount for achieving the flexibility,

visibility and efficiency required in a

competitive manufacturing environment.

• Converged Plantwide Ethernet

Architectures: These manufacturing focused reference

architectures, comprised of the Rockwell

Automation Integrated Architecture® and

Cisco’s Ethernet to the Factory, provide

users with the foundation for success to

deploy the latest technology by addressing

topics relevant to both engineering and

IT professionals.

• Joint Product and Solution

Collaboration: Stratix 5700™ and Stratix 8000™ Industrial

Ethernet switches incorporating the best

of Cisco and the best of Rockwell Automation.

• People and Process Optimization: Education and services to facilitate

Operational Technology (OT) and

Information Technology (IT) convergence

and allow successful architecture

deployment and efficient operations

allowing critical resources to focus on

increasing innovation and productivity.

Converged Plantwide Ethernet (CPwE)アーキENET-WP037A-JA-P

Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開

産業用ネットワークへのアクセス方法が多様化する中、ネットワーク・アクセス・セキュリティの管理や未知のリスクの抑制の複雑さは増すばかりです。 契約業者 (機械装置メーカ (OEM)やシステムインテグレータなど ) による工場内アクセスに対する要求が拡大するにつれ、工場内ネットワークは継続的なセキュリティ脅威にさらされています。 通常、デフォルトでは産業用オートメーションおよび制御システム (IACS)ネットワークは開放されています。このような開放性は、テクノロジの共存と IACSの相互運用性の両方を促進します。IACSネットワークのセキュリティは、構成およびアーキテクチャによって保証しなければなりません。それは、契約業者の未知のコンピュータが工場内運用のセキュリティに課題を突きつけているためです。 工場内でテクノロジの共存が進む中、その管理とセキュリティ保証にはこれまでとは違うアプローチが必要とされるようになりました。 Converged Plantwide Ethernet (CPwE) では、CiscoIdentity Services Engine (ISE) が採用されたことによって、工場作業員や契約業者の有線コンピュータまたは無線コンピュータからの安全な IACS ネットワークアクセスを集中管理することができます。 CPwEは、最先端の IACSアプリケーションに見られるコントロールおよび情報領域、デバイス、機器に向けた標準ネットワークサービスを提供する基盤アーキテクチャです。 Cisco ISEを CPwEアーキテクチャと併せて使用すると、Microsoft®ベースのコンピュータ、オペレーティングシステム、およびログオンしたユーザを識別し、コンピュータがアクセスしようとするネットワークインフラストラクチャに対してセキュリティポリシーを行使することによって動的なネットワークアクセス制御セキュリティ層が追加されます。 CPwEアーキテクチャでは、IACSのリアルタイム通信、信頼性、スケーラビリティ、セキュリティ、および弾力性などの要件を達成するための設計および導入指導が規定されています。Cisco ISEは、集中管理アーキテクチャモデルを含む定義済みのベストプラクティスとネットワークアーキテクチャをベースに構築されており、IT 部門は、この環境を通じ、産業ゾーンで運用される Cisco ISE プラットフォームの管理業務を行ないます。 CPwE識別サービスは、Cisco Systems®社と Rockwell Automation間の戦略的提携を通じて市場に投入されました。 CPwE識別サービスに関する Cisco Validated Design (CVD)ガイドには、産業ゾーン内のCisco Identity Services Engineのための設計および導入ガイダンスが規定されています。

1テクチャ内での識別サービスの展開

Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開セキュアアクセス制御

セキュアアクセス制御既知または未知にかかわらず、IACS ネットワークに接続するコンピュータの数が増え続ける中、異種のセキュリティソリューションの管理やリスク緩和の方法が成熟し続けています。 IACSネットワークへのアクセス攻撃を食い止めるには、もはや、物理的なセキュリティだけでは不十分です。 契約業者のコンピュータ接続数が増え、制約適用済みの工場内運用リソースが増殖すると、セキュリティ脅威を特定して修正出来ない場合の潜在的な影響は、工場内運用に深刻なリスクをもたらします。 CPwE識別サービスは、進化する工場の管理およびセキュリティ保証の両面から提唱される新たなアプローチです。IACS 資産の保護には、内部のセキュリティ脅威に対応する、集中管理可能な多層防御セキュリティ手法が必要になります。 Cisco ISE では、IACS ネットワークに対する工場職員および契約業者からの多様なアクセス方法のセキュリティを保証するため、有線アクセスおよび無線アクセスの両方をサポートしています。 CPwE 産業ネットワーク・セキュリティ・フレームワーク ( 図 1) は、多層防御手法を使用し、ISA/IEC-62443 ( かつての ISA-99) IACS セキュリティや NIST 800-82 産業制御システム (ICS) セキュリティなどの産業セキュリティ規格に沿ったものです。包括的な IACS ネットワーク・アクセス・セキュリティ・フレームワークの設計と導入は、IACSへの自然な拡張として行なうべきです。 思いつきで導入すべきではありません。 産業ネットワーク・アクセス・セキュリティ・フレームワークを広く浸透させ、IACSの中核としなければなりません。しかし、既存の IACSの配備については、同じ多層防御層を徐々に適用していくことで IACSのアクセス・セキュリティ・スタンスを改善することができます。 CPwE多層防御層 (図 1)には以下のものがあります。

• 制御システムエンジニア (黄褐色で表示 ) — IACSデバイスの強化 (物理層や電子層など )、インフラストラクチャデバイスの強化 (ポートセキュリティなど )、ネットワークセグメンテーション、IACSアプリケーションの認証、許可、アカウンティング (AAA)

• 制御システムエンジニアと ITネットワークエンジニアの連携 (青で表示 ) — IACS アプリケーションのゾーンベース・ポリシー・ファイアウォール (ZPF)、オペレーティングシステムの強化、ネットワークデバイスの強化 (アクセス制御、弾力性など )、有線および無線 LANアクセスポリシー

• ITセキュリティアーキテクトと制御システムエンジニアの連携(紫で表示) — 識別サービス(有線および無線 )、アクティブディレクトリ (AD)、リモート・アクセス・サーバ、プラントファイアウォール、産業用非武装地帯 (IDMZ)設計のベストプラクティス

2Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開

ENET-WP037A-JA-P

Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開CPwEの統合ネットワーク・アクセス・ポリシー管理

図 1 CPwE産業ネットワーク・セキュリティ・フレームワーク

CPwEの統合ネットワーク・アクセス・ポリシー管理Cisco Identity Services Engineは、企業 ITが非常にセキュアな有線および無線アクセスを工場内で確保するための以下の機能を提供します。

• 包括的な集中ポリシー管理• 合理化されたデバイスオンボーディング• 動的行使

Cisco Identity Services Engine には、アクセス制御ポリシーを作成するためのルールベースの属性駆動型ポリシーモデルが提供されています。 Cisco ISEには、きめ細かなポリシーを作成する能力が用意されています。 また、属性を動的に作成し、後日、新しい運用および管理デバイスを IACSネットワークに導入した際に利用できるように属性を保管しておくこともできます。 図 2に示すように、CPwE識別サービスは、認証と認可の両方について、複数の外部 IDレポジトリ (アクティブディレクトリなど )をサポートしています。 工場内ネットワークの管理者は、Webベースの GUIコンソールから利用できる認証および認可サービスに基づき、社員、ゲスト、ベンダー、契約業者からの有線および無線アクセスを集中的に構成して管理できます。 Cisco ISE は、分散ネットワーク環境の場合、単一の管理インターフェイスから統合集中管理機能を提供することによって管理作業を簡素化します。

Zone-basedPolicy Firewall

(ZFW)

EnterpriseWAN Internet

Firewall(Active)

Firewall

(Standby)

MCC

Enterprise Zone: Levels 4-5

Core switches

Soft Starter

I/O

Level 0 - ProcessLevel 1 -Controller

Level 3 - Site Operations:

Controller

Drive

Level 2 - Area Supervisory Control

FactoryTalkClient

Controller

Physical or Virtualized ServersPatch ManagementAV ServerApplication Mirror

•••• Remote Desktop Gateway Server

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

Authentication, Authorization and Accounting (AAA)

Distribution switch

External DMZ/

Firewall

LWAP

SSID2.4 GHz

SSID5 GHz

WGB

I/O

Active

Wireless LAN Controller

(WLC)UCS

RADIUS

AAA Server

Standby

Inter-zone traffic segmentationACLs, IPS and IDSVPN ServicesPortal and Remote Desktop Services proxy

Plant Firewalls

Standard DMZ Design Best Practices

HardeningAccess ControlResiliency

VLANs, Segmenting Domains of Trust

PhysicalProceduresElectronicEncrypted Communications

OS Hardening

Remote Access Server

FactoryTalk Security

Identity Services Engine (ISE)RADIUS

Active Directory (AD)Network Statusand Monitoring

Device Hardening

••••

Access Policy Equipment SSID Plant Personnel SSID Trusted Partners SSIDWPA2 with AES EncryptionAutonomous WLAN Pre-Shared Key 802.1X - (EAP-FAST)Unified WLAN 802.1X - (EAP-TLS) CAPWAP DTLS

•••

•

Wireless LAN (WLAN)

•

••

•

••

•

Port Security

•••

Network Infrastructure

3746

23

••••

3Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開

ENET-WP037A-JA-P

Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開Converged Plantwide Ethernet識別サービス

図 2 有線および無線アクセスのための統合識別サービス

Cisco ISEの採用によって、ネットワーク全体にプロビジョンポリシーをリアルタイムで適用できるため、有線および無線接続からサービスに安定してアクセスすることができます。

• 不明なデバイスは管理上定義された安全な場所に転送され、工場側の運用部門内部のローカルリソースへのアクセスを防止できます。

• 信頼されたデバイスには、産業ゾーン内の重要なプラットフォームへのアクセス権が与えられます。

Allen-Bradley®の Stratixおよび Cisco®社のスイッチや Cisco無線 LANコントローラ (WLC)にはこのようなデバイス検知機能が組み込まれているため、オーバレイアプライアンス、スタンドアロンデバイス、インフラの交換費用や管理作業に心を煩わせることなく、ネットワーク全体にわたるプロファイリングの集中管理をエントリポイントで制御できます。

Converged Plantwide Ethernet識別サービス産業ゾーン内のデバイスプロファイリングは、工場内ネットワークに接続する特定のコンピュータを識別するサービス・プロファイラ・サービスに基づいて行なわれます。 Cisco ISEに装備されているプロファイリングサービスは、セル / エリアゾーンおよびその位置内のスイッチ・コンビニエンス・ポートに接続する特定のコンピュータや、工場の無線ネットワークへに初回接続しようとした具体的なコンピュータを識別します。 Cisco ISE内で構成されているエンドポイント・プロファイリング・ポリシーに基づいてこのようなデバイスをプロファイリングした後、ポリシー評価の結果に基づいて工場内ネットワークへのアクセス許可をこれらのコンピュータに付与したり、信頼されていないコンピュータを管理上定義された安全な場所に転送したりします。 プロファイリングサービスは、Stratix 内でサポートされている IEEE 規格 802.1X ポートに基づく認証アクセス制御、および CPwEアーキテクチャ内でサポートされている Ciscoの産業用イーサネットスイッチ (IES)を利用することにより、認証管理を簡単にします。

EnterpriseWAN

Firewalls(Active/Standby)

MCC

Enterprise Zone: Levels 4-5

IO

Level 3Site Operations

Drive

Industrial Demilitarized Zone (IDMZ)

Industrial Zone: Levels 0-3

FactoryTalk Client

Internet

ExternalDMZ / Firewall

WGB

IO

WLC (Active)

ISE PSN

WLC (Standby)

PACPAC

PACLevels 0-2Cell/Area Zone

Distribution switch

LWAP

3746

40

WLC (Enterprise)

ISE MnT

ISE PAN/PSN

Remote Access Server (RAS)

ISE Synchronization

ISE Logging

Laptop Client

Core switches

Core switches

4Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開

ENET-WP037A-JA-P

Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開まとめ

コンピュータプロファイリングを通じ、Cisco ISEは、工場職員および契約業者の信頼されたコンピュータだけが工場内ネットワークにアクセスできるようにします。 ユーザやコンピュータの IDに基づき、Cisco ISEは、Stratix IESや Cisco IESに対してセキュア・アクセス・ルールを送信し、ユーザやコンピュータがネットワークにアクセスを試みるたび、工場内運用に一貫性のあるポリシーを確実に行使します。CPwE 識別サービスによって、ゲストポリシーの導入方法を決定する際、工場全体にわたって柔軟性を発揮できます。 Cisco ISEには、工場職員、ベンダー、パートナー、ゲストが、工場内運用部門によって定義されたビジネスポリシーに自動的に従って新しいデバイスを登録してプロビジョニングするためのセルフサービス登録ポータルが用意されています。 CPwE 識別サービスによって IT部門は、自動化された工場内デバイスプロビジョニングおよびプロファイリングを確立できると同時に、IT の専門知識が限られている工場職員がコンピュータを工場内ネットワークに投入するプロセスも簡素化します。

まとめ産業ゾーン内の CPwE識別サービス：

• 産業ゾーン内でのアクセス制御の管理に不可欠なコンテキストを意識した一括 ID管理機能を提供します。

• 許可を受けたポリシー準拠コンピュータを使用してユーザがネットワークにアクセスしているかどうかを判断し、割当てられたユーザロール、グループ、および関連ポリシーに基づいてアクセス権を与えます。 従業員、ベンダー、パートナ、ジョブロール、場所、デバイスタイプなどの変数を考慮に入れます。

• 認証を与えたユーザに対し、産業ゾーンの特定の部分へのアクセス権を認証結果に基づいて与えます。

IACSネットワークは、テクノロジの共存と IACSの相互運用性に依存します。 同様に、IACSネットワークは安全でなければならず、信頼されていない未知のデバイスが工場内運用を脅かさないようにしなければなりません。 CPwE識別サービスは、産業ゾーン全体に分散している産業用の有線および無線ネットワークに追加された、集中管理可能なネットワークアクセス保護層です。 産業ゾーンに識別サービスを組み込むことによって、工場内運用のための広範なアクセス制御オプションがもたらされます。 CPwE 識別サービスは、アクセスポリシーをリアルタイムに作成して分散させるため、工場作業員や契約業者は、工場内ネットワークにアクセスする場所に関係なく一貫性のあるアクセスを体験できます。

注 このリリースの CPwEアーキテクチャは、ODVA Common Industrial Protocol (CIP)を実装したEtherNet/IPに焦点を合わせています。 『CPwE Design and Implementation Guide (CPwEの設計および導入ガイド )』の「IACS Communication Protocols (IACS通信プロトコル )」の項を参照してください。

Rockwell Automationのサイト：http://literature.rockwellautomation.com/idc/groups/literature/documents/td/enet-td001_-en-p.pdf

Cisco社のサイト：http://www.cisco.com/c/en/us/td/docs/solutions/Verticals/CPwE/CPwE_DIG.html

5Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開

ENET-WP037A-JA-P

Converged Plantwide Ethernet (CPwE)アーキテクチャ内での識別サービスの展開

Cisco社は、人々のつながり、コミュニケーション、連携のあり方を転換させる、ネットワークの世界的リーダです。 Cisco社については、www.cisco.comをご覧ください。 最新ニュースについては、http://newsroom.cisco.comをご覧ください。 欧州への Cisco社の製品の供給は、Cisco Systems, Inc.の完全保有子会社である Cisco

Systems International BVが行なっています。

www.cisco.com

南北アメリカ本社Cisco Systems, Inc.

カリフォルニア州サンノゼ

アジア太平洋地域本社Cisco Systems (USA) Pte. Ltd.

シンガポール

欧州本社Cisco Systems International BV

オランダ、アムステルダム

Cisco社は世界中に 200を超える事業所を展開しています。 所在地、電話番号、Fax番号については、CiscoのWebサイト (www.cisco.com/go/offices)をご覧ください。

CiscoおよびCiscoのロゴマークは、米国ならびに諸外国におけるCisco社および関連会社の商標または登録商標です。 Ciscoの商標については、www.cisco.com/go/trademarks

をご覧ください。 ここに記載するサードパーティの商標は各所有者に帰属します。 「パートナ」という用語の使用は、Cisco社と他社とのパートナ関係を意味するものではありません。 (1110R)

Rockwell Automationは、製品の市場参入の迅速化、総所有コストの削減、設備資産の活用、生産環境におけるリスクの最小化に努めるお客様を支援する電源、制御、および情報ソリューションを提供する大手プロバイダです。

www.rockwellautomation.com

南北アメリカ：Rockwell Automation

1201 South Second Street

Milwaukee, WI 53204-2496 USA

電話：(1) 414.382.2000、Fax：(1) 414.382.4444

アジア太平洋：Rockwell Automation

Level 14, Core F, Cyberport 3

100 Cyberport Road, Hong Kong

電話：(852) 2887 4788、Fax：(852) 2508 1846

欧州 /中東 /アフリカ： Rockwell Automation

NV, Pegasus Park, De Kleetlaan 12a

1831 Diegem, Belgium

電話：(32) 2 663 0600、Fax：(32) 2 663 0640

Allen-Bradley、FactoryTalk、Integrated Architecture、Stratix 8000、Stratix 5700、Stratix 8000、および Studio

5000は、Rockwell Automation, Inc.の商標です。

MicrosoftはMicrosoft Systemsの商標です。 EtherNet/IPは ODVAの商標です。

© 2015 Cisco Systems, Inc. and Rockwell Automation, Inc. All Rights Reserved.

Publication ENET-WP037A-JA-P May 2015