身份服務(wù)架構(gòu)概述

　　隨著訪問工業(yè)網(wǎng)絡(luò)的方法不斷增多，管理網(wǎng)絡(luò)訪問的安全性和控制未知風(fēng)險(xiǎn)的復(fù)雜性也不斷提高。由承包商(如原始設(shè)備制造商和系統(tǒng)集成商)對廠內(nèi)訪問的需求不斷增長，全廠范圍的網(wǎng)絡(luò)面臨持續(xù)的安全威脅。

　　工業(yè)自動化和控制系統(tǒng)(IACS)網(wǎng)絡(luò)在默認(rèn)情況下通常是開放的，這有利于各種技術(shù)的共存和與IACS的互操作。 IACS網(wǎng)絡(luò)必須通過配置和結(jié)構(gòu)來保證安全。未知承包商計(jì)算機(jī)(如原始設(shè)備制造商(OEM)和系統(tǒng)集成商(SI))的連接，對全廠網(wǎng)絡(luò)運(yùn)行的安全性提出了挑戰(zhàn)。

　　工廠內(nèi)技術(shù)發(fā)展共存的管理和安全需要不同的方法。一種通過設(shè)備認(rèn)證和授權(quán)的方法能夠安全管理這些計(jì)算機(jī)到IACS網(wǎng)絡(luò)的連接。融合的全廠以太網(wǎng)(CPWE)使用思科的身份服務(wù)引擎(思科ISE)來支持工廠員工和承包商電腦集中管理有線和無線到IACS網(wǎng)絡(luò)的安全連接。思科ISE是一個(gè)集中的安全策略管理平臺，自動地實(shí)施跨分布式工業(yè)區(qū)到網(wǎng)絡(luò)資源的安全訪問。思科ISE強(qiáng)制執(zhí)行基于設(shè)備硬件類型連接到網(wǎng)絡(luò)、計(jì)算機(jī)操作系統(tǒng)和用戶的網(wǎng)絡(luò)安全。

　　CPWE是底層架構(gòu)，為控制和信息部門、設(shè)備和裝置中的現(xiàn)代IACS應(yīng)用提供標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)。思科的ISE與CPWE架構(gòu)一起提供用于網(wǎng)絡(luò)訪問控制安全的一個(gè)附加動態(tài)層，通過識別基于微軟的計(jì)算機(jī)、操作系統(tǒng)和登錄的用戶，對訪問網(wǎng)絡(luò)基礎(chǔ)設(shè)施的計(jì)算機(jī)實(shí)施安全策略。該CPWE架構(gòu)提供設(shè)計(jì)和實(shí)施指南，以實(shí)現(xiàn)IACS的實(shí)時(shí)通信、可靠性、可擴(kuò)展性，安全性和靈活性要求。思科ISE建立在定義的最佳實(shí)踐之上，網(wǎng)絡(luò)架構(gòu)具有集中管理的架構(gòu)模型，這里IT部門負(fù)責(zé)維護(hù)思科的ISE平臺，運(yùn)行在工業(yè)區(qū)內(nèi)。

　　CPWE身份服務(wù)通過思科系統(tǒng)公司和羅克韋爾自動化公司之間的戰(zhàn)略聯(lián)盟推向市場。該CPWE身份服務(wù)的思科驗(yàn)證設(shè)計(jì)(CVD)提供了設(shè)計(jì)和實(shí)施指南，思科身份服務(wù)引擎在工業(yè)區(qū)內(nèi)運(yùn)行。

　　安全訪問控制

　　由于已知和未知計(jì)算機(jī)連接到IACS網(wǎng)絡(luò)的數(shù)量不斷增加，用于管理安全的解決方案和風(fēng)險(xiǎn)緩解的方法已經(jīng)走向成熟。物理安全不再足以防止試圖對IACS網(wǎng)絡(luò)的訪問。隨著承包商計(jì)算機(jī)連接的不斷擴(kuò)展，已經(jīng)制約了全廠的運(yùn)營資源，未能確定和重新調(diào)整的潛在安全威脅會顯著增加全廠網(wǎng)絡(luò)運(yùn)營的風(fēng)險(xiǎn)。 CPWE身份認(rèn)證服務(wù)是保證工廠發(fā)展和提供安全管理的新方法。

　　保護(hù)IACS資產(chǎn)需要集中管理和縱深防御的方法，解決內(nèi)部安全威脅。思科ISE同時(shí)支持有線和無線兩種訪問方式，確保工廠人員和承包商能用不同的方式訪問IACS網(wǎng)絡(luò)。

　　該CPWE工業(yè)網(wǎng)絡(luò)安全框架(圖1)采用了縱深防御的方法，并遵從工業(yè)安全標(biāo)準(zhǔn)，如ISA / IEC-62443(原ISA-99)IACS安保標(biāo)準(zhǔn)和NIST 800-82工業(yè)控制系統(tǒng)(ICS)安保標(biāo)準(zhǔn)。

　　設(shè)計(jì)和實(shí)施一個(gè)全面的IACS訪問安全框架應(yīng)該是一種IACS的自然延伸，而不是一種事后的實(shí)施。工業(yè)網(wǎng)絡(luò)訪問安全框架應(yīng)該對IACS是普遍的和核心的。而且，在現(xiàn)有的IACS上面部署，同樣可以逐步應(yīng)用縱深防御的構(gòu)架，可以提高訪問IACS安全的水平。

　　CPWE縱深防御層(圖1)包括：

　　· 控制系統(tǒng)工程師(棕色高亮顯示) -- IACS設(shè)備的硬化(例如，物理的和電子的)，基礎(chǔ)設(shè)施設(shè)備的硬化(例如，端口安全)，網(wǎng)絡(luò)分段，IACS實(shí)施認(rèn)證、授權(quán)和賬號(AAA);

　　· 控制系統(tǒng)工程師與IT網(wǎng)絡(luò)工程師協(xié)同(藍(lán)色高亮顯示) -- 在IACS實(shí)施基于區(qū)域策略的防火墻、操作系統(tǒng)硬化、網(wǎng)絡(luò)設(shè)備硬化(如訪問控制)、有線和無線局域網(wǎng)訪問策略。

　　· IT安全架構(gòu)師與控制系統(tǒng)工程師協(xié)同(紫色高亮顯示) -- 身份服務(wù)(有線和無線)，活動目錄(AD)，遠(yuǎn)程訪問服務(wù)器，工廠防火墻，工業(yè)隔離區(qū)(IDMZ)設(shè)計(jì)最佳實(shí)踐。

　　圖1 CPWE工業(yè)網(wǎng)絡(luò)安全框架

　　CPWE統(tǒng)一的網(wǎng)絡(luò)訪問策略管理

　　思科身份服務(wù)引擎增強(qiáng)了企業(yè)IT在廠內(nèi)提供高度安全的有線和無線訪問：

　　· 全面集中的策略管理;

　　· 簡化設(shè)備接入;

　　· 動態(tài)強(qiáng)制實(shí)施。

　　一種基于規(guī)則、屬性驅(qū)動的策略模型用來創(chuàng)建訪問控制策略。思科的ISE提供了創(chuàng)建更細(xì)顆粒度策略的能力。屬性也可以在動態(tài)創(chuàng)建并保存，為以后在IACS網(wǎng)絡(luò)中引入新設(shè)備運(yùn)行和管理時(shí)使用。

　　如圖2中顯示，CPWE身份服務(wù)支持多個(gè)外部身份信息庫，包括驗(yàn)證和授權(quán)的活動目錄。全廠范圍的網(wǎng)絡(luò)管理員可以集中配置和管理有線和無線訪問，為員工、訪客、供應(yīng)商和承包商，可從基于Web的GUI控制臺提供驗(yàn)證和授權(quán)服務(wù)。思科ISE為分布式網(wǎng)絡(luò)環(huán)境通過單一管理接口提供了集成的中央管理，簡化了管理。

　　圖2有線和無線的統(tǒng)一身份服務(wù)

　　按照思科ISE的應(yīng)用程序，規(guī)定的策略能在整個(gè)IACS網(wǎng)絡(luò)上實(shí)時(shí)應(yīng)用。通過有線和無線的連接，為用戶提供一致的訪問體驗(yàn)和服務(wù)。思科的ISE允許IT定義角色：如員工和信賴的合作伙伴。這些角色可以配置為允許或限制訪問工業(yè)區(qū)的資產(chǎn)、工業(yè)隔離區(qū)(IDMZ)和企業(yè)區(qū)。Stratix(羅克韋爾自動化的工業(yè)以太網(wǎng)交換機(jī))和思科工業(yè)以太網(wǎng)交換機(jī)(IES)可以與思科的ISE一起工作，實(shí)施和配置安全策略。例如，如果一名員工使用了IACS網(wǎng)絡(luò)上的工業(yè)區(qū)計(jì)算機(jī)，思科ISE會發(fā)送硬件和用戶信息。思科ISE也往Stratix或Cisco IES發(fā)送預(yù)配置網(wǎng)絡(luò)的安全策略，這里由安全策略來限制用戶。另外，思科的ISE安全策略也可直接限制未知設(shè)備的通信。

　　思科的無線訪問ISE服務(wù)，使用思科無線局域網(wǎng)控制器(WLC)，利用微軟基于計(jì)算機(jī)訪問IACS網(wǎng)絡(luò)的授權(quán)和驗(yàn)證技術(shù)。思科ISE允許IT定義一組承包商，并為每個(gè)承包定義一組遠(yuǎn)程驗(yàn)證撥號用戶服務(wù)(RADIUS)的屬性。屬性用于授權(quán)文檔和政策條件。通過思科ISE，IT根據(jù)需要可以創(chuàng)建、編輯和刪除RADIUS承包商的詞典和承包商特定的屬性。

　　與思科的ISE一起使用，規(guī)定的策略能在網(wǎng)絡(luò)上實(shí)時(shí)地執(zhí)行，從有線和無線，讓用戶體驗(yàn)到一致的訪問服務(wù)：

　　· 未知設(shè)備被引導(dǎo)至管理定義的安全終點(diǎn)，在工廠側(cè)運(yùn)行時(shí)不能訪問本地資源。

　　· 授予可信的設(shè)備可以訪問工業(yè)區(qū)內(nèi)的基本平臺。

　　這種設(shè)備感應(yīng)能力內(nèi)置到了羅克韋爾的交換機(jī)Stratix和思科的交換機(jī)IES和思科無線局域網(wǎng)控制器(WLC)中，在入境點(diǎn)集中控制分析網(wǎng)絡(luò)范圍，沒有疊加設(shè)備、單機(jī)設(shè)備或基礎(chǔ)設(shè)施更換的成本和管理。

　　融合的全廠以太網(wǎng)身份服務(wù)

　　在工業(yè)區(qū)內(nèi)的設(shè)備分析是一種基于設(shè)備行規(guī)的服務(wù)，能識別連接到全廠網(wǎng)絡(luò)中的特定設(shè)備或計(jì)算機(jī)。思科的ISE身份服務(wù)能對每臺計(jì)算機(jī)進(jìn)行評估，授權(quán)后允許它們連接到單元和工區(qū)位置內(nèi)的一臺交換機(jī)端口，或在初始化時(shí)連接到工廠的無線網(wǎng)絡(luò)。特定的設(shè)備都有配置在思科ISE內(nèi)的端點(diǎn)分析策略，基于策略評估的結(jié)果，才能對特定計(jì)算機(jī)授予權(quán)限訪問全廠范圍的網(wǎng)絡(luò)，或把不可信計(jì)算機(jī)路由到一個(gè)策略規(guī)定的安全終點(diǎn)。該分析服務(wù)通過使用基于IEEE 802.1X標(biāo)準(zhǔn)的端口認(rèn)證實(shí)現(xiàn)訪問控制，在CPWE架構(gòu)內(nèi)，支持羅克韋爾的交換機(jī)(Stratix)和思科的工業(yè)以太網(wǎng)交換機(jī)(IES)。

　　通過計(jì)算機(jī)分析，思科ISE將確保只有受信任的工廠員工和承包商的計(jì)算機(jī)訪問該工廠范圍的網(wǎng)絡(luò)。根據(jù)用戶的或計(jì)算機(jī)的身份，思科ISE發(fā)送安全訪問規(guī)則到羅克韋爾的交換機(jī)Stratix或思科的交換機(jī) IES中，所以全廠范圍的運(yùn)行保證一致的策略執(zhí)行，無論用戶或計(jì)算機(jī)在什么地方試圖訪問網(wǎng)絡(luò)。

　　CPWE身份服務(wù)實(shí)現(xiàn)了集中在全廠范圍內(nèi)的靈活性，決定如何實(shí)施客戶策略。思科的ISE提供了一個(gè)自助服務(wù)注冊門戶，為工廠員工、供應(yīng)商、合作伙伴和嘉賓進(jìn)行登記和提供新的設(shè)備 --根據(jù)由全廠運(yùn)行定義的業(yè)務(wù)策略 – 自動化。 CPWE身份服務(wù)能使IT部門建立自動化的全廠設(shè)備供應(yīng)和分析，為工廠人員使他們的計(jì)算機(jī)訪問到全廠網(wǎng)絡(luò)，同時(shí)保持過程簡單，較少的IT幫助。

　　總結(jié)

　　在工業(yè)區(qū)里，CPWE身份服務(wù)能夠：

　　· 提供了集中的內(nèi)容感知身份管理，這對工業(yè)區(qū)內(nèi)的訪問控制管理非常重要。

　　· 確定訪問網(wǎng)絡(luò)的用戶是否有授權(quán)，計(jì)算機(jī)是否兼容策略，是否基于用戶、組和相關(guān)策略進(jìn)行了角色分配。如員工、供應(yīng)商、合作伙伴、工作角色、位置和設(shè)備類型等變量都要考慮在內(nèi)。

　　· 根據(jù)驗(yàn)證結(jié)果，授予驗(yàn)證的用戶能夠訪問該工業(yè)區(qū)的特定部分。

　　IACS網(wǎng)絡(luò)要依靠技術(shù)共存和IACS的互操作。同樣的道理，IACS網(wǎng)絡(luò)也必須是安全的，以防止未知和不可信設(shè)備危及全廠的運(yùn)行。 CPWE身份服務(wù)是一個(gè)網(wǎng)絡(luò)訪問保護(hù)的集中管理層，分布在工業(yè)區(qū)的有線和無線工業(yè)網(wǎng)絡(luò)上。身份服務(wù)集成到工業(yè)區(qū)內(nèi)，為全廠運(yùn)行提供了一系列的訪問控制選項(xiàng)。 CPWE身份服務(wù)以實(shí)時(shí)的方式創(chuàng)建和發(fā)布訪問策略，讓工廠員工和承包商可從任何地方體驗(yàn)到訪問全廠網(wǎng)絡(luò)的一致性。

（轉(zhuǎn)載）