Industrial DMZ Infrastructure - Digital Asset Management
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Industrial DMZ Infrastructure Frei verwendbar | © Siemens 2021
Cybersecurity in OT-Umgebungen
erfordert Automatisierungserfahrung
Operative Herausforderungen
• Zum Schutz vor Cyberangriffen empfiehlt der internationale Security-Standard Kombinierte Expertise in
IEC 62443 eine tief gestaffelte Verteidigung, u.a. mit Netzwerksegmentierung Automatisierung, Digitalisierung
• Im entsprechenden Modell "Zones & Conduits" empfiehlt die Norm IEC 62443, und Security
keine direkte Kommunikation zwischen IT und OT zu ermöglichen
• Die Anforderungen der Operational Technology (OT) unterscheiden sich stark von
denen der Office-IT, z.B. durch lange Asset-Lebenszyklen mit abgekündigten Schlüsselfertiges, umfassendes
Systemen, hohe Systemheterogenität und Anlagenverfügbarkeit als oberstes Ziel Security-Konzept für die
Automatisierungsumgebung
• Die technische Umsetzung von Security-Maßnahmen kann nicht 1:1 übertragen
werden, Erfahrung im Automatisierungsumfeld ist erforderlich
• IT-Mitarbeiter benötigen Unterstützung von Security-Experten mit Digitalisierung der Industrie
Automatisierungserfahrung unter Beibehaltung einer hohen
Verfügbarkeit, Zuverlässigkeit
Digitalisierung ist ohne Security nicht möglich. und Security
Hierbei müssen allerdings die spezifischen Anforderungen
des Automatisierungsumfelds berücksichtigt werden.
Page 2 Frei verwendbar | © Siemens 2021
Cybersecurity „out of the box“ mit Industrial DMZ Infrastructure
Lösung
Industrial DMZ Infrastructure ist ein betriebsfertiges Konzept zur IT/OT-Netzwerksegmentierung mit
integrierten Security-Features. Dank des kombinierten Know-hows der Siemens Experten in den
Bereichen Automatisierung, Digitalisierung und Cybersecurity ist die Lösung für den Einsatz in der
Produktion optimiert und erfüllt höchste Anforderungen an Verfügbarkeit und Security.
Wie funktioniert es?
• Das Konzept basiert auf dem Prinzip der demilitarisierten
Zone (DMZ) mit Front- und Back-Firewalls, um die OT-
Systeme vor unautorisiertem Zugriff zu schützen.
• Hardware, Software and Services für Netzwerksicherheit
und Systemintegrität sind bereits integriert, wodurch das
Defense in Depth-Konzepts bedient wird.
• Die Lösung ist auf der bewährten, hyperkonvergenten
IT-Plattform Industrial Automation DataCenter realisiert,
die High-Performance-Computing ermöglicht.
• Der ganzheitliche Ansatz umfasst die Beratung, die
Konfiguration und die passenden Support-Services
über den gesamten Lebenszyklus.
Page 3 Frei verwendbar | © Siemens 2021
Virtualisierte DMZ mit
State-of-the-Art-Technologie
IT/OT-Netzwerksegmentierung
• Die DMZ (demilitarisierte Zone) mit redundanten Front- und Corporate Network and Internet
Back-Firewalls schützt die OT-Systeme vor unautorisiertem
Zugriff von außerhalb. Industrial DMZ Front Firewall
State-of-the-Art Infrastructure
• Next Generation Firewalls gehen über Protokolle und Port-
DMZ network
Inspektionen klassischer Firewalls hinaus und ermöglichen die Operator /
Datenanalyse auf Anwendungsebene (Layer 7). Virtual DMZ Server n Engineering
Virtualisierte DMZ
• Die in der DMZ verfügbaren Services (z.B. Remote Access,
Back Firewall
File Exchange, Active Directory) werden als virtuelle
Maschinen auf einem separaten leistungsstarken OT Environment
Virtualisierungshost zur Verfügung gestellt.
Terminal
Zero Trust Bus
Server Plant 1 Server Plant n
• Die DMZ selbst ist nach dem Zero-Trust-Konzept aufgebaut,
d.h. die Kommunikation zwischen den virtuellen Maschinen
innerhalb der DMZ wird wirkungsvoll verhindert und erfolgt
lediglich über die Firewalls.
Page 4 Frei verwendbar | © Siemens 2021
Ganzheitliches Security-Konzept von Siemens:
Defense in Depth basierend auf IEC 62443
Sicherheitsrisiken
zwingen zum
Defense in Depth
basierend auf IEC 62443
Handeln
Anlagensicherheit
Netzwerksicherheit
Systemintegrität
Industrial Security Services
Page 5 Frei verwendbar | © Siemens 2021
Defense in Depth: Security-Features und -Services sind bereits integriert Hardware, Software und Services für Netzwerksicherheit und Systemintegrität sind bereits integriert, wodurch zwei der drei Schichten des Defense in Depth-Konzepts bedient werden. Netzwerksicherheit • Next Generation Firewalls • IT/OT-Netzwerksegmentierung • Industrial DMZ (Jump Host, Remote Access, …) Systemintegrität • Computing (Hardening, Authentication, …) • Backup & Disaster Recovery • Log Management • Endpoint Protection • Vulnerability Management • Patch Management Page 6 Frei verwendbar | © Siemens 2021
Implementierung auf der hyperkonvergenten IT-Plattform
Industrial Automation DataCenter
1
Das Industrial Automation DataCenter ist ein individuell konfiguriertes Rechenzentrum, 2
entwickelt für alle IT-Anforderungen in der Produktion. Es beinhaltet alle Kernelemente
eines Rechenzentrums wie High Performance Computing (auch hochverfügbar), 3
IT/OT-Netzwerke, Backup und Disaster Recovery, Prozessdatenarchivierung,
unterbrechungsfreie Stromversorgung und eine Security-Architektur gemäß IEC 62443. 4
Vorkonfigurierte und getestete Hardware und Software-Komponenten
1. Front-Firewalls
5
2. Industrial DMZ
3. Back-Firewalls
4. IT-Netzwerk
6
5. Computing
7
6. Backup & Disaster Recovery
7. Process Historian 8
8. OT-Netzwerk
9. Unterbrechungsfreie Stromversorgung 9
Page 7 Frei verwendbar | © Siemens 2021
Siemens ist Ihr verlässlicher Partner für IT-Infrastruktur in OT-Umgebungen
Wir sind die Wir treiben die Wir verstehen Wir haben Wir bieten
Experten für Digitalisierung Industrial spezifisches State-of-the-Art-
Automatisierung voran Security Branchen- Technologie und
Know-how ganzheitliche
Services aus
einer Hand
Page 8 Frei verwendbar | © Siemens 2021Warum sollten Sie sich für Industrial DMZ Infrastructure entscheiden?
Segmentierung von IT/OT-Netzwerken
gemäß IEC 62443
Defense in Depth mit Security-Features
„out of the box“
Hyperkonvergente IT-Infrastruktur
für High Performance Computing
Page 9 Frei verwendbar | © Siemens 2021Lassen Sie uns wissen, wie wir Sie unterstützen können!
Kontaktieren Sie Ihren
Siemens-Partner vor Ort
Siemens Kontaktdatenbank
Page 10 Frei verwendbar | © Siemens 2021Ausschlusshinweis Änderungen und Fehler vorbehalten. Die Informationen in dieser Broschüre enthalten lediglich allgemeine Beschreibungen bzw. Leistungsmerkmale, die im konkreten Anwendungsfall nicht immer in der beschriebenen Form zutreffen bzw. die sich durch Weiterentwicklung der Produkte ändern können. Die gewünschten Leistungsmerkmale sind nur verbindlich, wenn sie bei Vertragsschluss ausdrücklich vereinbart werden. Alle Produktbezeichnungen, Produktnamen usw. können Marken oder andere Rechte von Siemens, seiner Tochtergesellschaften oder von Dritten enthalten. Deren nicht autorisierte Nutzung kann die Rechte der jeweiligen Eigentümer verletzen. Seite 11 Frei verwendbar | © Siemens 2021
Sicherheitsinformation Siemens bietet Produkte und Lösungen mit Industrial-Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken gewährleisten. Zum Schutz von Anlagen, Systemen, Maschinen und Netzwerken vor Cyberangriffen ist es notwendig, ein ganzheitliches industrielles Sicherheitskonzept nach dem neuesten technologischen Stand zu implementieren und kontinuierlich zu pflegen. Die Produkte und Lösungen von Siemens stellen dabei nur einen Teil dieses Konzepts dar. Es liegt in der Verantwortung der Kunden, den unberechtigten Zugang zu ihren Werken, Anlagen, Maschinen und Netzwerken zu verhindern. Diese Anlagen, Maschinen und Komponenten sollten nur bei Bedarf, nur im erforderlichen Umfang und nur bei Vorhandensein geeigneter Sicherheitsmaßnahmen (z.B. Firewalls und/oder Netzwerk-Segmentierung) an ein Unternehmensnetzwerk oder das Internet angebunden werden. Weitere Informationen zur Umsetzung industrieller Sicherheitsmaßnahmen finden Sie unter https://www.siemens.com/industrialsecurity . Die Produkte und Lösungen von Siemens werden kontinuierlich weiterentwickelt, um ihre Sicherheit zu verbessern. Es wird von Siemens dringend empfohlen, verfügbare Produkt-Updates sofort durchzuführen und nur die aktuellen Produktstände zu verwenden. Die Verwendung von nicht mehr unterstützten Produktständen und die Nichtdurchführung der neuesten Updates können die Gefahr von Cyberangriffen für Kunden erhöhen. Für aktuelle Informationen über Produkt-Updates abonnieren Sie bitte den Siemens Industrial Security RSS Feed unter https://www.siemens.com/industrialsecurity Seite 12 Frei verwendbar | © Siemens 2021
Sie können auch lesen
