3. VDMA-TECHNIK-BENCHMARK SECURITY, 8.11.2007 Konzept SAP und Cisco Dr. Arne Manthey, SAP AG, Walldorf Gerhard Koch, Cisco Systems GmbH, Stuttgart Der rasante Wandel der weltweiten Märkte in der verarbeitenden Industrie erfordert eine flexible, sichere und integrierte Unternehmenssteuerung. Am Beispiel der verarbeitenden Industrie soll aufgezeigt werden, wie die neuen Informationsflüsse Unternehmen effektiver und schneller machen. Echtzeit-Informationen sind die notwendige Grundvoraussetzung dafür. Um das Unternehmenswissen in globalen Märkten zu schützen, sind Sicherheitsaspekte auf den verschiedensten Ebenen zu beachten. Ziel der Beitrags ist, die einzelnen Aspekte am Beispiel eines Produktionsnetzes aufzuzeigen. IP-basierte Produktion und Logistik erfordern in Zukunft neue integrierte Sicherheitskonzepte, um die Geschäftsprozesse zu schützen. Gezeigt wird, wie durch ein ganzheitliches Sicherheitskonzept diese Anforderungen umgesetzt werden können. Dem Anwender wird ein umfassender Rahmen an die Hand gegeben, mit dem er Schritt für Schritt die Sicherheitsaspekte in seinem Unternehmen umsetzen kann. Heutige Grenzen des Konzepts stellt die Verfügbarkeit der IP-Technologie als solche dar. Grundvoraussetzung ist also die konsequente Umsetzung von IP im Unternehmen. Ein sukzessiver Umstieg auf IP-basierte Technologien ist zwingende Voraussetzung, um eine effektive Sicherheitsarchitektur umsetzen können. Anwendungen, die heute noch auf proprietären Kommunikationsverfahren basieren, sollten nach und nach umgestellt werden. Dr. Arne Manthey ist bei der SAP AG Produktmanager für produktionsbegleitende Softwarelösungen (SAP Manufacturing). Zuvor betreute er 7 Jahre lang Chemie- und Pharma-Kunden als Berater für PP-PI. Kurzbiografie: Studium Verfahrenstechnik in Stuttgart und Promotion im Fachgebiet Aerosole an der TU Karlsruhe. Seit 2000 bei SAP beschäftigt. [email protected]Gerhard Koch ist bei der Cisco Systems GmbH verantwortlich für das Erschliessen neuer Geschäftsfelder im Bereich Manaufacturing (High Tech, Automotive und Energy/Utilities). Dies führt unter anderem auch zu Produktneuentwicklungen. Kurzbiografie: Studium Informatik und Betriebswirtschaft. 14 Jahre IT Erfahrung, davon ca. 8 Jahre im Bereich Manufacturing. Seit 1998 bei Cisco beschäftigt, davor 5 Jahre bei Didata als Lead Architect Strategic Accounts. [email protected]
22
Embed
Konzept SAP und Cisco - all-electronics.de · Konzept SAP und Cisco Dr. Arne Manthey, SAP AG, Walldorf Gerhard Koch, Cisco Systems GmbH, Stuttgart Der rasante Wandel der weltweiten
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
3. VDMA-TECHNIK-BENCHMARK SECURITY, 8.11.2007
Konzept SAP und Cisco Dr. Arne Manthey, SAP AG, Walldorf Gerhard Koch, Cisco Systems GmbH, Stuttgart
Der rasante Wandel der weltweiten Märkte in der verarbeitenden Industrie erfordert eine flexible, sichere und integrierte Unternehmenssteuerung. Am Beispiel der verarbeitenden Industrie soll aufgezeigt werden, wie die neuen Informationsflüsse Unternehmen effektiver und schneller machen. Echtzeit-Informationen sind die notwendige Grundvoraussetzung dafür. Um das Unternehmenswissen in globalen Märkten zu schützen, sind Sicherheitsaspekte auf den verschiedensten Ebenen zu beachten. Ziel der Beitrags ist, die einzelnen Aspekte am Beispiel eines Produktionsnetzes aufzuzeigen. IP-basierte Produktion und Logistik erfordern in Zukunft neue integrierte Sicherheitskonzepte, um die Geschäftsprozesse zu schützen. Gezeigt wird, wie durch ein ganzheitliches Sicherheitskonzept diese Anforderungen umgesetzt werden können. Dem Anwender wird ein umfassender Rahmen an die Hand gegeben, mit dem er Schritt für Schritt die Sicherheitsaspekte in seinem Unternehmen umsetzen kann. Heutige Grenzen des Konzepts stellt die Verfügbarkeit der IP-Technologie als solche dar. Grundvoraussetzung ist also die konsequente Umsetzung von IP im Unternehmen. Ein sukzessiver Umstieg auf IP-basierte Technologien ist zwingende Voraussetzung, um eine effektive Sicherheitsarchitektur umsetzen können. Anwendungen, die heute noch auf proprietären Kommunikationsverfahren basieren, sollten nach und nach umgestellt werden. Dr. Arne Manthey ist bei der SAP AG Produktmanager für produktionsbegleitende Softwarelösungen (SAP Manufacturing). Zuvor betreute er 7 Jahre lang Chemie- und Pharma-Kunden als Berater für PP-PI. Kurzbiografie: Studium Verfahrenstechnik in Stuttgart und Promotion im Fachgebiet Aerosole an der TU Karlsruhe. Seit 2000 bei SAP beschäftigt. [email protected] Gerhard Koch ist bei der Cisco Systems GmbH verantwortlich für das Erschliessen neuer Geschäftsfelder im Bereich Manaufacturing (High Tech, Automotive und Energy/Utilities). Dies führt unter anderem auch zu Produktneuentwicklungen. Kurzbiografie: Studium Informatik und Betriebswirtschaft. 14 Jahre IT Erfahrung, davon ca. 8 Jahre im Bereich Manufacturing. Seit 1998 bei Cisco beschäftigt, davor 5 Jahre bei Didata als Lead Architect Strategic Accounts. [email protected]
3. VDMA-TECHNIK-BENCHMARK, KONZEPT SAP UND CISCO 1
Globale Market Trends und Herausforderungen für die verarbeitende Industrie
Von ZuSequentieller
Fertigung
Paralleler
Fertigung
Statischen
Enterprise Systemen
Rekonfigurierbare
Enterprise Systeme
Quelle: Herauforderungen im Jahre 2015 – NRC (National Research Council)
Echtzeit
Informationen
Echtzeit
Wissen
ZielErhöhte
Kosteneffizienz&
Geschäfts-Agilität
&Anpassungs-
fähigkeit
Trend zu immer mehr parallelen Fertigungsreihen. Treiber für diese Entwicklung sind neue aukommende Märkte mit speziellen Anforderungen, personalisierte Produkte , etc.
Weg von Modell: „Development – Produktion – Sales Aftersales“ – Künftig können auch z.BSales/Aftersales Prozesse die Produktion direkt mit beeinflussen
Dies führt in der Folge zur Anforderung, sich von statischen Unternehmensabläufen zu lösen und in dynamisch konfigurierbaren Unternehmensabläufen zu planen
Um diese Dynamik zu erreichen sind Echtzeit Informationen unabdingbar. Jede Information über z.b. Produktion und Logistik Prozesse steht überall zu jeder Zeit an jedem Ort In Echtzeit zur Verfügung.
Alle Geräte vernetzt über IPAlle Geräte vernetzt über IP
Alle “Dienste” virtualisiertAlle “Dienste” virtualisiertKommunikation über IPKommunikation über IP
Alle Geräte über Ethernet angeschlossenAlle Geräte über Ethernet angeschlossen
Globale Technologie Trends in der „verarbeitenden Industrie“
Marktforschungsinstitute wie ARC oder Abiresearch prophezeien in der verarbeitenden Industrie den Einzug von „IP“ sowie Ethernet als Schnittstelle. Eine Standardisierung auf diese zwei Kerntechnologien haben sich im Office Umweld seit Jahren durchgesetzt und wird in Zukunft proprietäre Technologien in Produktionsumgebungen sukzessive ersetzen. Einfluss hat dieses auch auf die Applikationswelt in der sich ein Trend zu CompositeArchitectures und virtualisierten Diensten entwickeln wird.
Cisco/SAP –Sichere und flexible Produktionssteuerung
Um diese Trends zu addressieren, sind Cisco und SAP eine strategische Partnerschaft eingegangen:
SAP hat durch die Aquise der Firma XMII Zugang zu Supply Chain und Produktionsumgebungenn erlangt und konsolisdiert die verschiedensten Datenquellen.Ciscokonzentriert sich auf die Einführung auf IP und die assozierten Technologien wie Security, Voice over IP, Video Überwachung im Produktionsumfeld. An der Schnittstelle wird mit Hilfe des SONA/XMII Frameworks eine Schnittstelle zwischen beiden Welten geschaffen, um in Realtime Informationen aus der IP Welt in die Prozesswelt zur Verfügung zu stellen. Damit kann flexibler in den Prozessen reagiert werden. Flexibilität bedeutet aber auch dass in Zukunft die Grenzen zwischen den Systemen verwischen (MES Systeme werden in Zukunktdirekt gekoppelt sein mit ERP Systemen. IP basierte Produktion in Kontakt stehen mit MES.
Sozusagen horizontal darüber kommt der Cisco Security Ansatz zum Tragen, der sensible Daten und Systeme schützen sollen.
Um eine ganzheitliche Sicherheit im Produktionsumfeld zu definieren sind drei wesentlicheAspekte zu berücksichtigen:
Thread Defense: Das Abwehren von Bedrohungen von aussen und innen (Internet/Intranet)
Trust & Identity: Die Zugangs- und Zugriffskontrolle von Menschen und Maschinen auf automatisierte Abläufe
sowie eine sichere Kommunikation zu Produktionssystemen und deren einfachesManagement. Wichtig ist dabei Security als Service zu verstehen, was bedeutet, dass Einzel-Technologien wie IDS; FW und andere zu Security Lösungen zusammengefasst werden. Dadurch wird die Anwendbarkeit von Security allgemein erhöht.
Zugangsberechtigung für einenBenutzer oder Gerät (Authentication, Authorization & Accounting)
“Trust & Identity”
Port security, End-point protection, Layer 2 & 3 protection
Schützen der “core network infrastructure” vor unberechtigtemZugriff oder Attacken
Schutz für “Network Core”
MechanismusBeschreibungSecurity Service
Ganzheitliche „Security Services“
Ganzheitliche Sicherheit in Industrienetzwerken
Um die verschiedenen Arten von Security Services zu definieren stehen eine Vielzahl von Security Funktionen zur Verfügung. Diese richten sich in der Regel nach dem OSI 7 Schichtenmodell aus. So reichen diese von einfachen Security Funktionen wie z.B Port Security oder ACL (Access Listen) bis Layer 7 Funktionen wie z.B Endpunkt Security(Monitoren von Systemaufrufen ausgelöst durch Anwendungen ). Der jeweilige SecurityService muss individuell an die verschiedenen Unternehmensanforderungen angepasst werden. Als Muss-Funktionen sind anzusehen Trust&Identity Service, Tread Detection und Secure Communication/Management .
ISA SP-99: Security for Industrial Automation and Control Systems– Part 1: Terminology, Concepts, and Models– Part 2: Establishing an Industrial Automation and Control Systems Security
Program– Part 3: Operating an Industrial Automation and Control Systems Security
Program– Part 4: Specific Security Requirements for Industrial Automation and Control
Systems
ISA SP-100: Wireless Systems for AutomationISA SP-95: Enterprise Controls Systems IntegrationIEEE 1588: Precision Time ProtocolOPC – Ole for Process Control – Application standards for Automation devices and systemsNISTIAONA
Standards – Industrie Automation
Gängige Industrie Standards im Bereich Sicherheit
Basierend auf Industriestandards wird die (Security) Architektur für Industrienetze vorgenommen. Wichtigster Standard in diesem Umfeld ist der ISA SP99, der Manufacturingund Control System Security regelt.
Im Referenzmodell SP99 ist folgende Einteilung wichtig:
Die Einteilung in sogenannte Security Zones
Die Enterprise Security Zone, welche dem Übergang in eine klassische DMZ entspricht. Manufacturing Zone, welche mit dem Operations Control gleich zu setzen ist. Innerhalb dieser werden sogenannte Areas oder Cluster unterschieden. Cluster sind Ansammlungen von Produktionszellen. Abgestuft nach diesen Bereichen werden je nach Anforderung bestimmte Security Services implementiert. SP99 gibt also eine logische Struktur zur Implementierung vor.
Ein erster grundsätzlicher Schritt um Unternehmensnetz (Enterprise) von Produktionsbereich (Manufacturing Zone) zu trennen stellt das Konzept der DMZ (Demiliterialized Zone). In diesem Bereich ist in der Regel der Security Service Tread Detection/Mitigation angesiedelt. Security Funktionen wie Firewalling, Intrusion Prevention, Accesslisten sind hier zu finden. Einordung in das SP99 Modell entspricht der Trennung zwischen Level 3 und 4.
Basierend auf SP99 und der darauf aufbauenden Cisco Security Architektur sind folgende Schritte sinnvoll. Einführen einer Basis Security bestehend aus Port Security und Isolation von bestimmten Ethernet Bereichen. Kontrollrechner die am selben Ethernet sollen sich nicht sehen oder sich gegenseitig stören (Isolation durch VLAN‘s). Weiter stellt Port Securityinnerhalb des VLAN‘s sicher, dass nur bestimmte MAC Addressen an einem Ethernet Port präsent sein duerfen. Weiter könnte in einem dritten Schritt mit End-Punkt Security der Kontrollrechner sichergestellt werden, dass nur „gewünschte Applikationen“ in der korrekten Weise auf den Kontrollrechnern arbeiten. Konkret werden die Systemaufrufe zum KernelBetriebssystem auf Anomalien untersucht.
Um ein einfaches Security und Netzmanagement zu gewährleisten können sogenannte Sniffermodule benutzt werden, welche die aktuellen Kommunikationsbeziehungen im Netz monitoren kann sowie ein Art Provisioning des Netzes bewerkstelligen. Dies ist wichtig bei Umbauten des Netzes, so dass wichtige Kommunikationsbeziehungen nicht versehentlich unterbrochen werden.
Level 2 Security - Einrichtung Guest VLAN‘s (802.1x)mit automatisierten Rechten vom Secure Policy Server
Anwendung auf die Aufgabenstellung
Security Management ist notwenig um definierte Policies ( wer darf was und in welchem Bereich ) automatisiert auf der Infrastruktur (FW, IDS, Router, Switch, ..) umzusetzen. Einfaches Beispiel könnte die Einrichtung von Guest-VLAN‘s sein um Fremdfirmen definiert und automatisiert und kontrolliert Zugang vom Netz zu geben (Policy für Guest-Access)
Dritter und letzter Schritt (wobei die Reihenfolge so nicht eingehalten werden muss) ist die Trennung des Produktionsnetz vom Unternehmensnetz. Well known Konzept einer DMZ. Funktionen sind Tread Defense und Mitigation (Funktionen: Identification/Authorization, Firewalling, Intrusion Prevention nicht Detection, Alarming)
Für den sicheren Zugriff bzw. Kommunikation bieten sich Funktionen wie SSH für das Geräte Management an. VPN Access ist für den Zugriff auf Applikationen geeignet und weitgehend Standord unabhängig, so dass Administration and Applikations Management remotedurchgeführt werden können.