Servicios de diseño de arquitecturas de redes industriales seguras

Proporcionamos una serie de servicios específicos que para desplegar arquitecturas de red seguras

Home » Servicios » Servicios de diseño de arquitecturas de redes industriales seguras

Cada vez más, los procesos industriales requieren de comunicaciones para el correcto desempeño de su función. Estas comunicaciones se sustentan en sus respectivas redes industriales, por lo que éstas, cada vez más, toman relevancia y criticidad.

Uno de los principales objetivos de la ciberseguridad industrial es el de mantener la continuidad y disponibilidad de los sistemas, por tanto, uno de los focos principales es el de implementar una arquitectura de red segura y robusta.

¿Qué es una arquitectura de red segura?

A nuestro entender, una arquitectura de red segura es aquella que cumple con los principios de alta disponibilidad, tolerancia a fallos, con un grado alto de escalabilidad y con una segmentación adecuada que minimicen las vulnerabilidades y el factor de exposición de los equipos, procesos y sistemas del entorno de operaciones. Además de un control de acceso adecuado que permita controlar qué entra y qué sale de nuestras redes.

Alta disponibilidad de la red

El término de “alta disponibilidad de la red” hace referencia a la capacidad de que las comunicaciones no se vean interrumpidas en caso de que un elemento físico de la infraestructura (electrónica de red o un enlace) deje de funcionar correctamente o, simplemente, se estropee.

Para lograr un grado elevado de alta disponibilidad, Logitek ofrece electrónica de red industrial altamente configurable, con capacidades de control de seguridad de acceso y medidas de redundancia a nivel 2 (nivel de switching) y de nivel 3 (nivel de routing)

Escalabilidad de red

El término de “escalabilidad de red” hace referencia a la capacidad de que la red pueda crecer sin que se vea afectado su rendimiento.

A modo de ejemplo, una práctica habitual de las redes industriales es ir encadenando switches a medida que se van necesitando más puntos de red. Aunque es una práctica fácil y que suele funcionar, puede ocasionar que el incremento desmesurado de la profundidad de red haga imposible cumplir con los requisitos de latencia obligatorios para ciertos protocolos de comunicación en tiempo real (p.e. Profinet).

Desde Logitek, tenemos en consideración los diferentes factores y requisitos de comunicación para diseñar arquitecturas escalables y modulares.

Segmentación

El término de “segmentación de red” hace referencia a la división de un dominio de broadcast (o red de nivel 2 -switching-) que puede ser demasiado grande en dos o más dominios separados interconectados con dispositivos de nivel 3 -routing-, o dicho de otra manera, es la práctica de dividir una red en subredes.

Los objetivos de la segmentación de redes son:

Incrementar la seguridad reduciendo la superficie de ataque y dificultando los movimientos laterales.
Mejora del rendimiento de la propia red ya que el tráfico broadcast/multicast quedará contenido dentro de cada una de las subredes.
Contención de los problemas de red y evitar que una falla de una subred pueda afectar a otra subred.
Controlar el acceso a cada una de las subredes, lo cual aumenta la granularidad de quién puede acceder a qué.

Como se ha comentado anteriormente, Logitek dispone de una amplia gama de electrónica de red industrial altamente configurable, con capacidades para la correcta segmentación de la red industrial, como por ejemplo diodos de datos con certificado EAL7+, routers y Firewalls industriales.

Acceso remoto seguro red OT

El acceso remoto a la red OT se define como la capacidad o funcionalidad que se ofrece a los agentes de una organización (internos y externos-ingenierías, integradores, contratas) para acceder a dispositivos de campo, recursos de cómputo, información y/o operación no públicos (privados) que se encuentran en una red dedicada, protegida y segmentada (OT), desde un dispositivo que no se encuentra ubicado en dicha red. En este caso, se considera remoto el acceso desde la red IT a la red OT, el acceso desde una WAN a la red OT, así como el acceso desde Internet a la red OT.

Nuestras soluciones tienen en consideración que:

La posibilidad de acceder de forma remota segura, no puede degradar el rendimiento del sistema de gestión en tiempo real.
La gestión en tiempo real requiere de inmediatez en muchas ocasiones, obviando procedimientos de acceso seguro.
Los entornos industriales dificultan la autenticación de usuarios para un acceso remoto seguro (suciedad, sonidos…).
El ciclo de vida de los dispositivos de control no facilita el acceso remoto seguro.

Control de acceso

El término de “control de acceso a una red industrial” hace referencia a la capacidad de poder decidir que flujos de comunicaciones pueden entrar o salir de una red o subred.

Para ello hace falta instalar dispositivos con estas capacidades, normalmente Firewalls, para la protección perimetral de cada una de las subredes industriales.

Logitek puede ofrecerte Firewalls específicos a los diferentes perímetros que necesites proteger:

Firewalls de nueva generación con mecanismos para la detección y bloqueo de tráfico malicioso, control de aplicaciones, accesos remotos basados por VPN IPSec con doble factor de autenticación, control de navegación web, etc.
Firewalls industriales diseñados específicamente para entornos con condiciones ambientales adversas, despliegue no intrusivo y con DPI.
Firewalls DPI para ModBus-TCP y OPC para la protección de aquellos equipos más críticos.
Diodos de Datos para garantizar la unidireccionalidad de los flujos de comunicación y evitar así los accesos remotos no deseados. Nuestros diodos de datos tienen las certificaciones Common Criteria EAL7+, EAL4+, NATO Secret, NL-NCSA Secret, BSI Secret y es conforme a NERC-CIP.