Construyendo arquitectura de referencia para Wonderware System Platform según la norma IEC 62443

En este post veremos dónde encajan los diferentes aplicativos de Wonderware-Sytem Platform dentro de los niveles de la IEC62443 para construir una arquitectura de referencia.

Becolve Digital
iSIDNetwork monitoring and analysis
Portada del blog

En el post anterior en nuestra web de Ciberseguridad Industrial veíamos los conceptos básicos que se definen en la IEC 62443 y que nos servirá para construir arquitecturas de red interconectadas, ordenadas, jerarquizadas y de protección más fácil.

En este post veremos dónde encajan los diferentes aplicativos de Wonderware-Sytem Platform dentro de los niveles de la IEC62443 para construir una arquitectura de referencia.

Componentes principales de Wonderware System Platform

Una de las principales ventajas de System Platform es su escalabilidad: permite crear diferentes arquitecturas para amoldarse a las necesidades o tamaños de las infraestructuras que pretende supervisar y controlar. Su alto grado de adaptabilidad es, en gran medida, debido a que System Platform está formado por un conjunto de piezas de software, interrelacionadas entre ellas, que pueden ser instaladas, o no, en uno o varios equipos.

De forma genérica, es habitual utilizar los siguientes roles de System Platform:

Sobre la plataforma ArchestrA de Wonderware System Platform pueden instalarse otras piezas de software para convertir la información de proceso en información útil para la toma de decisiones y explotar al máximo los datos de proceso (Wonderware Intelligence, Wonderware MES, Wonderware InBatch, Wonderware Recipe Manager Plus y un largo etcétera).

Desde el punto de vista arquitectónico, todas estas piezas de software están compuestas por:

  • Bases de datos.
  • Ejecutables, librerías de código, etc. Software que manipula esos datos.
  • Portal web para la integración con clientes de varios tipos.
  • Informes.

Identificando zonas de seguridad de la IEC 62443

Como hemos visto, Wonderware System Platform esta compuesto de diferentes piezas de software que se instalan para adaptarse al entorno que requiere ser supervisado. Estas “piezas” tienen fines o roles distintos por lo que tiene sentido que estén en Zonas de la IEC62443 diferentes y así adaptarse a sus requisitos de seguridad particulares:

  • Zona de Infraestructura: Zona para los servidores generales necesarios para el funcionamento del conjunto de la plataforma. No tienen porqué ser servidores de Wonderware, por ejemplo, servidores de gestión unificada de usuarios, servidor de tiempo, servidor de logs, servidor servicios de escritorio remoto, etc.
  • Zona de Desarrollo/Preproducción: Zona donde se desarrolla y/o prueban los cambios realizados antes de ponerlos en producción. En esta zona estarían los equipos con el IDE y GR del entorno de Wonderware, además de otros aplicativos que estén vinculados con el desarrollo. La existencia de esta zona permite controlar que solamente los desarrolladores puedan acceder a estos servicios.
  • Zona de Servidores compartidos Wonderware: Zona donde estarían los diferentes servidores Wonderware con roles de necesarios para el funcionamiento de la plataforma de tiempo real pero donde no hay prácticamente interacción humana: Historian, AOS, servidor de aplicaciones Intouch, Intelligence, etc.
  • Zona de Supervisión: Zona donde se ubicarían los equipos de supervisión como pueden ser equipos que se conecten a servidores de aplicaciones o equipos con Intouch instalado. Como estos equipos serán manipulados por humanos, es lógico pensar que sus requisitos de seguridad son diferentes al resto de equipos y por ello se ubican en una zona diferenciada.
  • Zonas de celda de producción: Zonas donde se encuentran las diferentes zonas de proceso y donde pueden instalarse equipos con el rol de AOS para la recogida de datos  con una mínima latencia.
  • Zona de Acceso remoto: Zona destinada a hospedar los activos destinados exponer servicios industriales a aquellos clientes que requieran visualizar datos de proceso SIN que éstos puedan conectarse a las redes industriales (p.e. Intouch Access Anywhere Secure Gateway, RDS Gateway, Historian T2, Servidor de pacheado Windows, Servidor Antimalware, …).

Identificando los niveles del modelo de referencia IEC 62443

De forma análoga al punto anterior, podemos clasificar los roles de Wonderware System Platform en los diferentes niveles especificados en la IEC62443:

Arquitectura de Referencia de Wonderware System Platform

Juntando las clasificaciones de los componentes de Wonderware-SP en niveles y zonas de la IEC 62443, podemos representar la arquitectura de referencia de la siguiente manera:

Seguiremos descubriendo más aspectos sobre la norma IEC 62443 en el siguiente post.

Mientras tanto puedes consultar nuestro whitepaper de Buenas Prácticas de Ciberseguridad Industrial.

Accede al whitepaper

 

 

iSIDNetwork monitoring and analysis

Artículos relacionados