Construindo arquitetura de referência para Wonderware System Platform segundo a norma IEC 62443
Neste artigo, veremos onde se encaixam as diferentes aplicações do Wonderware-System Platform dentro dos níveis da IEC62443 para construir uma arquitetura de referência.
No artigo anterior no nosso site de Cibersegurança Industrial, vimos os conceitos básicos definidos na IEC 62443 e que nos servirão para construir arquiteturas de rede interconectadas, ordenadas, hierarquizadas e de proteção mais fácil.
Neste artigo, veremos onde se encaixam as diferentes aplicações do Wonderware-System Platform dentro dos níveis da IEC62443 para construir uma arquitetura de referência.
Componentes principais do Wonderware System Platform
Uma das principais vantagens do System Platform é a sua escalabilidade: permite criar diferentes arquiteturas para se adaptar às necessidades ou tamanhos das infraestruturas que pretende supervisionar e controlar. O seu elevado grau de adaptabilidade deve-se, em grande medida, ao facto de o System Platform ser formado por um conjunto de peças de software, interrelacionadas entre elas, que podem ser instaladas, ou não, num ou em vários equipamentos.
De forma genérica, é habitual utilizar os seguintes papéis do System Platform:
Sobre a plataforma ArchestrA do Wonderware System Platform, podem ser instaladas outras peças de software para converter a informação de processo em informação útil para a tomada de decisões e explorar ao máximo os dados de processo (Wonderware Intelligence, AEMES, Wonderware InBatch, Wonderware Recipe Manager Plus e um longo etcétera).
Do ponto de vista arquitetónico, todas estas peças de software são compostas por:
- Bases de dados.
- Executáveis, bibliotecas de código, etc. Software que manipula esses dados.
- Portal web para a integração com clientes de vários tipos.
- Relatórios.
Identificando zonas de segurança da IEC 62443
Como vimos, o Wonderware System Platform é composto por diferentes peças de software que são instaladas para se adaptarem ao ambiente que requer ser supervisionado. Estas “peças” têm fins ou papéis distintos, pelo que faz sentido que estejam em Zonas da IEC62443 diferentes e, assim, se adaptarem aos seus requisitos de segurança particulares:
- Zona de Infraestrutura: Zona para os servidores gerais necessários para o funcionamento do conjunto da plataforma. Não têm de ser servidores da Wonderware, por exemplo, servidores de gestão unificada de utilizadores, servidor de tempo, servidor de logs, servidor de serviços de ambiente de trabalho remoto, etc.
- Zona de Desenvolvimento/Pré-produção: Zona onde se desenvolve e/ou testam as alterações realizadas antes de as colocar em produção. Nesta zona, estariam os equipamentos com o IDE e GR do ambiente da Wonderware, além de outras aplicações que estejam vinculadas com o desenvolvimento. A existência desta zona permite controlar que apenas os desenvolvedores possam aceder a estes serviços.
- Zona de Servidores partilhados Wonderware: Zona onde estariam os diferentes servidores Wonderware com papéis necessários para o funcionamento da plataforma de tempo real, mas onde não há praticamente interação humana: Historian, AOS, servidor de aplicações Intouch, Intelligence, etc.
- Zona de Supervisão: Zona onde se localizariam os equipamentos de supervisão, como podem ser equipamentos que se conectem a servidores de aplicações ou equipamentos com o Intouch instalado. Como estes equipamentos serão manipulados por humanos, é lógico pensar que os seus requisitos de segurança são diferentes do resto dos equipamentos e, por isso, se localizam numa zona diferenciada.
- Zonas de célula de produção: Zonas onde se encontram as diferentes zonas de processo e onde podem ser instalados equipamentos com o papel de AOS para a recolha de dados com uma latência mínima.
- Zona de Acesso remoto: Zona destinada a hospedar os ativos destinados a expor serviços industriais àqueles clientes que requeiram visualizar dados de processo SEM que estes possam conectar-se às redes industriais (p.e. Intouch Access Anywhere Secure Gateway, RDS Gateway, Historian T2, Servidor de pacheado Windows, Servidor Antimalware, …).
Identificando os níveis do modelo de referência IEC 62443
De forma análoga ao ponto anterior, podemos classificar os papéis do AVEA System Platform nos diferentes níveis especificados na IEC62443:
Arquitetura de Referência do AVEVA System Platform
Juntando as classificações dos componentes do AVEA-SP em níveis e zonas da IEC 62443, podemos representar a arquitetura de referência da seguinte maneira:
