IoT Security – Absicherung von Produktionsanlagen

Unternehmensweiter Neue Mikrosegmentierung für größtmögliche Sicherheit

Ein Unternehmen aus der Fertigungsindustrie im Bereich Automotive will seine Produktionsstraße nachhaltig absichern. Es verwendet dort intelligente Roboter und Fertigungsanlagen, die über TCP/IP kommunizieren. Wunsch ist es, eine größtmögliche Sicherheit innerhalb des Netzwerks zu gewährleisten. Daher stellt der Kunde die Anforderung, die Systeme abzusichern und zu segmentieren sowie vom Office Bereich abzutrennen. Dabei ist eine größtmögliche Kosteneffizienz von zentraler Bedeutung.

Aufgabe

Der Kunde will das Produktionsnetz vom Office Bereich segmentieren. Zusätzlich gibt es für das Unternehmen die Anforderung, verschiedene Produktionsstraßen, die alle in einem Subnetz liegen, voneinander zu trennen. Eine Änderung der IP-Adressen kommt dabei nicht in Frage. Da das Unternehmen weltweit tätig ist, muss die implementierte Lösung skalierbar sein, um sie an allen Produktionsstandorten auszurollen.

Eingesetzte Technik

Die zu implementierende Lösung muss die Fähigkeit besitzen, auf Layer 2 zu segmentieren. Daher wählte Axians eine integrierte Cisco Security Architektur. Dabei kommen die Produkte Cisco Identity Services Engine (Administration), Cisco FirePower NGFW (Firewall) sowie Cisco Catalyst Switche der neuesten Generation zum Einsatz. Den Kunden überzeugten bei dieser Lösung vor allem die Möglichkeiten der nahtlosen Integration und der gesicherte Austausch zwischen den einzelnen Komponenten.

So kommt TrustSec mit Security Group Tagging (SGTs) zum Einsatz, welches innerhalb eines Subnetzes eine Mikrosegmentierung durch-führt. Ein Catalyst 3650X Switch neuster Generation leitet nach den Security-Regeln, die die Identity Services Engine (ISE) vorgibt, die Informationen weiter.

Lösung

Mit der implementierten Lösung wer-den Änderungen der IP-Adressen in der Produktion überflüssig, was dem Kunden Zeit und Geld spart.
Der Betrieb der Infrastruktur erfolgt zukünftig besonders sicher:
Die Segmentierung zum Office Bereich und eine allgemeine Layer 3 Segmentierung übernimmt die Fire-wall Cisco FirePower.
Der Access-Bereich wird über den Authentifizierungs-Standard 802.1x zusammen mit Security Group Tag ACLs der Cisco ISE abgesichert. Das Netzwerk wird dadurch befähigt, selbständig auf Bedrohungen zu reagieren, indem sie beispielsweise einen mit einer Malware infizierten Rechner automatisch vom Netz trennt und in einen Quarantäne-Bereich verschiebt. Damit bietet das System keine Angriffsfläche. Sollte es dennoch dazu kommen, greift die Isolation bzw. Eingrenzung von Endgeräten, die für Angriffe genutzt und/oder mit Malware infiziert sind (Rapid Thread Containment).

Die angewandte Software bietet ein hohes Maß an Transparenz:
Der Administrator kann die Angriffsverläufe nachvollziehen und analysieren, auf welchem Wege Malware Infektionen in das Netz gelangt sind. Außerdem erhält das Unternehmen automatisch ein Reporting über alle Sicherheitsvorfälle, die auftreten.

Mit dieser Lösung bietet Axians den bestmöglichen Lösungsansatz für eine nachhaltige Produktions-Security. Die speziellen Kundenanforderungen werden dadurch auf ideale Weise getroffen und ein granulares System implementiert.