Security with Passion www.endian.com
Endian 4i Switchboard CONNESSIONE SICURA AI SISTEMI SCADA
2
Security with Passion www.endian.com
Sommario dei Contenuti Una soluzione a 360° per la sicurezza Industriale
5
La sfida 5 La soluzione 5 La linea 4i al completa 5
La sfida: Raggiungere efficacemente i sistemi SCADA
6
La soluzione: Endian 4i e VPN Switchboard
7
VPN Switchboard Key Features 8 Action Links 8 Interoperabile 8 Development Access (API) 8 USB Provisioning 9 Referenze 9 Subnet Mapping 9
4i Edge Industrial Firewalls 10 Feature Highlights 10 Endian 4i Edge 500 La soluzione industriale più innovativa
10
Endian 4i Edge 300 La soluzione industriale applicabile su barra DIN
11
Endian 4i Edge 200 La potente soluzione industriale desktop
11
Success Story: Instrumentation Laboratory (IL)
13
About Endian 15
3
4
Mobile Access:
Accesso remoto sicuro:
Machine to Machine (M2M):
accesso mobile supportato da qual-
accesso sicuro garantito al
collegamento tra impianti industriali
siasi dispositivo iOS e Android
personale autorizzato
e delle macchine alla rete IT
Security with Passion www.endian.com
Una soluzione a 360° per la sicurezza Industriale La sfida La rete industriale sta vivendo un passaggio molto rapido a sistema aperto e interconnesso. Tecnici e manutentori hanno la necessità di monitorare il funzionamento delle macchine e di intervenire su di esse da remoto. Aggiornare le procedure tenendo conto di questa realtà apre delicate questioni relative alla sicurezza, come l’esposizione di sistemi cruciali e vulnerabili a minacce e sabotaggi.
La soluzione La soluzione è un sistema che salvaguardi l’integrità degli impianti, allertando il personale in caso di necessità, e che assicuri l’accesso solo agli utenti autorizzati, bloccando e segnalando i tentativi di intrusione. Occorre un prodotto che renda criptata e sicura la comunicazione tra le macchine e che filtri il traffico nocivo. La somma di tutte queste funzionalità deve risultare in una gestione assolutamente semplice, come l’enorme proliferazione di questi apparati richiede.
Perché Endian
La serie Endian 4i, in versione desktop e su barra DIN, fornisce alla rete industriale tutte le funzionalità di cui ha bisogno, tra cui firewalling, routing, Virtual Private Network (VPN) e Intrusion Prevention System (IPS), garantendo potenza, stabilità e facilità di impiego anche a temperature critiche. La sicurezza dell’accesso remoto è garantita anche via mobile da dispositivi iOS e Android senza la necessità di installare applicazioni di terzi. La gestione degli apparati è resa semplice da un pannello di controllo che funge da concentratore VPN e autorizza l’accesso a singoli utenti o gruppi che possono raggiungere tutti gli appliance loro assegnati.
La linea 4i al completa Endian VPN Switchboard: Soluzione VPN centralizzata Web interface for remote access Rule & Role-based permissions VPN connection Provide access from mobile devices Can be hosted in the cloud Access to any endpoint in production network Prevent and signal unauthorized access Encrypt communication Provide no IPs collision Provisioning via USB key
VPN Switchboard 3 3 3 3 3 3 3 3 3 3
Endian 4i Edge Series Devices: SCADA Access & Security Firewall Routing Bandwith management IPS
4i edge series 3 3 3 3
5
La sfida
Raggiungere efficacemente i sistemi SCADA Una prima necessità che riguarda i sistemi SCADA è quella di poterli raggiungere in sicurezza e da remoto. Gli utenti che ne hanno facoltà devono potersi collegarsi in modalità protetta per monitorare e intervenire sulle macchine, in qualsiasi parte del mondo essi si trovino. In base ai propri compiti, ogni singolo utente o gruppo deve poter accedere alle macchine o ai settori di cui è responsabile, ma non a tutti gli altri.
E’ possibile dare due risposte differenti a queste necessità: 1 aprire manualmente l’accesso a internet per ogni device, affrontando seri problemi di vulnerabilità, 2 oppure utilizzare
prodotti per realizzare Virtual Private Network (VPN) che dovranno però essere gestite singolarmente, aumentando notevolmente il carico di lavoro per gli amministratori di rete.
1
aprire manualmente l’accesso a internet per ogni device Location B (SCADA)
User 1 Open Port 80 Internet Firewall User 2 Centralized Management Secure, Controlled Access
2
oppure utilizzare prodotti per realizzare VPN Location B (SCADA)
Location A (SCADA)
Internet VPN Device
VPN Device
Centralized Management Simple Administrative Overhead
6
Security with Passion www.endian.com
La soluzione
Endian 4i e VPN Switchboard Generalmente si distinguono tre segmenti di utenti che necessitano dell’acceso alla rete: amministratori IT, tecnici dei sistemi SCADA e vendor. Fino ad oggi tutti e tre i gruppi non hanno avuto limitazioni nei permessi. Il VPN Switchboard consente invece di impostare policy di accesso differenziate in base a utenti e gruppi, accrescendo notevolmente il livello di protezione della rete e della comunicazione tramite VPN.
Connessione sicura ai device SCADA:
Dallas
Detroit
Switchboard
New York Vendor Access SCADA Monitoring & Support IT Admins
Key Features
Vantaggi per gli amministratori di rete
Central User Management
• Dare accesso a molti utenti secondo regole differenti
Determina quali utenti o gruppi possono
• Bloccare rapidamente l’accesso divenuto indesiderato (al termine del
accedere ad ogni network e definisce quali azioni possono compiere una volta connessi
rapporto di lavoro ad esempio) • Impedire tentativi di intrusione su macchinari importanti • Avere un rapporto dettagliato sugli accessi (regole di compliance) • Assicurare agli utenti acceso semplice agli endpoint protetti (HMI, PLC, ecc)
Configurazione veloce dei device
• Gestire location multiple diffuse sul territorio
Avendo siti di produzione e sedi distaccate
• Rispettare tempi ristretti per il deployment della soluzione
eseguire il deployment di molti sistemi edge
• Considerare una possibile espansione della rete
può essere complicato. Con il tool di provisi-
• Superare la mancanza di skill tecnici del personale delle sedi distaccate
oning tramite chiave USB la configurazione
• Avere un rapido back up delle configurazioni in caso di bisogno
risulta invece semplice e immediata Risolvere conflitti nella rete
• Evitare onerosi progetti di rimappatura delle reti
Quando a più network sono assegnate le stesse • Non sovraccaricare il reparto IT sottoreti possono nascere problemi di routing
• Eliminare la necessità di installare hardware addizionale nelle sedi remote
- Endian VPN Switchboard rimappa automati-
• Permettere la gestione centralizzata delle connessioni VPN
camente la rete e risolve il problema 7
VPN Switchboard Key Features Action Links
Choose an action... Remote Desktop Launch App2
HMI 1
Tecnici SCADA e vendor hanno necessità di con-
HMI 1
nettersi da remoto a HMI o PLC. Fino ad oggi, accedere a questi dispositivi ha richiesto una serie interminabile di operazioni. Tramite il VPN
Internet
Switchboard è possibile creare dei Quick Action Links legati al singolo utente, per permettergli di
Switchboard
Internet
Remote User 4i Client
accedere alla macchina prescelta con un singolo click.
VPN
VPN
HMI 1
Development Access (API)
VPN IT Support
Sappiamo che nella tua rete potrebbe già essere presente una infrastruttura di supporto. E accedere separatamente a due sistemi può creare gravi problemi di gestione.
Switchboard
VPN SCADA Support
Intranet
Per questa ragione abbiamo reso disponibile un’ API customizzabile che permette l’integrazione del VPN Switchboard nella soluzione di management preesistente (intranet, portali di supporto ecc.)
VPN Vendor Support
Interoperabile
Switchboard
Nessun problema nel caso in cui ci siano già degli endpoint in campo. Con il VPN Switchboard è infatti possibile gestire qualsiasi device che
Internet
Internet
Internet
utilizzi la tecnologia Open VPN (SSL). L’ integrazione di sistemi eterogenei permessa dal VPN Switchboard consente la massiccia riduzione di costi e tempi dell’implementazione.
8
VPN
VPN
VPN
Security with Passion www.endian.com
Subnet Mapping
Switchboard
Internet
Una delle sfide più difficili per le reti SCADA
Internet
è l’implementazione di un sistema di manage-
Internet VPN
ment centralizzato delle VPN che non richieda
VPN
continui interventi. La difficoltà è data dal fat-
VPN
to che le sedi distaccate condividono spesso la stessa sotto rete. Il VPN Switchboard è l’unica soluzione che risolve in maniera semplice questo problema, attraverso la rimappatura automatica Subnet A
Subnet A
della rete.
Subnet A
USB Provisioning
Internet
Switchboard
Nell’eventualità di sedi distribuite sul territorio, un disagio comune per il reparto IT aziendale è quello di dover affrontare costose trasferte per installare le macchine e mettere a punto le solu-
VPN USB
zioni. Grazie al nostro sistema di provisioning i
Internet
VPN
dispositivi possono essere facilmente preconfigurati tramite chiavetta USB e inviati già pronti nei loro luoghi di pertinenza. HMI Servers
Remote User 4i Client
Referenze
9
4i Edge Industrial Firewalls Endian 4i Edge 515 La soluzione industriale più resistente 59 mm
4i Edge 505 è l‘appliance più robusta della nuova serie. Con un hardware adatto a condizioni critiche e temperature estreme, la soluzione assicura un collegamento VPN ancora più stabile e scalabile tra sede
167 mm
centrale e aree periferiche.
DIN Rail/Wall Mount
Wide Temperature:
Mobile
Supporto predisposto
-20°C -- 70°C
3G Module
Highlights:
Ideale per:
• temperatura da -20 a +70°C
• ingegneria meccanica
• accesso VPN semplice e sicuro
• produzione
• 3G Module (optional)
• infrastrutture
• Dual Power Input 24V DC
• assistenza medica • comunicazioni
Performance
140 mm
Firewall Throughput:
120 Mbps
VPN Throughput:
30 Mbps
IPS Throughput
20 Mbps
Feature Highlights
Firewall 10
VPN (SSL & IPsec)
IPS
3G/4G Modem Support
Security with Passion www.endian.com
Endian 4i Edge 313 La soluzione industriale su barra DIN
Endian 4i Edge 200 La potente soluzione industriale desktop
L‘appliance ideale per garantire protezione alla rete indus-
The 4i Edge 200 appliance is built to provide the most po-
triale e lo scambio sicuro di dati. Funzionalità di Serial over IP
werful desktop industrial solution on the market. This product
e Digital Input/Output incluse.
works great as a branch office VPN solution or as an end-
167 mm
point secure router in temperature controlled environments.
Highlights:
• temperatura da 0 a +60°C
• accesso VPN semplice e sicuro
• accesso VPN semplice e sicuro
• supporto modem USB 3G/4G
• 3G Module (optional)
• 5 Gigabit Ethernet Ports
• Dual Power Input 24V DC
• Low Power (< 5W)
Ideale per:
Ideale per:
• ingegneria meccanica
• infrastrutture
• produzione
• settore medico - sanitario
• infrastrutture
• comunicazioni
59 mm
37 mm
175 mm
140 mm
Highlights:
Edge 200
175 mm 140 mm
Disaster Recovery
Centralized Management
Easy Drop In
Reporting 11
12
Security with Passion www.endian.com
Use Case: Instrumentation Laboratory (IL) L’azienda: Instrumentation Laboratory (IL) è una società spagnola che fa parte del Werfen Group. L’intero gruppo ha sedi rappresentative in tutti i mercati del mondo, conta oltre 4000 dipendenti. Per un fatturato che supera il miliardo di dollari. Il core business di IL è la produzione e la distribuzione di sistemi per analisi cliniche (critical care, emostasi, chimica clinica e autoimmunità).
La necessità: Monitoraggio continuo dei dispositivi distribuiti presso i propri clienti, assistenza e manutenzione degli stessi da remoto.
La soluzione:
• VPN semplice, stabile e bidirezionale per permettere il collegamento dei device con il sistema centrale per lo scambio quotidiano log • Connessione del portale di supporto del cliente al sistema centrale tramite API • Gestione estremamente granulare dei permessi di accesso a livello di singolo utente o gruppo • Remapping automatico della rete dei clienti finali per risolvere la sovrapposizione degli indirizzi IP • Connessione 3G o WiFi ai device in field.
Endian - un sistema di sicurezza completo: Ciascun utente finale è stato dotato di un Appliance 4i edge 200: la soluzione VPN ideale per branch office e router endpoint sicuro per ambienti a temperatura controllata. Il client SSL VPN è semplice da usare ed è compatibile con tutte le principali piattaforme (Microsoft Windows, Mac OS X e Linux). Attraverso di esso avviene il monitoraggio da remoto dei controllori logici programmabili (PLC) e la misurazione delle apparecchiature in dotazione ai clienti, nonchè l’ identificazione dei dispositivi difettosi e l’assistenza in tempo reale. L’ accesso via mobile è garantito da dispositivi iOS e Android senza applicazioni di terze parti. Il pannello di controllo, Endian VPN Switchboard, è stato installato su Endian Virtual Firewall. Attraverso la sua interfaccia web è possibile gestire l’accesso remoto alle macchine da parte di tecnici, partner e clienti fornendo permessi diversi e definiti in modo granulare. Lo stesso Switchboard consente, tramite API, il collegamento tra il portale di supporto del cliente e il sistema centrale, permettendo l’accesso diretto e l’intervento dei tecnici. In alternativa, il collegamento può essere effettuato utilizzando 4iConnect , il client del VPN Switchboard, ottenendo le stesse prestazioni. Il provisioning del sistema viene realizzato utilizzando un file CSV nel quale vengono inseriti i parametri scelti per la configurazione. Sulla base di esso, il VPN Switchboard crea per ogni macchina un file di set up da fornire al tecnico in field. Il documento viene caricato su una semplice chiavetta USB che, inserita sugli appliance Endian 4i edge 200, collegherà il gateway al sistema centrale con la configurazione richiesta. 13
La nostra value proposition Il numero dei device collegati in rete, siano essi strumenti aziendali o personali, registra giorno dopo giorno una crescita esponenziale. Senza una gestione appropriata, ognuno di questi dispositivi è esposto agli attacchi provenienti da internet, e quindi rappresenta una potenziale breccia nel tuo sistema. Affinché questa esplosione non si trasformi in un incubo, il tuo ambiente necessita di protezione. Quello che ti occorre è una soluzione semplice, che non aggiunga stress al tuo lavoro quotidiano e che mantenga la tua rete protetta senza sacrificarne la performance. Qualsiasi sia la dimensione del tuo network o il tuo ambito di business, noi possiamo aiutarti. Se vuoi sicurezza senza tras14
curare l’usabilità e un prodotto facile da acquistare e da gestire, allora Endian è la soluzione per te.
Security with Passion www.endian.com
About Endian Endian nasce nel 2003 ad Appiano, in provincia di Bolzano, da un gruppo di specialisti delle reti accomunati dalla passione per Linux. L’obiettivo e il modello di sviluppo sono subito chiari: creare sofisticate soluzioni Unified Threat Management (UTM), totalmente basate su tecnologia open source. Il progetto ha la sua prima concretizzazione appena due anni dopo, con il rilascio della prima versione dell’ appliance.
Endian Timeline • 2003: Nasce Endian • 2004: Il team inizia a lavorare sulla soluzione UTM • 2005: Prima release del prodotto e lancio della versione community.
Coerentemente con il modello dell’open source, il cui pilastro è la condivisione
Viene venduto il primo appliance fuori
quotidiana di sfide e risultati, lo stesso anno viene resa disponibile la versione
dall’Italia
community del prodotto. Ad oggi il numero dei download è impressionante: se ne contano più di 1.200.000 dal kick off. Il tratto distintivo dell’azienda diventa certamente l’ Hotspot, grazie al quale il settore dell’hotellerie e dell’ospitalità in generale vengono conquistati e unanimemente riconosciuti come territorio Endian. Il mercato europeo e poi quello mondiale iniziano ad aprirsi alle soluzioni di Unified Threat Management, e nel giro di 4 anni Endian si inserisce stabilmente in Germania, Austria, Svizzera, Stati Uniti, America Latina, Australia e Giappone. Dopo aver consolidato la propria posizione nel panorama UTM la sfida successiva è quella di rendere sicuri i sistemi industriali SCADA. Il segmento Machine to Machine communication (M2M) vive infatti un momento critico, subisce numerosi attacchi, svelando che l’accesso indesiderato ai macchinari industriali può essere causa di ingentissimi danni economici e strutturali. Nel Settembre del 2012 viene quindi lanciata la linea 4i – Edge series che pone Endian nella prospettiva di servire anche il mondo enterprise industrial e le sue particolari esigenze. Il 2013, si apre con una road map ricchissima: la rinnovata partnership con ntop, il rilascio della versione 3.0, il completamento del progetto e l’arrivo sul mercato del VPN Switchboard, tanto per citare solo alcune tappe.
• 2006: Integrazione dell’ Hotspot nella soluzione • 2007: La versione community supera i 100.000 download • 2008: Nasce Endian US e si muovono i primi passi nel mercato australiano. Endian cresce del 260% e vende più di 1000 unità in un solo anno • 2009: Nasce Endian Deutschland e viene realizzata la versione 2.3 del prodotto. I prodotti Endian vengono distribuiti in più di 50 paesi • 2010: Vendute più di 5000 unità. Realizzata la versione 2.4 • 2011: La nuova Endian Mini viene prodotta in Italia: è il primo appliance basato su tecnologia Arm. Si inizia lo sviluppo del mercato turco • 2012: La linea 4i - For Industry è pronta per il mercato. La versione community supera il milione di downloads • 2013: In road map la versione 3.0
15
© 2014 Endian SRL. Soggetto a modifica senza preavviso. Endian e Endian UTM sono marchi di Endian SRL. Tutti gli altri marchi e marchi registrati sono di proprietà dei loro rispettivi proprietari.
Endian International
Endian US
Tel: +39 0471 631 763
Tel: +1 832 775 8795
E-mail:
[email protected]
E-mail:
[email protected]
Endian Italia
Endian Japan
Tel: +39 0471 631 763
Tel: +81 3 680 651 86
E-mail:
[email protected]
E-mail:
[email protected]
Endian Deutschland
Endian Turkey - EndPoint-Labs
Tel: +49 (0) 8106 30750 - 13
Tel: +90 216 222 2933
E-mail:
[email protected]
E-mail:
[email protected]
