Soluciones escalables de acceso remoto seguro para fabricantes

Anuncio
Soluciones escalables de acceso
remoto seguro para fabricantes de
equipos originales
Fabricantes de
equipos originales
Sistemas de plantas industriales
Introducción
El acceso remoto seguro a activos, datos y aplicaciones de
producción, junto con las herramientas de colaboración más
novedosas, ofrece a los fabricantes la posibilidad de aplicar
las habilidades y los recursos adecuados en el momento
oportuno, independientemente de su ubicación física. Los
fabricantes de equipos originales buscan maneras de reducir
los costos, aumentar su valor ante sus clientes de fabricación, y
diferenciarse respecto a la competencia. Este artículo explica en
resumen los medios necesarios para permitir el acceso remoto
seguro a las aplicaciones y a los datos de la planta, y puede
utilizarse como orientación para que los fabricantes de equipos
originales colaboren con sus clientes al momento de diseñar un
acceso remoto seguro.
Retos técnicos
Los fabricantes de equipos originales tradicionalmente confiaban en el personal de la planta
para ofrecer asistencia a los sistemas de automatización y control industrial (IACS), o empleaban
métodos como acceso telefónico autónomo sin utilizar un firewall. Este método de acceso
remoto con frecuencia sortea la seguridad del perímetro y crea la amenaza de una “puerta
trasera” en el sistema de fabricación, que puede constituir un importante riesgo para la
seguridad. Dado que los fabricantes de equipos originales desean ofrecer asistencia remota de
forma segura y responder a los problemas en tiempo real, este método ya no es suficiente.
Desde hace tiempo hay tecnologías que permiten el acceso remoto a las redes empresariales
tradicionales, como las redes privadas virtuales (VPN). No obstante, ha sido un reto aplicar
correctamente estas tecnologías para ofrecer acceso remoto eficaz a los sistemas de
automatización y control industrial (IACS).
2 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales
Esto se debe a varios motivos:
• Los sistemas de automatización y control industrial (IACS) suelen ser administrados por las organizaciones
de fabricación, mientras que las soluciones de acceso remoto a nivel empresarial, como las redes privadas
virtuales (VPN), son responsabilidad de la organización de IT. La correcta implementación del acceso
remoto a los sistemas de automatización y control industrial requiere la colaboración entre IT y las
organizaciones de fabricación.
• El acceso remoto puede exponer sistemas críticos de fabricación a virus y malware que pudiera haber en
una computadora remota o de un socio, lo que puede afectar la producción.
• Resulta complicado garantizar que el dispositivo final (computadora) que se utiliza para el acceso remoto
sea seguro y que cuente con las versiones adecuadas de las aplicaciones necesarias para el acceso y el
control remotos.
• Puede ser difícil limitar las capacidades del usuario remoto a las funciones adecuadas para usuarios
remotos y que no requieren la presencia local a consecuencia de requisitos de línea de visión o similares.
• Los fabricantes con frecuencia no pueden limitar el acceso remoto de los socios o de los empleados
únicamente a las máquinas, a las aplicaciones, o a las partes de la red de las que son responsables y para
las que tienen autorización.
• No hay una talla única. Una solución de acceso remoto a sistemas de automatización y control industrial
(IACS) que funcione para un cliente tal vez no sea suficiente para otro. La solución de acceso remoto a
sistemas de automatización y control industrial (IACS) requerida por un cliente tal vez resulte demasiado
complicada o poco práctica a otro. Tal como se indica más adelante, una solución de acceso remoto
viable depende de los requisitos de la industria, de los requisitos del cliente (procedimientos y políticas de
seguridad), del tamaño del cliente y de su infraestructura de asistencia.
Como consecuencia, las soluciones de acceso remoto, aunque cuentan con amplia difusión en redes
empresariales, no han sido adoptadas de manera tan general como para atender a la red de sistemas de
automatización y control industrial (IACS). Cuando se ha utilizado la tecnología de redes privadas virtuales,
con frecuencia ha tenido que enfrentarse a los retos antes indicados y, por tanto, se ha limitado únicamente
a los empleados (no a los socios) y aún así puede plantear algunos riesgos de seguridad, incluidos virus y
acceso no autorizado, si no se implementa correctamente. Para conseguir realmente una fabricación en
colaboración, el acceso debe ser escalable, independientemente de la ubicación o de la compañía. El acceso
debe ser seguro para poder comunicar los problemas, diagnosticarlos y aplicar las acciones correctivas de
forma eficaz. El acceso tiene que limitarse a aquellos individuos autorizados a tener acceso a los sistemas, y
sus acciones autorizadas deben alinearse a los procedimientos y a las políticas de la planta y de la empresa.
Al colaborar con su cliente para implementar el acceso remoto a sus soluciones de sistemas de
automatización y control industrial (p. ej. máquina), las siguientes preguntas lo pueden ayudar a identificar
el nivel de disposición de la organización:
• ¿Cuentan con una política de seguridad de IT?
• ¿Cuentan con una política de seguridad de sistemas de automatización y control industrial?
• ¿Tienen una política de acceso remoto para los empleados y la infraestructura correspondiente? ¿Qué
productos/tecnología de redes privadas virtuales emplean?
• ¿Tienen una política de acceso remoto para “socios”, es decir, la posibilidad y el proceso necesarios para
añadir socios (OEM, SI, proveedor de automatización, contratista)?
• En el caso de socios, ¿está preparada su solución para integrarse a la infraestructura de red de sistemas
de automatización y control industrial de su cliente? ¿Admite su solución el acceso remoto? ¿Está alineada
su solución con las normas de seguridad establecidas de sistemas de automatización y control industrial,
como ISA-99 y NIST 800-82?
Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 3
Otras consideraciones clave incluyen:
• Monitorear y auditar las actividades de los usuarios remotos para identificar el mal uso
• Determinar si hay alguna restricción de “línea de visión” (requisitos visuales) o de otro tipo que
deba identificarse antes de permitir ciertas capacidades de acceso remoto
• Definir qué herramientas de software están permitidas para el acceso remoto
Al diseñar una solución de acceso remoto seguro debe emplearse una estrategia de “defensa
en profundidad”. Esta estrategia crea varias capas de seguridad que abordan las diferentes
amenazas potenciales que pueden presentarse en una situación de acceso remoto. Aunque no
existe una sola tecnología o metodología capaz
de proteger por completo las redes de sistemas de
automatización y control industrial, la combinación
Ingenieros y socios remotos
de varias tecnologías de seguridad constituye
Cifrado IPsec y VPN SSL
un firme freno ante la mayoría de los tipos de
Autenticación, autorización y responsabilidad
infracciones de seguridad y amenazas conocidas,
a la vez que limita el impacto de cualquier peligro.
Listas de control de acceso (ACL)
Para garantizar un programa de seguridad de
Navegación segura (HTTPS)
“defensa en profundidad” completo, las compañías
Protección y detección de intrusiones
deben emplear varios tipos de controles.
Sesión de terminal remoto
Seguridad de aplicaciones
VLAN
Defensa en profundidad
Tecnologías de seguridad aplicadas
Principios del acceso remoto seguro
Estos controles se pueden clasificar como:
•Administrativos
- Principalmente procedimientos y políticas de
seguridad.
Aplicaciones y datos de IACS
- Entre los ejemplos se incluyen: política de
contraseñas, capacitación en concientización de
seguridad, etc.
•Técnicos
- También llamados controles “lógicos”, consisten de hardware, software y componentes
electrónicos destinados a monitorear y controlar el acceso a los sistemas de información.
- Entre los ejemplos se incluyen: firewalls, IPS/IDS, tarjetas inteligentes, etc.
•Físicos
- Principalmente controles mecánicos para monitorear y controlar el acceso físico
- Entre los ejemplos se incluyen: bloqueos, guardas de seguridad, cámaras de seguridad, etc.
Es importante recordar que no basta con emplear controles técnicos, y que un programa de
seguridad completo incluye controles administrativos, técnicos y físicos. El diagrama anterior
muestra un ejemplo de los controles técnicos que se pueden implementar para crear una
estrategia de “defensa en profundidad”.
4 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales
Estrategia
Hay varias estrategias que permiten ofrecer acceso remoto seguro a un sistema de control y
automatización industrial, dos de las cuales son acceso directo y acceso indirecto. La estrategia
elegida depende de los criterios anteriormente indicados, como por ejemplo los procedimientos
y las políticas de seguridad del cliente. Cada estrategia tiene varias consideraciones de diseño
que pueden tener un impacto en el funcionamiento correcto de los sistemas de automatización
y control industrial (IACS), por lo que deben tenerse en cuenta al diseñar e implementar la
solución de acceso remoto a los IACS.
Acceso directo
El acceso directo permite al usuario remoto establecer una conexión segura “directamente” a
los sistemas de automatización y control industrial (IACS). Tras crear un túnel seguro de redes
privadas virtuales, el software de la computadora del usuario remoto inicia la comunicación
directa con los sistemas de automatización y control industrial.
• Consideraciones de diseño, ¿cómo se aplicarán los siguientes elementos?
- Autenticación y autorización de red y aplicación
- Gestión de cambios, control de versiones, cumplimiento normativo y gestión de licencias de
software
- Gestión de estado del cliente remoto (computadora)
- Alineación con las normas de seguridad establecidas para sistemas de automatización y
control industrial
NOTA: Aunque la asistencia de IT necesaria para esta estrategia es escasa o nula, las prácticas de
seguridad recomendadas deben estar alineadas con las normas de seguridad establecidas para
sistemas de automatización y control industrial.
Acceso directo
Sitio remoto
Sistemas de plantas
industriales
Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 5
Acceso indirecto
El acceso indirecto le permite al usuario remoto establecer una conexión segura con los sistemas
de automatización y control industrial (IACS) mediante un servidor intermediario que suele
encontrarse en la zona desmilitarizada (DMZ) y que ofrece acceso de gateway remoto a un
servidor de acceso remoto (RAS) en los sistemas de automatización y control industrial. Una vez
que se ha establecido la sesión de VPN, el cliente remoto establece una conexión con el servidor
de acceso remoto mediante una aplicación de software de cliente esbelto o un navegador web.
• Consideraciones de diseño
- Varias capas de autenticación y autorización de red
- Gestión de activos simplificada – gestión de cambios, control de versiones, cumplimiento
normativo, y gestión de licencias de software
- Gestión de estado simplificada del cliente remoto
- Mayor alineación con las normas de seguridad establecidas de sistemas de automatización y
control industrial
NOTA: El acceso indirecto es la estrategia preferida debido a su mayor alineación con las normas
de seguridad establecidas de sistemas de automatización y control industrial. Por tanto, esta es
la estrategia que recomienda el equipo de arquitectos de Converged Plantwide Ethernet (CPwE)
de Cisco y Rockwell Automation.
Acceso indirecto
Sitio remoto
Servidor de acceso
remoto (RAS)
Sistemas de plantas
industriales
6 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales
Al analizar las soluciones de acceso remoto seguro, se debe determinar si los tipos de sistemas a
los que se debe tener acceso son IACS autónomos y aislados o un IACS integrado en la empresa.
• Ejemplo ilustrativo de IACS autónomos y aislados
- Planta de fabricación pequeña, podría tratarse de talleres con un único operador, ubicación
remota (no integrada a la empresa), con unas cuantas máquinas automatizadas
- Asistencia de IT escasa o nula con ninguna o mínimas políticas de seguridad
- Alineación escasa o nula con las normas de seguridad establecidas de sistemas de
automatización y control industrial
• Ejemplo ilustrativo de IACS integrados a la empresa
- Planta de fabricación de mayor tamaño
- La red industrial se comunica con la red de la empresa
- Fuerte presencia de IT con políticas de seguridad de defensa en profundidad
- Alineación con las normas de seguridad establecidas para sistemas de automatización y
control industrial
Ejemplo: Acceso directo para IACS autónomos
Aplicación de
seguridad de UTM
WAN
Router WAN
Sitio remoto
Ingeniero de planta
Fabricante de máquinas
Integrador de sistemas
Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 7
Ejemplo: Acceso indirecto para IACS autónomos (estrategia preferida)
WAN
Router
WAN
Sitio remoto
Aplicación de
seguridad de UTM
Servidor de
acceso remoto
(RAS)
Ingeniero de planta
Fabricante de máquinas
Integrador de sistemas
Ejemplo: Acceso indirecto para IACS integrados a la empresa (estrategia preferida)
(Fabricante de mayor tamaño con integración de sistemas de producción [fabricación] y empresa [IT])
DMZ
WAN
Sitio remoto
Ingeniero de planta
Fabricante de máquinas
Integrador de sistemas
Sistemas
empresariales
Sistemas de plantas industriales
8 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales
Posibles soluciones de acceso remoto
Módems de acceso telefónico
Los módems han sido tradicionalmente un método de acceso remoto de “puerta trasera” que
no se ha tenido en cuenta para aplicaciones de IACS. Suelen ser el método menos deseado para
obtener acceso a un IACS. No obstante, si se ha optado por este método de acceso remoto en
base a una política de acceso remoto y limitaciones de la infraestructura física, debe seguirse una
estrategia de seguridad con varias capas, además de desconectar la alimentación del módem
cuando no se esté utilizando.
El módem debe tener las siguientes capacidades:
• Cuentas de acceso telefónico configurables
• Identificador de llamadas, que permita solo la autenticación a determinados números de
teléfono programables
• Funciones de devolución de llamada
• Autenticación cifrada
Además de emplear un módem con seguridad integrada, también debe recurrirse a
otras capas de defensa. Algunas de estas defensas incluyen: implementación de un
firewall habilitado con CIP, establecimiento de una VPN SSL o IPsec, configuración
de un sistema de detección/prevención de intrusiones (IDS/IPS), incorporación de
protección antivirus, etc. La mayoría de los firewalls modernos ofrecen varias capas
de seguridad en un único producto que con frecuencia se denomina dispositivo de
gestión unificada de amenazas (UTM).
NOTA: Para ver otras pautas sobre la seguridad de un módem, consulte:
• Department of Homeland Security – Recommended Practice for Securing
Módems de sistemas de control
- http://www.us-cert.gov/control_systems/practices/documents/SecuringModems.pdf
• Servicios de seguridad y redes de Rockwell Automation
- http://www.rockwellautomation.com/services/security/
Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 9
Conexión remota a la planta (encaminadores WAN/módems: DSL, celular,
satélite, cable, T1, etc.)
Cuando no se puede recurrir a un módem tradicional por no ser posible instalar líneas de
teléfono, el acceso celular para establecer una conexión WAN es una excelente alternativa. Esta
opción es cada vez más popular debido al aumento de la zona de cobertura, a la velocidad, al
costo y a la conveniencia.
Conexión remota a la planta
Sitio remoto
WAN
Router
WAN Aplicación de
seguridad de
UTM
Sistemas de plantas
industriales
No obstante, tal como se indicó anteriormente acerca de los módems de acceso telefónico,
las conexiones WAN celulares mediante módems celulares y encaminadores deben utilizarse
junto con otras tecnologías de seguridad para proporcionar una “defensa en profundidad” o,
como mínimo, que estas características estén integradas en el dispositivo (paquete UTM). Otras
opciones de conectividad WAN incluyen: DSL, cable, T1, satélite, etc. El tipo de conectividad
que se utilizará para establecer la conectividad WAN con el sistema autónomo variará según la
ubicación, las restricciones de presupuesto y la política de acceso del fabricante. Un punto que
hay que señalar es que al implementar una VPN, normalmente será necesario que el proveedor
de WAN asigne una dirección IP estática.
A continuación se indican varias características de seguridad que hay que tener en cuenta al
diseñar una solución:
• ¿Tiene capacidades de VPN? ¿SSL? ¿IPsec?
• ¿Proporciona un firewall?
- ¿Filtra los protocolos industriales? CIP, Modbus, etc.
- ¿Inspección profunda de paquetes?
• ¿Traducción de direcciones de red (NAT)?
• ¿Se ha fabricado para uso industrial?
• ¿Antivirus, filtrado de correo no deseado?
• ¿Puede proporcionar auditoría?
• ¿Incorpora un sistema de detección y/o prevención de intrusiones?
10 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales
Conexión de salida de la planta (Webex, GoToMyPc, dispositivos VPN de
gateway, etc.)
Las conexiones iniciadas por el usuario final también pueden proporcionar capacidades de
acceso remoto seguro siempre que el sistema de control disponga de personal en la planta y
que se haya establecido ya una conectividad a internet segura mediante controles de seguridad
multicapa. El encargado de asistencia técnica remota puede solicitar una sesión remota
mediante tecnologías como Webex, etc.
WAN
Sitio remoto
Router
WAN Aplicación de
seguridad de
UTM
Sistemas de plantas
industriales
Conexión remota a la planta
No obstante, la computadora portátil/PC en la planta debe tener instalado todo el software
necesario para proporcionar capacidades remotas y además IT debe configurar las reglas
necesarias para permitir el acceso de salida.
El riesgo de abrir las conexiones de salida a internet (http/https) para utilizar estos dispositivos
no debe pasarse por alto y debe limitarse a determinados sitios y direcciones IP para evitar que
se pueda navegar por internet desde los sistemas de control. El uso de navegadores web puede
plantear importantes riesgos y se sabe que ha sido la causa de ataques.
Otra solución consiste en recurrir a un dispositivo de “Gateway VPN” que se encuentra en el
sistema de control y establece el acceso remoto mediante un servicio de “Hosted VPN”. Si se
emplea esta solución hay que tener la precaución de analizar el proveedor de servicios “Hosted”,
su ubicación, si cumple las prácticas de seguridad recomendadas, y si está alineado con las
normas de seguridad de IACS establecidas, como ISA-99 y NIST 800-82, así como si cumple los
requisitos de seguridad de las políticas de seguridad del fabricante.
Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 11
IACS integrados a la empresa
Posible solución
• Solución de acceso remoto seguro CPwE de Rockwell Automation y Cisco
- http://literature.rockwellautomation.com/idc/groups/literature/documents/td/
enet-td001_-en-p.pdf
- http://literature.rockwellautomation.com/idc/groups/literature/documents/wp/
enet-wp009_-en-e.pdf
Soluciones personalizadas
Si desea una solución personalizada, el equipo de servicios de redes y seguridad de Rockwell
puede diseñar una solución segura que se adapte a sus necesidades.
•http://www.rockwellautomation.com/services/networks/
•http://www.rockwellautomation.com/services/security/
12 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales
Resumen
La evolución de las capacidades de acceso remoto seguro permite a los fabricantes de equipos
originales mejorar la productividad, reducir los costos y responder con mayor rapidez a los
eventos que afectan a sus clientes. Mediante estas soluciones de acceso remoto seguro, los
fabricantes de equipos originales pueden proporcionar asistencia remota en tiempo real. Estas
capacidades son cada vez más importantes a medida que las operaciones de fabricación se
vuelven más complejas y globalmente distribuidas, a la vez que disminuye la disponibilidad
de trabajadores cualificados que puedan prestar asistencia a los sistemas de la planta 24 horas
al día. Las capacidades de acceso remoto de los sistemas autónomos ofrecen a los fabricantes
de equipos originales la posibilidad de aplicar las habilidades y los recursos adecuados en el
momento oportuno, independientemente de su ubicación física. Estas aumentan la eficiencia,
disminuyen el tiempo improductivo y reducen los costos.
Dada la importancia crítica de las aplicaciones de los sistemas de automatización y control
industrial, es esencial que cualquier solución de acceso remoto ofrezca los niveles adecuados
de seguridad para cumplir las necesidades del fabricante y alinearse a las normas de seguridad
establecidas de los sistemas de automatización y control industrial. La aplicación de los
principios de “defensa en profundidad” garantiza que nunca se produzca un acceso remoto
directo no seguro a una aplicación de IACS.
Recursos adicionales
Alliance Member
• Cisco – Routers de servicios integrados
- http://www.cisco.com/en/US/products/ps10906/Products_Sub_Category_Home.html
Rockwell Automation
• Módems de acceso remoto
- http://www.rockwellautomation.com/services/onlinephone/modems/
Socios Encompass
•http://www.rockwellautomation.com/encompass/
Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 13
Glosario de términos
CIP - Protocolo industrial común
El protocolo industrial común (CIP) abarca un paquete completo de mensajes y servicios para la
colección de aplicaciones de automatización de fabricación: control, seguridad, sincronización,
movimiento, configuración e información. CIP es propiedad de la organización ODVA, que se
encarga de su mantenimiento. ODVA es una asociación internacional con miembros procedentes
de las principales compañías de automatización del mundo.
Conjunto de protocolos IP
Conjunto de normas de redes en el que se basan internet y la mayoría de las redes empresariales.
Incluye el protocolo internet (IP) de capa 3, el protocolo de transmisión (TCP) de capa 4, y el
protocolo de datagramas de usuario (UDP).
DMZ - Zona desmilitarizada
Hace referencia a un búfer o segmento de red entre dos zonas de red. DMZ suele ser una zona
entre internet y una red corporativa en la que es posible tanto compartir datos y servicios como
obtener acceso a ellos desde las redes corporativas o el internet. La DMZ normalmente se
establece con firewalls de red para gestionar y proteger el tráfico procedente de ambas zonas.
Para ver un ejemplo de una DMZ de red, consulte Scenario: DMZ Configuration:
http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_chapter4.html#wp1050554
IACS - Sistemas de automatización y control industrial
Hace referencia al conjunto de dispositivos y aplicaciones que se utilizan para automatizar y
controlar el proceso de fabricación relevante. En vez de usar varios términos con significado
similar (p. ej., sistemas de producción, sistemas de planta), utilizamos este término estándar
en este artículo. Con ello, no pretendemos sugerir ninguna limitación o enfoque específico.
Consideramos que las ideas y los conceptos que aquí se explican pueden aplicarse en distintos
tipos de fabricación, entre los que se incluyen, por lotes, continuos, discretos, híbridos y de
procesos. Otros documentos y referencias de la industria pueden hacer referencia a sistemas
industriales de control (ICS). Para los propósitos de este documento, estos términos son
intercambiables. Este documento utiliza IACS, según se refleja en las normas ISA 99, y está
alineado con Converged Plantwide Ethernet (CPwE) de Cisco y Rockwell Automation
IPA-3 - Protocolo internet
Protocolo internet. Protocolo de capa de red de la pila TCP/IP que ofrece un servicio de
intercomunicación de redes sin conexión. IP ofrece funciones para el direccionamiento,
especificación del tipo de servicio, fragmentación y reensamblaje, y seguridad. Se define en RFC
791. Para obtener más información sobre IP, TCP y UDP, consulte Internetworking Technology
Handbook-Internet Protocols:
http://www.cisco.com/en/US/docs/internetworking/technology/handbook/Internet-Protocols.
html
14 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales
IPSec - Seguridad IP
Un marco de normas abiertas que proporciona confidencialidad de datos, integridad de datos,
y autenticación de datos entre homólogos participantes. IPSec proporciona estos servicios de
seguridad en la capa IP. IPSec usa IKE (consulte anteriormente) para gestionar la negociación
de protocolos y algoritmos en base a la política local y para generar las claves de cifrado y
autenticación que utilizará IPSec. IPSec puede proteger uno o varios flujos de datos entre un par
de anfitriones, entre un par de gateways de seguridad o entre un gateway de seguridad y un
anfitrión. Para comprender en detalle el funcionamiento de IPsec, visite la siguiente URL:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.
shtml.
IPS - Sistemas de prevención de intrusiones
Un dispositivo de seguridad de red que monitorea la actividad de la red para detectar
comportamientos malintencionados o no deseados. Consulte más información sobre los
sistemas de prevención de intrusiones en Wikipedia: http://en.wikipedia.org/wiki/Intrusionprevention_system
O bien en Cisco IPS: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html
ISA-99
Se centra en la seguridad de sistemas de automatización y control industrial. Para obtener más
información, consulte:
http://www.isa.org/MSTemplate.cfm?MicrositeID=988&CommitteeID=6821
NAT - Traducción de direcciones de red
Mecanismo para reducir la necesidad de direcciones IP globalmente únicas. La traducción de
direcciones de red (NAT) permite que una organización con direcciones que no son globalmente
únicas pueda conectarse a internet al traducir dichas direcciones al espacio de direcciones
globalmente encaminables.
Planta - Instalación de producción, fábrica o planta de fábrica
En este documento se usa el término “planta” para describir la zona donde se lleva a cabo el
proceso de fabricación y el control. Con esto no se pretende excluir palabras similares, tales
como fábrica, instalación de producción o cualquier otro término que se utilice para hacer
referencia a la zona donde toma lugar el proceso de fabricación. De hecho, se pueden utilizar de
manera intercambiable, pero por coherencia utilizaremos el término “planta”.
Sesión de terminal remoto
El escritorio remoto hace referencia a un conjunto de protocolos y software que permite que una
computadora o un usuario pueda obtener acceso y controlar de forma remota otra computadora
mediante una emulación gráfica del terminal. El software que hace posible que aparezca ante un
anfitrión remoto como un terminal conectado directamente incluye el protocolo de escritorio
remoto (RDP) de Microsoft y Virtual Network Computing (VNC).
SSL - Capa de sockets seguros
Tecnología de cifrado de la web que se utiliza para proporcionar transacciones seguras, como la
transmisión de números de tarjetas de crédito para el comercio electrónico.
Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 15
Subred
En las redes IP, una subred es una red que comparte una determinada dirección de red. Las
subredes son redes arbitrariamente segmentadas por el administrador de una red para
proporcionar una estructura de encaminamiento multinivel y jerárquica, a la vez que oculta a la
subred de la complejidad de direccionamiento de las redes conectadas.
UTM - Gestión unificada de amenazas
Solución completa que ha surgido recientemente en la industria de seguridad de redes y, desde
2004, ha ganado gran difusión como solución de defensa de gateway de red primaria para
organizaciones.[1] En teoría, se trata de una evolución del firewall tradicional que pasa a convertirse
en un producto de seguridad completo que permite realizar diversas funciones de seguridad
mediante una única aplicación: firewall de red, prevención de intrusiones en la red y antivirus
(AV) de gateway, protección frente al correo no deseado de gateway, VPN, filtrado de contenido,
equilibrio de carga, prevención de fugas de datos y elaboración de informes de la aplicación.
Se puede obtener más información sobre UTM en la Wikipedia: http://en.wikipedia.org/wiki/
Unified_threat_management
VPN - Red privada virtual
Red que utiliza principalmente una infraestructura pública de telecomunicaciones, como por
ejemplo internet, para ofrecer a las oficinas remotas o a los usuarios de viaje acceso a la red
central de la organización. Las redes privadas virtuales (VPN) normalmente requieren que
los usuarios remotos de la red se autentiquen y, con frecuencia, protegen los datos mediante
tecnologías de cifrado para evitar la revelación de información privada a terceros no autorizados.
Las redes privadas virtuales (VPN) pueden llevar a cabo cualquier funcionalidad de red que haya
en cualquier red, como el uso compartido de datos y el acceso a recursos de red, impresoras,
bases de datos, sitios web, etc. El usuario de una VPN normalmente puede actuar sobre la red
central exactamente de la misma manera que si estuviera directamente conectado a la red
central. La tecnología de red privada virtual (VPN) mediante internet pública ha evitado tener
que solicitar y mantener los costosos circuitos de telecomunicaciones de líneas alquiladas
dedicadas, que antes eran habituales en las instalaciones de red de amplia área.
Se puede obtener más información sobre las VPN en la Wikipedia: http://en.wikipedia.org/wiki/VPN
WAN - Red de amplia área
Red de amplia área (WAN) es una red de telecomunicaciones que cubre un área extensa (p. ej.,
cualquier red que establezca una conexión entre los límites de una ciudad, región o país). Las
empresas y los organismos oficiales utilizan redes WAN para transmitir datos entre empleados,
clientes, compradores y proveedores de diversas ubicaciones geográficas. Básicamente,
este modo de telecomunicaciones permite que una empresa lleve a cabo con eficacia sus
operaciones diarias independientemente de la ubicación.
http://en.wikipedia.org/wiki/Wide_area_network
Zona de fabricación
Zona de red en la estructura lógica de la planta, tal como se muestra en el capítulo 2 del
documento Converged Plantwide Ethernet (CPwE) Design and Implementation Guide de Cisco
y Rockwell Automation. La zona contiene un conjunto completo de aplicaciones, sistemas,
infraestructura y dispositivos que son críticos para la continuidad de las operaciones de la planta.
En otros documentos (por ejemplo ISA 99), esta zona también se denomina zona de control. Los
términos son intercambiables a este respecto.
Allen-Bradley, Rockwell Automation y Rockwell Software son marcas registradas de Rockwell Automation, Inc.
Todas las marcas comerciales que no pertenecen a Rockwell Automation son propiedad de sus respectivas empresas.
Publicación ENET-WP025A-ES-E – Marzo de 2012
©2012 Rockwell Automation, Inc. Todos los derechos reservados. Impreso en EE.UU.
Descargar