¿Qué es una arquitectura de defensa en profundidad?

A medida que los atacantes se vuelven más sofisticados y la convergencia de la red abre nuevas posibilidades de entrar en las zonas industriales, los dispositivos conectados deberán ser capaces de defenderse por sí mismos.

Debido a esto el concepto de Arquitectura de defensa en profundidad toma sentido. Ya que se debe reconocer la necesidad de proteger los dispositivos conectados mediante protocolos de seguridad industrial como CIP, es por ello que la asociación internacional de estándares para aplicaciones de automatización industrial “ODVA”, ha desarrollado CIP Security. CIP es un mecanismo de comunicación segura de estándar abierto para redes EtherNet/IP.

Contenido de este artículo:

Propiedades de CIP Security
¿Cómo funciona CIP Security?

Propiedades de CIP Security

Las propiedades de CIP Security representan contramedidas para encarar los riesgos de seguridad como: 

• Identidad y autentificación de los dispositivos. 
• Integridad y autentificación de los datos. 
• Confidencialidad de los datos (encriptación). 

Situado a nivel de dispositivos en la arquitectura de defensa en profundidad, CIP Security permite que los dispositivos conectados a CIP se autentifiquen entre sí antes de transmitir y recibir datos. La conectividad del dispositivo se limita únicamente a los dispositivos confiables. 

Todo esto para aumentar el nivel global de seguridad de los dispositivos, puede combinarse con la integridad de datos para evitar la manipulación indebida de paquetes y la encriptación de mensajes para impedir la lectura y divulgación no deseadas de los datos.

¿Cómo funciona CIP Security?

Antes de que los dispositivos comiencen a comunicarse, cada dispositivo debe poder verificar la autenticidad de la identidad del dispositivo con el que desea comunicarse. De esta manera, se protege a los dispositivos legítimos frente a un dispositivo no autorizado que obtenga acceso al sistema fingiendo ser un componente del sistema. 

Para generar esta confianza en el punto final, se puede utilizar un certificado o una clave (secreta) previamente compartida para determinar la identidad del dispositivo: 

• Se utiliza un certificado para proporcionar identidad basada en el estándar X.509v3. 

Los certificados son un acuerdo entre las partes que se comunican y una entidad común que se denomina “autoridad de certificación (CA)”. Una CA confiable firma y emite certificados a los solicitantes para demostrar sus identidades. La confianza mutua puede establecerse cuando las partes que se comunican intercambian certificados firmados por una CA común.

Como conclusión, una de las ventajas de utilizar certificados es que proporcionan un mayor nivel de seguridad que las claves previamente compartidas. Las claves previamente compartidas constituyen un acuerdo entre dos entidades con parámetros que determinan la identidad y la autentificación. Las entidades son los dispositivos que se comunican entre sí. Una ventaja del uso de claves previamente compartidas es que tienen un menor impacto sobre el rendimiento cuando se establecen conexiones.

Si quieres conocer más acerca de los estándares de seguridad para la industria y  cómo fortalecer tus sistemas de automatización, descarga el siguiente PDF y conoce un dispositivo de seguridad basado en CIP Security.

[ PDF: 1783-CSP CIP SECURITY™ PROXY ]