Guía para Implementar el Modelo Purdue con Cisco: Asegura tu Red con DMZ y Ciberseguridad

En el diseño y desarrollo de los proyectos EPC de Sistemas de Control del sector industrial, garantizar la seguridad de las redes OT (Operational Technology) e IT es fundamental para mantener la operatividad sin interrupciones. El Modelo Purdue for ICS Security ofrece un marco ideal para segmentar las redes industriales y proteger los sistemas críticos de control. Sin embargo, su implementación requiere no solo un buen conocimiento técnico, mejores practicas, inversión a largo plazo, sino también el uso de equipos confiables y específicos.

Las soluciones de Cisco, reconocidas por su robustez y alta fiabilidad, son ideales para implementar en cada nivel del Modelo Purdue, incluyendo el nivel 3.5 (DMZ), que es un nivel clave para aislar las comunicaciones entre IT y OT. Conocer los equipos recomendados en cada nivel ayudará a los ingenieros del sector industrial a tomar decisiones más informadas y garantizar una seguridad óptima. Sin embargo, para asegurar una implementación eficaz y adaptada a las necesidades específicas de cada planta o proyecto (taylor-fit), siempre se recomienda acercarse a una empresa especialista en soluciones Cisco para entornos industriales.

Al aplicar las soluciones de Cisco en cada nivel del Modelo Purdue, es posible diseñar redes industriales seguras y escalables que cumplen con las normativas de seguridad en el ámbito de la ciberseguridad, como la ISA99/IEC62443

Te sugerimos esta guia para una mejor toma de decisiones de las familias de los equipos CISCO que podrían ayudar en tu proyecto:

Nivel 0 y Nivel 1: Dispositivos Físicos y Controladores (PLC)

En los niveles más bajos del Modelo Purdue, se encuentran los dispositivos físicos como sensores y actuadores, así como los PLC (Controladores Lógicos Programables), que controlan las máquinas y los procesos en tiempo real. Estos dispositivos requieren conectividad robusta y fiable, capaces de soportar los entornos industriales más exigentes.

Familias de equipos Cisco recomendados:

  • Cisco Industrial Ethernet Switches (Serie IE 2000, IE 3000, IE 4000, IE 5000)
    Estos switches están diseñados específicamente para ambientes industriales duros, ofreciendo alta resistencia a condiciones extremas como el calor, el polvo y la humedad. Con funciones avanzadas de VLAN y segmentación, permiten conectar los PLC y otros dispositivos de control de manera segura.
  • Cisco Catalyst IE3400 Rugged Series Switches
    Esta serie ofrece conectividad Gigabit Ethernet en entornos industriales y está diseñada para brindar una comunicación confiable entre los dispositivos físicos y los controladores en el nivel 1.

Nivel 2: Supervisión (Sistemas SCADA y HMI)

En el nivel 2 se encuentran los sistemas SCADA y HMI, que permiten a los operadores monitorear y ajustar los procesos industriales. La seguridad y segmentación de la red son esenciales para evitar que estos sistemas críticos queden expuestos a accesos no autorizados.

Familias de equipos Cisco recomendados:

  • Cisco Catalyst IE3300 Rugged Series Switches
    Estos switches robustos proporcionan conectividad segura para los sistemas SCADA, asegurando una alta disponibilidad y capacidad de segmentación para mantener el tráfico de red separado y controlado.
  • Cisco Firepower Next-Generation Firewall (NGFW)
    Los firewalls de próxima generación Cisco Firepower protegen las comunicaciones entre los sistemas SCADA y otros niveles de la red. Estos firewalls ofrecen funciones de control de acceso avanzado, inspección de tráfico y detección de intrusiones.

Nivel 3: Sistemas de Control de Procesos

El nivel 3 incluye los sistemas que controlan toda la producción, gestionando los procesos operativos a nivel global. Aquí se toman decisiones sobre la planificación de la producción, y es crucial que las comunicaciones entre los sistemas de control de procesos y otros niveles de la red estén protegidas.

Familias de equipos Cisco recomendados:

  • Cisco Catalyst 9000 Series Switches
    Estos switches ofrecen capacidades avanzadas de automatización, seguridad y visibilidad en la red, lo que es fundamental para gestionar los sistemas de control de procesos de manera eficiente y segura. Permiten la segmentación de tráfico y ofrecen visibilidad sobre las operaciones críticas.
  • Cisco Industrial Routers (Serie IR1101)
    Estos routers permiten una conectividad segura y resiliente en las plantas industriales, conectando los sistemas de control de procesos con otras áreas de la red, garantizando la seguridad del tráfico de datos y el cumplimiento de las políticas de acceso.

Nivel 3.5: Zona Desmilitarizada (DMZ)

El nivel 3.5, o DMZ, es una capa crítica de seguridad que actúa como una barrera entre las redes OT e IT. Su objetivo es asegurar que las comunicaciones entre los sistemas de control y los sistemas empresariales se realicen de manera controlada y segura. En esta zona, se implementan firewalls y otros sistemas de seguridad para evitar que ataques provenientes de la red IT afecten a los sistemas OT.

Familias de equipos Cisco recomendados:

  • Cisco Firepower Next-Generation Firewalls (NGFW)
    Los firewalls Cisco Firepower son fundamentales para crear una DMZ en el nivel 3.5. Estos firewalls protegen las comunicaciones entre las redes IT y OT, filtrando y monitoreando el tráfico para evitar accesos no autorizados y ciber ataques. Ofrecen capacidades avanzadas como el control de acceso basado en políticas, la inspección profunda de paquetes y la prevención de intrusiones.
  • Cisco Secure IPS (Intrusion Prevention System)
    Colocado en la DMZ, el Cisco Secure IPS ayuda a detectar y prevenir intrusiones que podrían comprometer los sistemas críticos. Es una herramienta esencial para monitorear el tráfico en tiempo real y bloquear amenazas antes de que lleguen a los sistemas de control.
  • Cisco Identity Services Engine (ISE)
    El Cisco ISE garantiza que solo los dispositivos y usuarios autorizados puedan acceder a los sistemas dentro de la DMZ, controlando de manera segura quién tiene acceso a los sistemas de control desde la red IT.

Nivel 4: Sistemas de Gestión de la Producción

Este nivel se encarga de la gestión de la producción y de la planificación de las operaciones a nivel global. Aquí se interactúa con los sistemas empresariales y es necesario garantizar que las redes IT y OT permanezcan separadas.

Familias de equipos Cisco recomendados:

  • Cisco Catalyst 9300 Series Switches
    Estos switches proporcionan conectividad segura y de alto rendimiento para los sistemas empresariales y de gestión de la producción. Ofrecen funciones avanzadas de seguridad, segmentación de tráfico y optimización de redes.
  • Cisco Integrated Services Routers (ISR 4000 Series)
    Estos routers conectan de manera segura los sistemas de producción con los sistemas empresariales, permitiendo una comunicación fluida y protegida entre los niveles de la red. Además, permiten aplicar políticas de segmentación y control de acceso que cumplen con las normativas de seguridad.

Nivel 5: Nivel Empresarial

El nivel empresarial gestiona los sistemas de ERP (Enterprise Resource Planning) y otras aplicaciones corporativas que interactúan con los datos de producción. Aquí, es esencial proteger los sistemas empresariales para evitar que cualquier vulnerabilidad en el entorno IT afecte a las operaciones industriales.

Familias de equipos Cisco recomendados:

  • Cisco Firepower Threat Defense (FTD)
    Este firewall avanzado proporciona protección total a las conexiones entre la red IT y los sistemas empresariales. Ofrece visibilidad y control sobre las amenazas, segmentando el tráfico y bloqueando el acceso no autorizado.
  • Cisco ASR 1000 Series Aggregation Services Routers
    Estos routers aseguran un enrutamiento robusto y seguro para las comunicaciones entre los sistemas empresariales y los niveles inferiores de la red, asegurando que los datos críticos fluyan sin interrupciones y sin comprometer la seguridad.

El Modelo Purdue proporciona una estructura clara para segmentar y proteger las redes industriales. La incorporación de la DMZ (nivel 3.5) añade una capa esencial de seguridad entre las redes IT y OT, garantizando que las comunicaciones entre los sistemas empresariales y de control estén protegidas. Con las soluciones de Cisco, como los switches industrialesfirewalls de próxima generación y herramientas avanzadas de IPS y ISE, es posible implementar una infraestructura segura, eficiente y conforme a normativas como la ISA99/IEC62443.

No dudes en contactarnos para un proyecto

Llena el formulario para conseguir una cotización.
Cotizar

Al integrar estas soluciones en cada nivel del Modelo Purdue, las empresas pueden proteger sus operaciones críticas y garantizar la continuidad operativa, reduciendo al mínimo los riesgos de ciberseguridad y mejorando la eficiencia de las redes industriales