Capacidad 2. Proporcionar una zona de aislamiento industrial entre entornos

Esta capacidad es compatible con la mejor práctica 2 de las mejores prácticas de la AWS SRA para el IoT.

Las organizaciones conectan cada vez más los sistemas OT y IIo T a los entornos de nube. Esta convergencia aporta numerosos beneficios, pero también presenta desafíos de seguridad únicos. También requiere una separación estricta entre los entornos OT, IIo T y TI para limitar la posibilidad de que los ataques a los sistemas de TI o TO afecten a los sistemas empresariales de infraestructura crítica. Una sola AWS organización que incluya varias Cuentas de AWS puede cumplir los requisitos para implementar esta separación estricta mediante el uso de una cuenta de Industrial Isolation y una configuración de redes separada OUs Cuentas de AWS, separada y cuidadosa entre cuentas (firewalls separados VPCs, enrutamiento de Transit Gateway e inspección de red). Este enfoque proporciona una base segura para integrar los sistemas industriales con los servicios en la nube y, al mismo tiempo, mantener los estrictos requisitos operativos y de seguridad inherentes a los entornos de OT. Al implementar esta capacidad, las organizaciones pueden aprovechar la escalabilidad y los servicios avanzados que ofrecen y, al AWS mismo tiempo, preservar la integridad, la disponibilidad y la seguridad de sus operaciones industriales críticas.

Justificación

Establecer una unidad organizativa independiente dentro de la AWS organización dedicada a las cargas de trabajo de IoT, IIo T y OT conectadas a la nube ayuda a mejorar la seguridad al permitir la segregación de los entornos de TI tradicionales. Este enfoque permite a las organizaciones:

• Aplicar directamente los principios y estándares de seguridad de OT al AWS entorno.

• Adáptese a las diferentes tolerancias de riesgo entre los equipos de OT y TI.

• Limite el impacto potencial de los incidentes de seguridad.

• Permita una separación clara de las funciones entre el personal de OT y el de TI.

Si utiliza una OU dedicada para IoT, IIo T y OT junto con redes segregadas mediante configuraciones de VPC independientes para conectar VPCs varias cuentas, la OU debe tener las siguientes características:

• Se deben proporcionar arquitecturas de red segregadas tanto para las cargas de trabajo de IoT (OT o IIo T) como para las de aislamiento industrial.

• El entorno OT o IIo T dentro de la zona de aterrizaje debe diseñarse de manera que cumpla con los requisitos de seguridad descritos en ISA/IEC 62443 y en la norma NIST SP 800-82 para los sistemas de control industrial y la tecnología operativa.

• La cuenta de aislamiento industrial debe actuar como un perímetro de seguridad específico entre el entorno OT (o IIo T) y el entorno informático, y debe seguir la guía SP 800-82 del NIST sobre la segmentación de la red y el uso de zonas desmilitarizadas.

• La landing zone debe tener identidades o funciones segregadas, definidas dentro de la infraestructura de identidad, que estén separadas de las identidades o funciones de TI.  Puede implementarlos como asignaciones de centros de identidad independientes dentro de la AWS IAM Identity Center instancia para la organización de AWS, a fin de administrar el acceso y los permisos de los recursos de las cuentas de OT (o IIo T) e Industrial Isolation en paralelo con el entorno de TI.

• Las políticas de administración de identidad y acceso en la landing zone deben adaptarse a las necesidades únicas y los perfiles de riesgo de los componentes de OT, IIo T y aislamiento industrial, que pueden diferir de los entornos de TI tradicionales.

• La unidad organizativa también debe alojar servicios y recursos que faciliten la comunicación segura, el acceso remoto y el intercambio de datos entre los dominios OT (o IIo T) y TI, manteniendo al mismo tiempo estrictos controles de acceso y mecanismos de supervisión.

Esta separación también brinda la oportunidad de mejorar aún más la postura de seguridad de estas cargas de trabajo, al integrar los servicios y funciones de TI relevantes IIo que están disponibles en AWS AWS IoT Core AWS IoT Greengrass, AWS IoT Device Defender, AWS IoT Device Management AWS IoT SiteWise, y AWS IoT TwinMaker. Estos servicios ayudan a proporcionar conectividad segura, administración de datos y capacidades de análisis que se adaptan a los entornos OT y IIo T.

Por ejemplo, la norma ISA/IEC 62443 define los requisitos de seguridad para los sistemas de control y automatización industrial, y el NIST SP 800-82 proporciona orientación sobre la protección de los sistemas de control industrial, incluidas recomendaciones para la arquitectura de la red, el acceso remoto y la administración de parches. Al alinear el diseño y la configuración de las partes dedicadas a la OT de la organización con los estándares ISA/IEC 62443 y la guía NIST SP 800-82, las organizaciones pueden garantizar que los controles de seguridad, como la segmentación de la red, la administración del acceso y el fortalecimiento de los dispositivos, se implementen de manera uniforme en todos los componentes de su landing zone. AWS Esto puede ayudar a las organizaciones a cerrar la brecha entre la seguridad de TI tradicional y los requisitos específicos de los sistemas OT y T conectados a la nube. IIo

Los beneficios adicionales incluyen:

• Aislamiento de las cargas de trabajo de OT y TI: las configuraciones separadas OUs y de red permiten un mejor aislamiento de las cargas de trabajo de OT y TI, y garantizan que la seguridad, los controles de acceso y las configuraciones de recursos se puedan adaptar a los requisitos específicos de cada dominio. Cuentas de AWS Esto ayuda a mitigar el riesgo de contaminación cruzada, reduce el alcance del impacto y garantiza que se aborden las necesidades específicas de los sistemas de TI y TO.

• Configuraciones personalizadas: al utilizar configuraciones distintas OUs y de red, puede configurar cada entorno de forma independiente para cumplir con los requisitos técnicos específicos de sus equipos de OT y TI. Cuentas de AWS Esto incluye la capacidad de aplicar diferentes controles de seguridad, como la red ACLs, los grupos de seguridad y las políticas de IAM, así como configuraciones a nivel de recursos, como los tipos de instancias, las opciones de almacenamiento y los mecanismos. backup/restore

• Gobernanza y cumplimiento simplificados para mostrar la segregación de funciones (SoD): mantener configuraciones separadas OUs y de red simplifica la aplicación de diferentes marcos de cumplimiento, estándares de seguridad y requisitos reglamentarios a los entornos OT, IIo T y TI. Cuentas de AWS En el caso de los sistemas OT y IIo T, esto podría incluir el cumplimiento de normas como la ISA/IEC 62443 y la NIST SP 800-82, que tienen requisitos específicos para el diseño, la implementación y el mantenimiento seguros de los sistemas OT y IIo T. Por el contrario, es posible que los sistemas de TI tengan que cumplir normas como la ISO 27001 y la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS).

• Escalabilidad y flexibilidad: las configuraciones independientes OUs y de red permiten escalar cada entorno según sea necesario, sin el riesgo de que se produzcan impactos no deseados en el otro dominio. Cuentas de AWS Esto permite una asignación de recursos, procesos de prueba y procesos de implementación más eficientes que se adaptan a los requisitos específicos de los equipos de OT (o IIo T) y TI.

• Menor complejidad: separar los entornos de TO y TI en configuraciones distintas OUs y de red ayuda a reducir la complejidad general de la AWS infraestructura y facilita la administración, la supervisión y la resolución de problemas de cada dominio de forma independiente. Cuentas de AWS Esto puede mejorar la eficiencia operativa y reducir el riesgo de problemas entre dominios.

• Herramientas y procesos especializados: los equipos de OT (o IIo T) y de TI pueden necesitar diferentes herramientas, scripts de automatización y procesos operativos para gestionar sus respectivos entornos de forma eficaz. Las configuraciones independientes OUs y de red permiten la implementación de herramientas y flujos de trabajo especializados que están optimizados para las necesidades únicas de cada dominio. Cuentas de AWS Por ejemplo, los equipos de OT o IIo T pueden necesitar herramientas específicas de supervisión y administración del sistema de control industrial (ICS), mientras que los equipos de TI se centran en las plataformas de administración de TI tradicionales.

• Mejora de la recuperación ante desastres y la continuidad empresarial: el mantenimiento de configuraciones separadas OUs y de red mejora la capacidad de la organización para garantizar la continuidad empresarial y una recuperación ante desastres eficaz. Cuentas de AWS Esto es particularmente importante para los sistemas OT y IIo T, que pueden tener requisitos de disponibilidad y tiempo de actividad más estrictos en comparación con los sistemas de TI.

Consideraciones de seguridad

La integración de los sistemas OT o IIo T con los entornos de nube presenta posibles riesgos de seguridad que esta capacidad pretende abordar. Principalmente, mitiga la amenaza del movimiento lateral entre las redes de TI y OT, lo que podría poner en peligro los sistemas de control industrial y otras cargas de trabajo importantes de la OT. Sin una segmentación adecuada, un agente de amenazas con intenciones malintencionadas que obtenga acceso no autorizado a la red de TI podría pasar a la red de OT y obtener acceso no autorizado a los sistemas de TO críticos, lo que podría provocar incidentes de seguridad, interrupciones de la producción o daños ambientales.

Además, esta capacidad aborda los riesgos asociados a los requisitos operativos únicos y a los protocolos tradicionales que suelen encontrarse en los entornos de TO. Muchos sistemas industriales utilizan protocolos patentados u obsoletos que carecen de funciones de seguridad integradas, lo que los hace vulnerables a la interceptación, la manipulación y la explotación cuando se exponen a redes más amplias. Al disponer de configuraciones de red independientes OUs y de una cuenta de Industrial Isolation, las organizaciones pueden implementar las conversiones de protocolos, los controles de acceso y las soluciones de supervisión adecuadas que se adapten específicamente a estas comunicaciones OT y IIo T, con el fin de reducir la superficie de ataque y la posibilidad de acceso no autorizado o exfiltración de datos. Cuentas de AWS

Remediaciones

Protección de los datos

Los procesos industriales sensibles a la latencia y los sistemas de control en tiempo real pueden tener problemas con la mayor latencia de red inherente a una arquitectura basada en la nube, especialmente cuando se conectan equipos OT o IIo T a través de una red de área amplia a un control remoto. Región de AWS Además, muchos protocolos industriales que se utilizan en los entornos de TO, como Modbus, el Protocolo de Red Distribuida (DNP3) y los protocolos SCADA patentados, no se diseñaron pensando en la conectividad a la nube. La transmisión de este tráfico inseguro y, a menudo, no cifrado a través de redes públicas implica un riesgo significativo de interceptación, manipulación y explotación. Para mitigar estos problemas, implemente una conversión segura de protocolos para las comunicaciones industriales tradicionales antes de transmitirlas a través de redes de área amplia. Implemente soluciones especializadas de monitoreo del tráfico de redes OT y IIo T y detección de amenazas, tanto en entornos locales como en la nube, para identificar posibles filtraciones de datos o intentos de acceso no autorizado y responder a ellos. Revise y actualice periódicamente las medidas de protección de datos para mantenerlas alineadas con los estándares y las mejores prácticas de seguridad de OT y IIo T en constante evolución.

Administración de identidades y accesos

Establezca conjuntos de AWS IAM Identity Center permisos específicos y asigne centros de identidad para la administración del acceso a OT o IIo T que estén separados de los sistemas de TI.  Compruebe que en las tareas del Centro de Identidad del IAM haya una separación estricta entre las preocupaciones y las tareas. Configure políticas de IAM que sean específicas para los requisitos de OT o IIo T y asegúrese de que se aplique el principio de privilegios mínimos. Implemente mecanismos de autenticación sólidos, como la autenticación multifactorial, para acceder a los recursos de OT o IIo T en la nube. Audite y revise periódicamente los permisos de acceso para mantener una postura segura.

Seguridad de la red

Diseñe la arquitectura de red OT o IIo T para que se ajuste a las directrices del NIST SP 800-82 sobre la implementación de la segmentación y el aislamiento industrial. Configure los grupos de seguridad y ACLs la red para aplicar un estricto control del tráfico entre las redes OT (o IIo T), de aislamiento industrial y de TI. Implemente servicios de AWS IoT seguridad, por ejemplo AWS IoT Device Defender, para mejorar la protección de los activos industriales conectados. Establezca una VPN o AWS Direct Connect enlaces seguros para la comunicación entre las redes OT locales y el Nube de AWS. Realice periódicamente evaluaciones de seguridad de la red y pruebas de penetración para identificar y abordar las posibles vulnerabilidades en la arquitectura de red OT o IIo T.

nota

En algunas situaciones, como las que implican infraestructuras críticas o entornos de OT altamente regulados o segregados, o en los casos en los que se exige una separación estricta entre los equipos de OT y de TI sin cadenas de mando comunes, puedes implementar una AWS organización independiente con una zona de aterrizaje para las cargas de trabajo de IoT, IIo T u OT. En este modelo de implementación, puede configurar la conectividad de red selectiva entre las dos organizaciones independientes. AWS Sin embargo, este modelo duplica el esfuerzo en la administración de identidades y accesos, la administración de la organización, la configuración de seguridad y las actividades de registro y monitoreo, y solo debe tenerse en cuenta si no puede cumplir con los requisitos mediante el uso de una sola AWS organización con cargas de trabajo de IoT, IIo T o OT separadas o dedicadas OUs .