Funciones de seguridad

Recomendaciones generales sobre ciberseguridad

ADVERTENCIA
RIESGO POTENCIAL PARA LA DISPONIBILIDAD, LA INTEGRIDAD Y LA CONFIDENCIALIDAD DEL SISTEMA Desactive los puertos o servicios no utilizados para reducir al mínimo las vías de acceso de atacantes dañinos. Ponga los dispositivos en red tras varias capas de ciberdefensas (como cortafuegos, segmentación de red y protección y detección de intrusiones en red). Siga las prácticas recomendadas de ciberseguridad (por ejemplo, privilegio mínimo, separación de tareas) para evitar exposiciones no autorizadas, pérdidas, modificaciones de datos y registros, o interrupciones de los servicios. Si no se siguen estas instrucciones, pueden producirse lesiones graves, muerte o daños en el equipo.

ADVERTENCIA

RIESGO POTENCIAL PARA LA DISPONIBILIDAD, LA INTEGRIDAD Y LA CONFIDENCIALIDAD DEL SISTEMA

Desactive los puertos o servicios no utilizados para reducir al mínimo las vías de acceso de atacantes dañinos.
Ponga los dispositivos en red tras varias capas de ciberdefensas (como cortafuegos, segmentación de red y protección y detección de intrusiones en red).
Siga las prácticas recomendadas de ciberseguridad (por ejemplo, privilegio mínimo, separación de tareas) para evitar exposiciones no autorizadas, pérdidas, modificaciones de datos y registros, o interrupciones de los servicios.

Si no se siguen estas instrucciones, pueden producirse lesiones graves, muerte o daños en el equipo.

Para obtener información detallada sobre la ciberseguridad para el EcoStruxure Panel Server, consulte DOCA0211•• EcoStruxure Panel Server - Guía de ciberseguridad.

Para obtener más información sobre la ciberseguridad, consulte Información general sobre ciberseguridad.

Funciones de seguridad

Se han integrado funciones de seguridad en EcoStruxure Panel Server para contribuir a que el dispositivo funcione correctamente y se comporte de acuerdo con su fin previsto.

Las funciones más importantes son:

Autenticación al acceder a los recursos del producto desde el software EcoStruxure Power Commission o desde las páginas web
Comunicaciones seguras entre EcoStruxure Panel Server y los dispositivos inalámbricos asociados (para garantizar la confidencialidad y la integridad)
Servicios y ajustes de seguridad configurables
Mecanismo de actualización del firmware

Se ofrecen dos modelos de Wired by Design EcoStruxure Panel Server (PAS600LWD y PAS600PWD) sin chipset inalámbrico nativo. Esto elimina posibles amenazas procedentes de dispositivos de radio no autorizados.

Estas funciones proporcionan prestaciones de seguridad que contribuyen a proteger el producto de posibles amenazas de seguridad, que podrían interrumpir su funcionamiento (disponibilidad), modificar su información (integridad) o revelar información confidencial (confidencialidad).

Las funciones de seguridad están destinadas a mitigar las amenazas inherentes vinculadas al uso del EcoStruxure Panel Server en un entorno de tecnología operativa.

No obstante, la eficacia de estas prestaciones depende de la adopción y la aplicación de las siguientes recomendaciones:

Recomendaciones incluidas en este capítulo para cubrir la puesta en servicio, el funcionamiento, el mantenimiento y la retirada del servicio de EcoStruxure Panel Server
Prácticas recomendadas de ciberseguridad

Riesgos potenciales y controles de compensación

Área	Problema	Riesgo	Controles de compensación
Protocolos inseguros	Modbus y algunos protocolos de TI (NTP, DHCP, DNS y DPWS) son inseguros. El dispositivo no tiene capacidad para transmitir datos cifrados a través de estos protocolos.	Si un usuario malintencionado obtiene acceso a su red, podría interceptar las comunicaciones.	Para la transmisión de datos a través de una red interna, segmente la red de manera física o lógica. Si se transmiten datos mediante una red externa, cifre las transmisiones de protocolo en todas las conexiones externas mediante una VPN (red privada virtual) o una solución similar. Para la comunicación con dispositivos Modbus, limite el acceso a los dispositivos Modbus TCP/IP de su red desactivando la comunicación Modbus para cada interfaz del Panel Server (ETH1/ETH2/Wi-Fi) en las páginas web del Panel Server.
Comunicación por radio inalámbrica	Durante el tiempo de detección, dispositivos de radio no autorizados podrían intentar unirse a la red.	Si un dispositivo no autorizado accede a su red, podría escuchar a escondidas la comunicación de su red inalámbrica, crear una vulneración de la integridad de los datos (por ejemplo, enviando datos falsos) o crear una denegación de servicio (DoS).	Reduzca el período de puesta en servicio para limitar la exposición. En dispositivos RF-ID de 16 caracteres, utilice el código de instalación para descubrir el dispositivo inalámbrica. Una vez realizado el descubrimiento, consulte la lista de los dispositivos descubiertos en la configuración del EcoStruxure Panel Server y asegúrese de que la lista de dispositivos no contenga dispositivos inesperados o poco fiables.

Área

Problema

Riesgo

Controles de compensación

Protocolos inseguros

Modbus y algunos protocolos de TI (NTP, DHCP, DNS y DPWS) son inseguros.

El dispositivo no tiene capacidad para transmitir datos cifrados a través de estos protocolos.

Si un usuario malintencionado obtiene acceso a su red, podría interceptar las comunicaciones.

Para la transmisión de datos a través de una red interna, segmente la red de manera física o lógica.

Si se transmiten datos mediante una red externa, cifre las transmisiones de protocolo en todas las conexiones externas mediante una VPN (red privada virtual) o una solución similar.

Para la comunicación con dispositivos Modbus, limite el acceso a los dispositivos Modbus TCP/IP de su red desactivando la comunicación Modbus para cada interfaz del Panel Server (ETH1/ETH2/Wi-Fi) en las páginas web del Panel Server.

Comunicación por radio inalámbrica

Durante el tiempo de detección, dispositivos de radio no autorizados podrían intentar unirse a la red.

Si un dispositivo no autorizado accede a su red, podría escuchar a escondidas la comunicación de su red inalámbrica, crear una vulneración de la integridad de los datos (por ejemplo, enviando datos falsos) o crear una denegación de servicio (DoS).

Reduzca el período de puesta en servicio para limitar la exposición.

En dispositivos RF-ID de 16 caracteres, utilice el código de instalación para descubrir el dispositivo inalámbrica.

Una vez realizado el descubrimiento, consulte la lista de los dispositivos descubiertos en la configuración del EcoStruxure Panel Server y asegúrese de que la lista de dispositivos no contenga dispositivos inesperados o poco fiables.