Funciones de seguridad

Recomendaciones generales sobre ciberseguridad

ADVERTENCIA
RIESGO POTENCIAL PARA LA DISPONIBILIDAD, LA INTEGRIDAD Y LA CONFIDENCIALIDAD DEL SISTEMA Desactive los puertos o servicios no utilizados para reducir al mínimo las vías de acceso de atacantes dañinos. Ponga los dispositivos en red tras varias capas de ciberdefensas (como cortafuegos, segmentación de red y protección y detección de intrusiones en red). Siga las prácticas recomendadas de ciberseguridad (por ejemplo, privilegio mínimo, separación de tareas) para evitar exposiciones no autorizadas, pérdidas, modificaciones de datos y registros, o interrupciones de los servicios. Si no se siguen estas instrucciones, pueden producirse lesiones graves, muerte o daños en el equipo.

ADVERTENCIA

RIESGO POTENCIAL PARA LA DISPONIBILIDAD, LA INTEGRIDAD Y LA CONFIDENCIALIDAD DEL SISTEMA

Desactive los puertos o servicios no utilizados para reducir al mínimo las vías de acceso de atacantes dañinos.
Ponga los dispositivos en red tras varias capas de ciberdefensas (como cortafuegos, segmentación de red y protección y detección de intrusiones en red).
Siga las prácticas recomendadas de ciberseguridad (por ejemplo, privilegio mínimo, separación de tareas) para evitar exposiciones no autorizadas, pérdidas, modificaciones de datos y registros, o interrupciones de los servicios.

Si no se siguen estas instrucciones, pueden producirse lesiones graves, muerte o daños en el equipo.

Para obtener información detallada sobre la ciberseguridad para el EcoStruxure Panel Server, consulte DOCA0211•• EcoStruxure Panel Server - Guía de ciberseguridad.

Para obtener más información sobre la ciberseguridad, consulte Información general sobre ciberseguridad.

Funciones de seguridad

Se han integrado funciones de seguridad en EcoStruxure Panel Server para contribuir a que el dispositivo funcione correctamente y se comporte de acuerdo con su fin previsto.

Las funciones más importantes son:

Autenticación al acceder a los recursos del producto desde el software EcoStruxure Power Commission o desde las páginas web
Comunicaciones seguras entre EcoStruxure Panel Server y los dispositivos inalámbricos asociados (para garantizar la confidencialidad y la integridad)
Servicios y ajustes de seguridad configurables
Mecanismo de actualización del firmware

Se ofrecen dos modelos de Wired by Design EcoStruxure Panel Server (PAS600LWD y PAS600PWD) sin chipset inalámbrico nativo. Esto elimina posibles amenazas procedentes de dispositivos de radio no autorizados.

Estas funciones proporcionan prestaciones de seguridad que contribuyen a proteger el producto de posibles amenazas de seguridad, que podrían interrumpir su funcionamiento (disponibilidad), modificar su información (integridad) o revelar información confidencial (confidencialidad).

Las funciones de seguridad están destinadas a mitigar las amenazas inherentes vinculadas al uso del EcoStruxure Panel Server en un entorno de tecnología operativa.

No obstante, la eficacia de estas prestaciones depende de la adopción y la aplicación de las siguientes recomendaciones:

Recomendaciones incluidas en este capítulo para cubrir la puesta en servicio, el funcionamiento, el mantenimiento y la retirada del servicio de EcoStruxure Panel Server
Prácticas recomendadas de ciberseguridad

Riesgos potenciales y controles de compensación

Área	Problema	Riesgo	Controles de compensación
Protocolos inseguros	Modbus y algunos protocolos de TI (NTP, DHCP, DNS y DPWS) son inseguros. El dispositivo no tiene capacidad para transmitir datos cifrados a través de estos protocolos.	Si un usuario malintencionado obtiene acceso a su red, podría interceptar las comunicaciones.	Para la transmisión de datos a través de una red interna, segmente la red de manera física o lógica. Si se transmiten datos mediante una red externa, cifre las transmisiones de protocolo en todas las conexiones externas mediante una VPN (red privada virtual) o una solución similar. Para la comunicación con dispositivos Modbus, limite el acceso a los dispositivos Modbus TCP/IP de su red desactivando la comunicación Modbus para cada interfaz del Panel Server (ETH1/ETH2/Wi-Fi) en las páginas web del Panel Server.
Comunicación por radio inalámbrica	Durante el tiempo de detección, dispositivos de radio no autorizados podrían intentar unirse a la red.	Si un dispositivo no autorizado accede a su red, podría escuchar a escondidas la comunicación de su red inalámbrica, crear una vulneración de la integridad de los datos (por ejemplo, enviando datos falsos) o crear una denegación de servicio (DoS).	Reduzca el período de puesta en servicio para limitar la exposición. Una vez realizada la detección, consulte la lista de dispositivos detectados en la configuración de EcoStruxure Panel Server con el software EcoStruxure Power Commission y asegúrese de que la lista de dispositivos no contenga dispositivos imprevistos o no autorizados.

Área

Problema

Riesgo

Controles de compensación

Protocolos inseguros

Modbus y algunos protocolos de TI (NTP, DHCP, DNS y DPWS) son inseguros.

El dispositivo no tiene capacidad para transmitir datos cifrados a través de estos protocolos.

Si un usuario malintencionado obtiene acceso a su red, podría interceptar las comunicaciones.

Para la transmisión de datos a través de una red interna, segmente la red de manera física o lógica.

Si se transmiten datos mediante una red externa, cifre las transmisiones de protocolo en todas las conexiones externas mediante una VPN (red privada virtual) o una solución similar.

Para la comunicación con dispositivos Modbus, limite el acceso a los dispositivos Modbus TCP/IP de su red desactivando la comunicación Modbus para cada interfaz del Panel Server (ETH1/ETH2/Wi-Fi) en las páginas web del Panel Server.

Comunicación por radio inalámbrica

Durante el tiempo de detección, dispositivos de radio no autorizados podrían intentar unirse a la red.

Si un dispositivo no autorizado accede a su red, podría escuchar a escondidas la comunicación de su red inalámbrica, crear una vulneración de la integridad de los datos (por ejemplo, enviando datos falsos) o crear una denegación de servicio (DoS).

Reduzca el período de puesta en servicio para limitar la exposición.

Una vez realizada la detección, consulte la lista de dispositivos detectados en la configuración de EcoStruxure Panel Server con el software EcoStruxure Power Commission y asegúrese de que la lista de dispositivos no contenga dispositivos imprevistos o no autorizados.