Integra Automação Industrial

Solução · Redes & Cibersegurança OT

Redes Industriais e IEC 62443

Projetamos e implementamos redes industriais robustas, segmentadas e seguras, alinhadas ao modelo CPwE (Converged Plantwide Ethernet) e ao framework de cibersegurança IEC 62443. Defense in depth do chão de fábrica até a integração corporativa.

Referência técnica pública

CPwE como referência para segmentação OT/IT

Arquitetura CPwE com integração OT e IT

Referência visual pública para explicar zonas, IDMZ, integração OT/IT e defesa em profundidade em redes industriais.

Fonte: Cisco + Rockwell Automation - CPwE Design and Implementation Guides

Arquitetura em camadas

Como segregamos o ambiente OT

Cada camada tem regras claras de quem fala com quem. Sem rede flat, sem caminho direto entre chão de fábrica e internet.

  1. N0-1

    Camada de Controle

    PLCs, IEDs IEC 61850, dispositivos EtherNet/IP. Comunicação determinística com latência controlada.

  2. N2

    Camada de Supervisão

    SCADA, servidores HMI, estações de operação. Segregada do controle por VLANs industriais.

  3. N3

    Camada de Informação

    Historian, AF Templates, dashboards. Saída estruturada para sistemas corporativos via DMZ.

  4. Transversal

    Camada de Segurança

    Firewalls industriais, controle de acesso, monitoramento de eventos OT, segmentação Purdue.

Arquitetura de referência Integra

O desenho que aplicamos na prática

Diagrama autoral da Integra: como o modelo Purdue, a IDMZ e as Cell/Area Zones se organizam em uma planta real. Cada conduíte entre camadas tem firewall e regras explícitas por porta e protocolo.

Arquitetura de referência Integra: segmentação plant-wide com IDMZ Diagrama em camadas do modelo Purdue: Enterprise Zone (níveis 4 e 5) no topo, IDMZ no nível 3.5, Industrial Zone com servidores de operação no nível 3 e três Cell/Area Zones (níveis 0 a 2) na base, separadas por conduítes controlados com firewall. N4-5 N3.5 N3 N0-2 ENTERPRISE ZONE · TI CORPORATIVA ERP / MES corporativo E-mail e serviços BI / nuvem corporativa conduíte controlado · firewall IDMZ · ZONA DESMILITARIZADA INDUSTRIAL RD Gateway / jump server Espelho de dados (PI-to-PI) Relay de patch e antivírus sem caminho direto TI ⇄ chão de fábrica INDUSTRIAL ZONE · SITE OPERATIONS Servidores SCADA PASS · redundância Historian dados de processo Directory / AD identidade OT Virtualização backup · DR CELL/AREA ZONE · ÁREA A HMI local · operação PLC / DCS · ControlLogix I/O · instrumentos · drives rede: anel DLR CELL/AREA ZONE · ÁREA B HMI local · operação PLC / DCS · ControlLogix I/O · instrumentos · drives rede: estrela gerenciada CELL/AREA ZONE · ÁREA C HMI local · operação PLC / DCS · ControlLogix I/O · instrumentos · drives rede: PRP (alta disp.) conduíte com firewall e regras explícitas por porta e protocolo Purdue · CPwE · IEC 62443
Diagrama Integra Automação Industrial, baseado nas referências públicas CPwE (Cisco + Rockwell Automation) e na série ISA/IEC 62443. A topologia real de cada planta é definida em diagnóstico.

Referência técnica pública

A IDMZ é a fronteira inegociável entre Untrusted e Trusted

Figura IDMZ High Level Concepts mostrando zona Untrusted (Enterprise) e Trusted (Industrial) separadas por firewall com regra No Direct IACS Traffic

Print público do guia ENET-TD013A-EN-P: nenhum tráfego IACS atravessa direto. A IDMZ replica serviços, registra, inspeciona e desconecta, é o controle estrutural exigido pelo CPwE para atender os requisitos de zonas e conduítes da IEC 62443.

Fonte: Cisco + Rockwell Automation · Securely Traversing IACS Data across the IDMZ (ENET-TD013A-EN-P)

IDMZ · zona-pivô do CPwE

Sem IDMZ, não existe IEC 62443 aplicada

A IDMZ é o ponto onde a segurança de processo deixa de ser teoria. Servidores replicados, gateways de transferência, RD Gateway, historian em PI-to-PI e WSUS vivem na IDMZ, nunca direto na camada de controle. É essa fronteira que permite manter a planta conectada à TI corporativa sem expor o IACS.

  • ·Firewalls redundantes em modo high-availability, com regras documentadas e revisadas por mudança.
  • ·Serviços replicados (Historian, AD, WSUS, Antivírus) em vez de acesso direto enterprise→industrial.
  • ·Acesso remoto sempre via Remote Desktop Gateway com MFA, jump host registrado e gravação de sessão.
  • ·Pontos de desconexão (Disconnect) explícitos para isolar a planta em incidente de cibersegurança.

Como atuamos

Do diagnóstico ao plano de resposta

Cibersegurança OT não é firewall na borda. É segmentação correta, endurecimento de configuração, gestão de identidades, auditoria de mudanças e plano de resposta. Aplicamos os controles da IEC 62443 com base no nível de segurança (SL-T) definido por zona.

Zonas e conduítes

Cada área crítica recebe fronteiras lógicas, regras de comunicação e critérios de acesso alinhados ao risco operacional.

IDMZ industrial

A integração com TI, nuvem, historian corporativo e acesso remoto passa por uma zona intermediária, nunca por caminho direto.

Alta disponibilidade

DLR, PRP, redundância de uplinks e desenho de anel entram quando o custo de indisponibilidade justifica a complexidade.

O que você recebe

  • Diagnóstico de rede industrial existente com análise de risco e maturidade
  • Projeto de topologia (anel de fibra, DLR, PRP) com switches Cisco e Stratix
  • Segmentação Purdue / CPwE com VLANs, ACLs e firewalls industriais
  • Endurecimento de configuração de switches (port security, BPDU guard, storm control)
  • Integração OPC UA com camada de supervisão e informação
  • Roteiro de cibersegurança orientado à IEC 62443 SL-T por zona
  • Programa de gestão de patches e atualizações (FactoryTalk AssetCentre)
  • Diagnóstico de tráfego, loops, broadcast storms, latência e saúde de switches
  • Hardening de servidores, estações de engenharia, HMIs e switches industriais
  • Plano de monitoramento OT e resposta a incidentes com evidências operacionais
  • Documentação de rede, plano de resposta a incidentes e treinamento OT

Referência técnica pública

DLR, topologia e disponibilidade em rede industrial

Arquitetura ControlLogix com DLR convergente

Referência visual pública para contextualizar topologias de alta disponibilidade, DLR e integração de controladores em redes industriais.

Fonte: Rockwell Automation - ControlLogix High Availability Reference Architectures

Rede industrial não é cabeamento: é arquitetura operacional

A proposta técnica da Integra inclui EtherNet/IP, OPC UA, Modbus TCP/RTU, IEC 61850, Foundation Fieldbus, Profibus PA e HART quando o processo exige. O desenho define onde cada protocolo entra, quais dados cruza, qual zona protege e como a manutenção diagnostica falhas sem depender de tentativa e erro.

Ver tecnologias de redes e OT

Frameworks e referências aplicadas

  • ISA/IEC 62443 Cibersegurança OT (zonas e SL)
  • NIST SP 800-82 Guia de segurança ICS/OT
  • CPwE Arquitetura Rockwell + Cisco + Panduit
  • IEC 61850 Comunicação em subestações
  • DLR / PRP Redes de alta disponibilidade
  • OPC UA Comunicação segura entre sistemas

Perguntas frequentes

IEC 62443 é obrigatória no Brasil?
Não há lei brasileira específica obrigando IEC 62443. Ela é referência internacional adotada como base de cibersegurança industrial, citada em auditorias corporativas e em requisitos de clientes finais em diversos setores. É o padrão técnico que recomendamos para projetos novos.
Como vocês fazem segmentação sem parar a planta?
Trabalhamos por fases: primeiro mapeamos tráfego real (port mirror + análise), desenhamos a segmentação alvo, validamos em ambiente de homologação ou laboratório, e fazemos o cutover em janela planejada com plano de rollback. Nunca cego, nunca improvisado.
Vocês entregam o equipamento de rede também?
Não fornecemos hardware diretamente. Somos integradores, não revenda. Trabalhamos com a especificação ideal (Stratix, Cisco IE) e indicamos canais de aquisição com a Rockwell ou parceiros, garantindo que o que chega na planta é o que foi projetado.
Como CPwE se relaciona com IEC 62443?
CPwE (Converged Plantwide Ethernet) é a arquitetura de referência conjunta da Rockwell e da Cisco para implementar os princípios de IEC 62443 em redes industriais: segmentação, defense-in-depth e zonas de segurança. Aplicamos os dois em conjunto.
Por onde começar uma jornada IEC 62443 numa planta legada?
Pelo diagnóstico: inventário de ativos, fluxos de comunicação, zonas implícitas e gaps contra SL-T desejado. Sem mapa, qualquer ação vira achismo. O diagnóstico orienta um roadmap progressivo, fasado por área crítica conforme prioridade de risco.
Quanto tempo leva implementar IDMZ numa planta existente?
Inclui análise de tráfego, desenho, aquisição de firewalls e servidores, migração de serviços replicados (PI-to-PI, RD Gateway, AD industrial, WSUS) e validação. O cronograma específico depende do escopo, das integrações existentes e das janelas operacionais disponíveis.
Posso ter rede industrial sem IDMZ se a planta for isolada?
Em planta totalmente isolada, é tecnicamente possível. Mas a maioria das plantas precisa integrar dados com TI corporativa (ERP, manutenção predictiva, dashboards executivos), e nesses casos a IDMZ é o controle estrutural recomendado pela CPwE e pela IEC 62443. Não há atalho seguro.
Qual a diferença entre IEC 62443 SL-2 e SL-3?
SL-2 protege contra ataques deliberados com recursos modestos (script kiddies, malware comum). SL-3 protege contra ataques sofisticados com habilidades específicas em ICS (engenharia social, recursos médios). SL-3 exige controles bem mais profundos: segmentação rigorosa, monitoramento ativo e MFA obrigatório.
Patch management em OT atrasa a planta?
Atrasa quando improvisado. Bem feito (homologação em ambiente espelho, janela planejada, plano de rollback), o patch management entra na rotina sem impactar produção. O risco é o oposto: não patchar e ser comprometido por CVE conhecido.
Vocês fazem teste de penetração em rede OT?
Não fazemos pentest invasivo em planta de processo. Risco operacional inaceitável. Trabalhamos com red team-as-a-service em parceiros especializados, sempre em ambiente espelho ou em janela controlada com plano de recuperação aprovado.

Sua planta precisa de uma análise de rede e cibersegurança OT?

Começamos com diagnóstico documentado: o que existe hoje, qual o risco operacional, qual o gap até IEC 62443 SL-T desejado. Sem alarmismo, sem checklist de produto.

Solicitar diagnóstico OT Ver PlantPAx