Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Postar um vídeo
263
Apresentações
6
Útil
2
Comentários

Quint@s Quinze: Design para Segurança Industrial

Gabriela Godoi do Prado
Community Manager
Community Manager
‎04-25-2025 07:20 AM
(ver em Os meus vídeos)

Quintas Quinze - Série técnica de eventos

Design para Segurança Industrial baseada em Zero Trust, Purdue e ISA/IEC 62443

Esta palestra apresenta como aplicar os princípios de Zero Trust em ambientes industriais (OT), alinhando os modelos de referência Purdue e ISA/IEC 62443 com tecnologias avançadas como Cisco ISE, SD-Access , SD-Wan e Cyber Vision . Exploraremos como implementar segmentação lógica e contextual, visibilidade profunda de ativos industriais e controle de acesso baseado em identidade e postura. A sessão demonstrará como combinar requisitos regulatórios com uma arquitetura moderna de segurança, promovendo proteção em tempo real contra ameaças cibernéticas e aumentando a resiliência de ambientes industriais críticos.
Indicado para profissionais de cibersegurança, automação e redes industriais que buscam estratégias eficazes e escaláveis para proteger infraestruturas OT conectadas.

Especialista

GabrielaGodoidoPrado_0-1692644607494.png

Luis Matos é Principal Architect na equipe de serviços avançados da CISCO em LATAM, atua há 22 anos na área de segurança (sendo 20 anos também como professor universitário em diversas instituições nacionais). Especialista em soluções complexas de Datacenter, Backbones Internet/MPLS e Segurança para o segmento de operadoras de telecomunicações, grandes bancos e aeroportos. Atuou como líder técnico da equipe de segurança dos jogos olímpicos Rio 2016 e como consultor de segurança nos jogos Pan americanos em Toronto 2015. Possui certificações técnicas da área de redes, dentre elas: PENTA CCIE (Enterprise, Service Provider, Security, Voice, Data Center), DEVNET, CCNA, CCDA, CCNP, IPv6 Gold, MCP, MCP+INTERNET e MCSE.

Próximos Eventos Gravações Anteriores
Se você tiver dúvidas ou estiver enfrentando problemas técnicos com os produtos Cisco, clique aqui para obter informações adicionais gratuitas. Visite a página da Comunidade Cisco.
2 Comentários
Gabriela Godoi do Prado
Community Manager
Community Manager
‎04-29-2025 08:52 AM
‎04-29-2025 08:52 AM
P: O conceito de arquitetura do CPWE, que utiliza o Purdue como referência, que é usado como uma espécie de bíblia por muitos fabricantes de soluções de automação em seus desenhos, dá margem a interpretação pela parte deles de uma segregação física (L2) entre os ambientes IT/OT. Como a Cisco vê essa interpretação considerando conceitos de segmentação lógica (L2/L3), como VLANs, VRFs, macro/microsegmentação que você vem citando? 
R:  Esta pergunta merece uma atenção toda especial pois, resume com maestria o conteúdo da apresentação:
 
Muitos profissionais e estudiosos reconhecem que a referência ao modelo Purdue dentro da arquitetura CPwE (Converged Plantwide Ethernet), embora útil como estrutura inicial, muitas vezes leva a uma interpretação ultrapassada e limitada da segmentação, especialmente por alguns fornecedores tradicionais do universo OT. Esses fornecedores tendem a enxergar o Purdue como um modelo de segregação física rígida, sugerindo que o isolamento entre IT /OT e, principalmente,  OT/OT deve ser feito obrigatoriamente em nível físico, o que, na prática, não é mais viável nem suficiente diante das ameaças modernas.
 
A visão mais atualizada e aceita é a seguinte:
 
1. Purdue define apenas a lógica de camadas, não segmentações de segurança
O modelo Purdue foi originalmente desenvolvido para representar o fluxo funcional da automação industrial, não como uma arquitetura de segurança. De fato, a única separação claramente proposta em termos de segurança é no nível 3.5, onde se recomenda a inserção de um firewall para separar IT e OT. Mas não há definições formais no Purdue sobre macro ou microsegmentação dentro dos níveis (Levels).
 
2. ISA/IEC 62443 avança na segurança OT com zones e conduits
É aí que entra a ISA/IEC 62443, um padrão que formaliza o conceito de macrosegmentação através da criação de zones (grupos de ativos com requisitos de segurança semelhantes) e conduits (caminhos controlados de comunicação entre zones). Essa abordagem já permite isolar áreas críticas, aplicar políticas distintas e controlar o tráfego entre zonas OT e entre OT/IT. No entanto, não existe microsegmentação nesse modelo, ou seja, a comunicação dentro de uma mesma zone não é controlada com granularidade.
 
3. Zero Trust complementa os dois modelos com microsegmentação
Zero Trust é amplamente adotado como uma camada complementar e não excludente, que permite adicionar microsegmentação dentro das zones da ISA/IEC 62443, controlando a comunicação entre workloads, dispositivos ou usuários de forma contextual e dinâmica. Isso pode ser feito com soluções que aplicam políticas baseadas em identidade, comportamento, ou nível de risco, como:
• Segmentação baseada em Vlans e/ou VRFs (redere, camada 3) = Secure Firewall + SD-Access + SD-WAN
        • Microsegmentação baseada em SGT tags (identidade, camada 2) = ISE + SD-Access + Trustsec
• Controles de acesso baseados em contexto (usuário, dispositivo, horário, local, etc.) = ISE + SD-Access + Trustsec + PKI + Posture
        •      Monitoração  de segurança baseada em baselines e comportamento dos dispositivos (behavior analysis) = ISE + Cyber Vision + SNA
 
4. Segmentação moderna não precisa ser física
A maioria dos especialistas defende que segmentação lógica via VLANs, VRFs, grupos de segurança e políticas contextuais (SGTs) é mais eficaz, escalável e segura do que **somente** criar barreiras físicas em redes industriais. O isolamento físico pode até ser parte da estratégia em casos críticos (por exemplo, ativos safety-critical), mas **não pode ser a base única de uma arquitetura moderna**.
 
Conclusão:
Purdue, ISA/IEC 62443 e Zero Trust são modelos complementares. Purdue auxilia na organização funcional, a ISA/IEC 62443 estabelece macrosegmentação baseada em risco, e o Zero Trust adiciona microsegmentação, controle de identidade e contexto, elementos fundamentais para proteção contra ransomware e movimentos laterais.
A segmentação lógica e contextual é o caminho recomendado para ambientes industriais modernos.
Gabriela Godoi do Prado
Community Manager
Community Manager
‎04-29-2025 09:45 AM
‎04-29-2025 09:45 AM

P: Na prática a micro-segmentação entre zonas, no sensor, seria feito através de SGT no ISE?
R: Sim, o ISE autentica e classifica o dispositivo, as Tags e Matriz de Trustsec são criadas e propagadas pelo Catalyst Center (aka DNA-C), e os sensores fazem o enforcement das políticas de segurança.

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Pergunte aos Especialistas Vídeo dos últimos eventos
Artigos populares
Customers Also Viewed These Support Documents