Usmernenia pre nasadenie kybernetickej bezpečnosti

Bezpečnosť inštalácie a uvedenia do prevádzky
Pred pripojením Ekip Connect k akejkoľvek sieti alebo zariadeniam, aby steminimalizovali riziko bezpečnostných incidentov a malvéru, postupujte podľa tohto bezpečnostného zoznamu:

1. Operačný systém

•    Nasadenie na Windows 11 s najnovšími bezpečnostnými záplatami (minimálne: Windows 10)
•    Povoliť Secure Boot v BIOSe (povinné pre Windows 11)

2. Bezpečnosť pracovnej stanice

•    Obmedzte fyzický prístup k pracovným staniciam Ekip Connect
•    Povoliť úplné šifrovanie disku (BitLocker alebo ekvivalent)
•    Vypnúť autologin; Konfigurovať prihlásenie chránené heslom
•    Nastavte automatické zamykanie obrazovky (odporúčaných 15 minút)
•    Povoliť Windows Firewall s pravidlami default-deny pre prichádzajúci vstup

3. Ochrana softvéru

•    Nainštalujte antivírus + antimalware softvér
•    Nastavte Scanning v reálnom čase a denné úplné skeny
•    Povoliť automatické aktualizácie antivírusovej definície

4. Autentifikácia používateľa

•    Všetci používatelia sa musia autentifikovať cez MyABB (ak je ABB notebook)
•    Vynuťte silné heslá (minimálne 8 znakov, 3 typy znakov)
•    Povoliť viacfaktorovú autentifikáciu (MFA) pre MyABB
•    Vypnúť súbežné relácie z toho istého používateľského účtu

5. Konfigurácia siete

•    Nasadenie na vyhradenom segmente správy siete (samostatná VLAN)
•    Nakonfigurujte firewall tak, aby povoľoval iba požadované odchádzajúce porty:

      • Port 443/TCP (HTTPS cloudové pripojenie)

      • Port 53/UDP (DNS)

      • Port 123/UDP (NTP)

•    Izolujte siete zariadení od podnikových sietí (vyžaduje sa firewall)

6. Automatické aktualizácie

•    Povoliť automatické aktualizácie Windows
•    Nakonfigurujte antivírus tak, aby automaticky aktualizoval definície

7. Počiatočné overenie

•    Overiť, že Secure Boot je aktívny
•    Overiť, že je Windows Firewall zapnutý

•    Overte, či antivírus beží a je aktualizovaný

   

Konfigurácia firewallu a bezpečnosť

Ekip Connect používa špecifické porty pre rôzne typy komunikácie. Správna konfigurácia firewallu je nevyhnutná pre bezpečnosť.

Povinné porty (povinné pre cloudové funkcie)

Port 443/TCP (HTTPS - Cloudové pripojenie)

• ABB ELSP Digital Manager API
• Konektivita ABB Ability Platform
• Prístup k knižnici firmvéru
• Aktualizácie a aktualizácie na stiahnutie
• Musí byť ZAPNUTÝ pre cloudové funkcie
• VŽDY šifrované (TLS 1.2 alebo vyššie)

Port 53/UDP (DNS - Domain Name Resolution)

• Potrebné na vyriešenie ABB cloudových koncových bodov
• Musí byť ZAPNUTÝ pre akékoľvek cloudové pripojenie
• Žiadne šifrovanie (štandardný DNS protokol)

• Odporúčam používať dôveryhodné DNS servery

   

Odporúčané porty (veľmi odporúčané)

Port 123/UDP (NTP - synchronizácia času)

• Protokol Network Time pre presnosť systémových hodín
• Dôležité pre presnosť a bezpečnosť časových značiek v logoch
• Veľmi odporúčané, ale nie je to úplne povinné

• Povoliť, ak to sieťová konfigurácia umožňuje

   

Komunikačné porty zariadení (pre pripojenie zariadení)

Port 502/TCP (Modbus TCP)

• Komunikácia medzi zariadeniami a Ekip Connect cez Ethernet
• OBOJSMERNÉ (zariadenie sa môže pripojiť späť)
• Nešifrovaný protokol (vyžaduje sa segmentácia siete)
• Zapnite len siete na zariadení (nie na internet)
• Firewall by mal tento port obmedziť len na autorizované zariadenia

Port 69/UDP (TFTP - Triviálny protokol na prenos súborov)

• Sťahovanie firmvéru a nastavenie zariadení
• Obojsmerná komunikácia
• Nešifrované (použitie iba v izolovaných sieťach)
• Vyžaduje sa len počas aktualizácie firmvéru
• Dá sa vypnúť mimo údržbových okien

Poznámka: počas procesu provisioningu zariadenia do ABB Ability™ EM & AM sa uistite, že váš firewall je správne nakonfigurovaný podľa aktívnych portov uvedených vyššie. Ak narazíte na komunikačné problémy, skúste dočasne vypnúť firewall a zapnite ho znova na konci procesu Provisioning.