In molti stabilimenti la rete industriale nasce piatta. Un unico dominio di broadcast che collega PLC, HMI, server SCADA, engineering station, stampanti, PC di ufficio e, a volte, anche la rete Wi-Fi dei visitatori. Quando tutto funziona, nessuno ci pensa. Quando qualcosa va storto, il problema si propaga ovunque.

La segmentazione di rete OT serve a contenere questo rischio: separare i flussi, ridurre la superficie esposta, limitare il movimento laterale e creare condizioni in cui un problema in un punto non si trasforma automaticamente in un fermo impianto generalizzato. Non si tratta di blindare tutto, ma di progettare una comunicazione strettamente necessaria e verificabile tra le diverse parti dell'infrastruttura.

Perche la rete piatta e un problema concreto

Una rete piatta in ambito OT non e solo un rischio teorico. Le conseguenze pratiche si vedono in diverse situazioni:

  • Un ransomware che entra da una postazione office raggiunge i server SCADA senza ostacoli
  • Un broadcast storm generato da un dispositivo difettoso blocca la comunicazione tra PLC e HMI
  • Un manutentore esterno collegato alla rete ha visibilita su tutta l'infrastruttura, non solo sulla macchina di sua competenza
  • Una scansione di rete non autorizzata puo disturbare PLC e dispositivi embedded che non tollerano traffico imprevisto
  • Non esiste modo di tracciare chi comunica con cosa, perche tutto e nello stesso segmento

In queste condizioni, qualsiasi incidente โ€” cyber o semplicemente operativo โ€” ha la possibilita di espandersi senza controllo. E la risposta all'incidente diventa molto piu complicata, perche non ci sono confini chiari tra le zone.

Patch panel di rete con cavi Ethernet collegati a porte RJ45 numerate
Patch panel con porte Ethernet numerate e cavi di rete collegati: il punto di partenza fisico della segmentazione. Foto: Unsplash (licenza gratuita).

Il modello zone e conduit della IEC 62443

Lo standard IEC 62443 introduce un concetto semplice ma efficace: dividere l'infrastruttura in zone (gruppi di asset con requisiti di sicurezza omogenei) collegate da conduit (canali di comunicazione controllati tra le zone).

Ogni zona ha un livello di sicurezza (Security Level) che riflette il rischio e la criticita degli asset che contiene. I conduit tra le zone devono garantire che il traffico sia limitato al necessario e che le politiche di sicurezza siano coerenti con i livelli richiesti.

Nella pratica, questo si traduce in una serie di scelte architetturali:

  • Separare la rete IT dalla rete OT con un confine netto, tipicamente una DMZ industriale
  • Dividere la rete OT in zone funzionali: controllo, supervisione, engineering, manutenzione
  • Definire regole esplicite per ogni flusso che attraversa i confini di zona
  • Usare firewall o dispositivi di filtraggio ai punti di transito tra le zone

Il modello zone e conduit non prescrive una topologia specifica. Si adatta ad architetture diverse: bus industriali, reti Ethernet switched, anelli ridondati, architetture a stella. Il punto centrale e la logica di separazione, non la tecnologia usata per implementarla.

Come identificare le zone in un impianto reale

Definire le zone su carta e abbastanza intuitivo. Farlo su un impianto che esiste gia, con vincoli storici, cablaggio esistente e apparati che non si possono spegnere, e un altro discorso.

Un approccio pragmatico parte da queste domande:

Quali gruppi di asset condividono la stessa funzione operativa?

I PLC di una linea di produzione, gli I/O remoti, i drive e i sensori associati appartengono tipicamente alla stessa zona di controllo. Le HMI che operano quella linea possono stare nella stessa zona oppure in una zona di supervisione separata, a seconda dell'architettura e del livello di rischio accettabile.

Quali asset hanno requisiti di sicurezza diversi?

Un server SCADA che raccoglie dati da piu linee ha un profilo di rischio diverso da un singolo PLC. Una engineering station con TIA Portal, Studio 5000 o altro software di sviluppo ha privilegi elevati e capacita di modifica del processo: merita una zona dedicata o almeno regole di accesso specifiche.

Quali flussi di comunicazione sono strettamente necessari?

Il PLC deve comunicare con la sua HMI. La HMI puo avere bisogno di raggiungere il server SCADA. Il server SCADA puo alimentare un historian nella DMZ. Ma il PLC non ha bisogno di raggiungere Internet, e il PC dell'ufficio acquisti non ha bisogno di raggiungere il PLC. Mappare i flussi necessari e il primo passo per definire i conduit.

Dove si trovano i punti di accesso remoto e manutenzione?

I punti dove entrano manutentori esterni, dove si collegano VPN, dove si usano tool di teleassistenza: questi sono confini naturali di zona. L'accesso di manutenzione non dovrebbe mai arrivare direttamente nella zona di controllo senza passare per un punto di mediazione.

Architettura tipo: livelli e separazione dei flussi

Un'architettura di segmentazione OT ragionevolmente matura, ispirata ai modelli Purdue/ISA-95 e alle raccomandazioni IEC 62443, si articola su piu livelli. Non e l'unica architettura possibile, ma rappresenta un riferimento consolidato.

Livello 0 โ€” Processo fisicosensori, attuatori, strumentazione di campo
Livello 1 โ€” Controllo basePLC, RTU, controller di sicurezza, drive
Livello 2 โ€” SupervisioneHMI, server SCADA, sistemi DCS, pannelli operatore
Livello 3 โ€” Operationshistorian, MES, engineering station, gateway di comunicazione
DMZ industrialeserver di interscambio, jump host, mirror historian, portali web
Livello 4-5 โ€” Enterprise/ITERP, email, office, servizi cloud, accessi Internet

Il principio guida e che la comunicazione scende dall'alto verso il basso per consultazione e sale dal basso verso l'alto per raccolta dati, ma non deve mai attraversare i livelli senza un punto di controllo. In particolare, nessun sistema IT dovrebbe comunicare direttamente con il livello di controllo (livello 1) senza passare almeno per la DMZ e per il livello 3.

La DMZ industriale: cosa ci va e cosa no

La DMZ industriale e il punto di interscambio tra il mondo IT e il mondo OT. Non e un semplice firewall: e una zona separata con servizi dedicati che evitano il contatto diretto tra le due reti.

Nella DMZ possono trovarsi:

  • Mirror historian โ€” una replica del database storico che l'IT puo interrogare senza accedere al server SCADA reale
  • Jump host โ€” una postazione controllata attraverso cui i manutentori si collegano alla rete OT, con sessione tracciata e autenticazione forte
  • Server di patch e aggiornamento โ€” un repository locale da cui i sistemi OT scaricano aggiornamenti senza collegamento diretto a Internet
  • Gateway applicativi โ€” servizi che trasferiscono dati tra IT e OT in modo unidirezionale o strettamente regolato

Quello che non dovrebbe stare in DMZ: il server SCADA attivo, le engineering station, i database di produzione, le console di gestione dei PLC. Questi appartengono al lato OT e vanno protetti di conseguenza.

Un errore frequente e creare una DMZ sulla carta ma poi aprire regole firewall cosi permissive da rendere la separazione inefficace. La DMZ funziona solo se le regole di attraversamento sono restrittive e documentate.

Sala server con armadi rack e infrastruttura di rete in un data center
Infrastruttura server e armadi di rete: la DMZ industriale richiede servizi dedicati in una zona separata. Foto: Unsplash (licenza gratuita).

Separare PLC, HMI e SCADA: scelte pratiche

All'interno della rete OT, la separazione tra PLC, HMI e SCADA dipende dalla complessita dell'impianto, dal numero di linee, dalla criticita del processo e dalla topologia di rete esistente.

Impianti con poche linee e architettura semplice

In un impianto piccolo โ€” due o tre linee, una decina di PLC, poche HMI โ€” una segmentazione per VLAN con un firewall o un managed switch di livello 3 puo essere sufficiente. L'obiettivo minimo e separare almeno:

  • La rete di controllo (PLC, I/O remoti, drive) dalla rete di supervisione (HMI, SCADA)
  • Il traffico di engineering dal traffico di produzione
  • Gli accessi di manutenzione dal resto della rete OT

Anche con risorse limitate, questa separazione riduce sensibilmente il rischio. Un problema sulla postazione di engineering non impatta direttamente il bus di controllo. Un manutentore esterno vede solo il segmento che gli compete.

Impianti complessi con piu linee e celle

Negli impianti piu grandi, la segmentazione va fatta per cella produttiva o per zona funzionale. Ogni cella ha la sua rete di controllo, e la comunicazione tra celle passa attraverso punti controllati. Il server SCADA puo comunicare con piu celle, ma ciascuna cella non deve avere visibilita sulle altre.

Questo approccio limita il blast radius: se una cella viene compromessa, le altre continuano a operare. La risposta all'incidente puo concentrarsi su un perimetro definito anziche sull'intera rete.

Il caso delle reti legacy

Su impianti con 15 o 20 anni di vita, non e raro trovare PLC collegati a switch non gestiti, reti senza VLAN, protocolli che non supportano autenticazione e topologie cresciute per stratificazione. In questi casi la segmentazione completa puo richiedere interventi significativi, e non sempre si puo fare tutto in una volta.

Un approccio graduale funziona meglio:

  1. Inserire un firewall o un managed switch al confine tra IT e OT, anche se inizialmente con regole permissive, per avere visibilita sui flussi
  2. Isolare per primi gli accessi di manutenzione remota e le engineering station
  3. Separare progressivamente le linee piu critiche in VLAN dedicate
  4. Ridurre le regole firewall man mano che si comprende il traffico effettivo

La segmentazione su impianti legacy non sara mai perfetta come su un greenfield. Ma anche una separazione parziale e meglio di nessuna separazione.

Gestione degli accessi di manutenzione

La manutenzione e uno dei punti piu critici in una rete OT segmentata. Il manutentore โ€” interno o esterno โ€” ha bisogno di accedere a PLC, HMI, drive, configurazioni di rete. Ha bisogno di caricare firmware, modificare parametri, fare diagnostica. Questo accesso e necessario per l'operativita, ma rappresenta anche un vettore di rischio se non governato.

Accesso fisico in campo

Quando il manutentore e in stabilimento con il suo laptop, il punto di accesso alla rete OT deve essere controllato. Alcune pratiche ragionevoli:

  • Porte di rete dedicate alla manutenzione, su VLAN separate dal traffico di controllo
  • Autenticazione sulla porta (802.1X) o, in alternativa, abilitazione manuale della porta da parte dell'operatore di impianto
  • Restrizioni sul traffico consentito: il laptop del manutentore raggiunge il PLC su cui deve lavorare, non l'intera rete
  • Logging delle connessioni e delle sessioni

Su impianti dove 802.1X non e praticabile โ€” per limiti degli switch, dei dispositivi o delle tempistiche โ€” anche una VLAN di manutenzione con accesso controllato e un miglioramento significativo rispetto all'accesso diretto alla rete di produzione.

Accesso remoto dei vendor

I vendor di macchine, integratori e manutentori esterni si collegano da remoto per diagnostica, aggiornamenti e supporto. Questo accesso deve passare per un punto di mediazione, tipicamente un jump host o un portale di teleassistenza nella DMZ.

Le regole di base:

  • L'accesso remoto non deve essere permanente. Ogni sessione va approvata, con una finestra temporale definita
  • Autenticazione forte (MFA) per la connessione VPN o per il portale di accesso
  • Sessione limitata al segmento di rete e agli asset su cui il vendor deve operare
  • Registrazione della sessione o almeno logging degli eventi di connessione e disconnessione
  • Revisione periodica degli account vendor: disattivazione di quelli non piu necessari

Molti incidenti OT documentati hanno come vettore iniziale un accesso remoto lasciato aperto, con credenziali condivise o senza scadenza. La segmentazione da sola non basta se il punto di ingresso remoto non e governato.

Engineering station e postazioni di sviluppo

Le engineering station sono i sistemi piu potenti della rete OT: hanno il software di sviluppo, i progetti dei PLC, la capacita di caricare firmware e modificare la logica di controllo. Separarle dal traffico di produzione e una delle misure piu efficaci.

Nella pratica, questo significa:

  • VLAN dedicata per le engineering station, con regole di accesso verso il livello di controllo limitate ai protocolli necessari (es. comunicazione TIA Portal verso PLC Siemens su porte specifiche)
  • Nessun accesso diretto a Internet dalle engineering station
  • Nessun uso delle engineering station per email, navigazione web o attivita office
  • Backup regolare dei progetti e delle configurazioni

In molti stabilimenti le engineering station sono ancora PC generici con accesso a tutto. Separarle e un intervento che ha un impatto reale sulla riduzione del rischio, anche senza stravolgere il resto della rete.

Firewall OT: cosa aspettarsi e cosa no

Un firewall tra le zone OT non funziona come un firewall IT tradizionale. In ambito industriale il traffico e spesso piu prevedibile โ€” protocolli specifici, flussi regolari, connessioni stabili โ€” ma i vincoli sono diversi.

Aspetti da considerare nella scelta e nel posizionamento di un firewall OT:

  • Latenza โ€” alcuni protocolli industriali (Profinet, EtherNet/IP con CIP, Modbus TCP) sono sensibili alla latenza. Il firewall deve essere dimensionato per non introdurre ritardi che impattano il ciclo di controllo
  • Protocolli industriali โ€” un firewall che filtra solo su IP e porta non basta per protocolli come S7comm, OPC UA, Modbus TCP. I firewall con DPI (Deep Packet Inspection) industriale possono ispezionare il payload e applicare regole a livello applicativo, ma vanno testati sull'impianto reale
  • Modalita di deployment โ€” in molti casi il firewall viene inserito in modalita trasparente (bridge) per non modificare l'indirizzamento IP esistente, riducendo l'impatto sull'impianto
  • Failover โ€” un firewall che si guasta non deve bloccare la produzione. La modalita fail-open (che in caso di guasto lascia passare il traffico) e la ridondanza hardware sono aspetti da valutare caso per caso, bilanciando sicurezza e continuita operativa
  • Gestione e logging โ€” la console di gestione del firewall OT dovrebbe stare nella DMZ o nel livello 3, non nella rete IT. I log devono essere raccolti e conservati in modo accessibile per troubleshooting e audit

Non tutti gli impianti hanno bisogno di firewall con DPI industriale. Per molte architetture, un buon firewall stateful con regole ben definite, combinato con una VLAN correttamente configurata, rappresenta gia un livello di protezione significativo.

Switch di rete con cavi Ethernet e fibra ottica collegati
Switch di rete con cavi Ethernet e fibra ottica: la corretta configurazione delle VLAN sugli switch managed e la base della segmentazione. Foto: Unsplash (licenza gratuita).

VLAN: utili ma non sufficienti

Le VLAN sono il meccanismo piu usato per segmentare le reti industriali. Sono relativamente semplici da implementare sugli switch managed, non richiedono hardware aggiuntivo e permettono di separare i domini di broadcast.

Tuttavia, le VLAN da sole non sono una misura di sicurezza completa:

  • Una VLAN separa il traffico a livello 2, ma senza ACL o firewall a livello 3, il routing tra VLAN puo vanificare la separazione
  • Se lo switch non e configurato correttamente (trunk non protetti, VLAN hopping), la separazione e fragile
  • Le VLAN non forniscono ispezione del traffico: non vedono cosa passa dentro i pacchetti
  • In assenza di autenticazione sulla porta, chiunque puo collegarsi a una VLAN se ha accesso fisico alla porta

La buona pratica e usare le VLAN come base di segmentazione e aggiungere controlli ai punti di transito: firewall tra le VLAN critiche, ACL sugli switch di livello 3, regole esplicite per i flussi inter-VLAN.

Protocolli industriali e segmentazione: vincoli reali

Non tutti i protocolli industriali si comportano allo stesso modo rispetto alla segmentazione. Alcuni aspetti pratici che influenzano le scelte architetturali:

  • Profinet โ€” opera a livello 2 (Ethernet), quindi PLC e I/O remoti Profinet devono stare nella stessa VLAN o nello stesso dominio di broadcast. La segmentazione tra PLC e I/O Profinet non e praticabile senza proxy o gateway specifici
  • EtherNet/IP โ€” usa TCP/UDP su IP, quindi puo attraversare router e firewall. La segmentazione tra controller e dispositivi EtherNet/IP e possibile, ma le regole firewall devono tenere conto delle porte implicite e del traffico multicast
  • Modbus TCP โ€” protocollo semplice su TCP porta 502, facilmente filtrabile. Ma non ha autenticazione nativa: chiunque raggiunga la porta puo leggere e scrivere registri. La segmentazione e particolarmente importante per limitare chi puo comunicare con i dispositivi Modbus
  • OPC UA โ€” supporta autenticazione e crittografia nativamente, ma la configurazione corretta dei certificati e dei trust store non e banale. La segmentazione aiuta a ridurre la superficie esposta anche quando OPC UA e configurato correttamente
  • OPC DA (DCOM) โ€” richiede porte dinamiche e configurazioni DCOM che rendono il filtraggio firewall complesso. Dove possibile, la migrazione a OPC UA semplifica la segmentazione

Prima di segmentare, serve una mappa dei protocolli usati e dei flussi di comunicazione reali. Senza questa mappa, il rischio e di interrompere comunicazioni necessarie al processo.

Errori frequenti nella segmentazione OT

Errori comuni

Segmentare sulla carta ma lasciare regole firewall "any-any"
Creare VLAN senza ACL o filtraggio inter-VLAN
Dimenticare il traffico di engineering e manutenzione
Lasciare accessi remoti vendor fuori dal perimetro segmentato
Non documentare le regole e perderne il controllo nel tempo
Segmentare senza prima mappare i flussi reali, causando fermi
Approccio piu solido

Regole firewall restrittive, basate su flussi verificati
VLAN con controllo di accesso ai punti di transito
VLAN e regole dedicate per engineering e manutenzione
Accessi remoti che passano per DMZ con sessione approvata
Documentazione aggiornata, revisione periodica delle regole
Fase di ascolto e analisi del traffico prima di segmentare

Una sequenza operativa realistica

Segmentare una rete OT esistente non si fa in un weekend. Serve un percorso graduale, compatibile con la continuita operativa.

Fase 1 โ€” Mappaturainventario asset, topologia di rete, protocolli, flussi di comunicazione, accessi remoti
Fase 2 โ€” Definizione zoneraggruppamento per funzione, criticita e requisiti di sicurezza; definizione conduit
Fase 3 โ€” Quick winseparazione IT/OT, DMZ minima, jump host, VLAN manutenzione
Fase 4 โ€” Segmentazione internaVLAN per cella/linea, regole firewall, separazione engineering station
Fase 5 โ€” Consolidamentoriduzione regole permissive, logging, documentazione, revisione periodica

La fase di mappatura e la piu importante. Molti progetti di segmentazione falliscono perche si parte dalla configurazione dei firewall senza conoscere i flussi reali. In impianti con traffico complesso, una fase di ascolto passivo โ€” con tool di analisi di rete o con mirror port sugli switch โ€” puo rivelare flussi che nessuno aveva documentato.

Quanto segmentare: il compromesso tra sicurezza e operativita

La segmentazione perfetta non esiste. O meglio, esiste sulla carta, ma in produzione deve fare i conti con vincoli reali:

  • Dispositivi legacy che non supportano VLAN tagging o che hanno limitazioni di indirizzamento
  • Tempi di fermo limitati per modificare la rete
  • Personale di manutenzione che ha bisogno di accesso rapido in caso di urgenza
  • Integratori e vendor con requisiti di connettivita specifici per il commissioning
  • Budget e risorse limitate

Il livello di segmentazione giusto dipende dal rischio accettabile, dalla criticita del processo e dalla capacita di gestire la complessita introdotta. Una segmentazione troppo granulare che nessuno riesce a manutenere e peggio di una segmentazione piu semplice ma gestita correttamente.

Il criterio pratico: ogni regola di segmentazione deve avere un responsabile che la comprende, sa perche esiste e sa come modificarla quando serve.

Documentazione: il punto debole di molti progetti

Una rete segmentata senza documentazione aggiornata diventa rapidamente un problema. Le regole firewall si accumulano, le VLAN si moltiplicano, le eccezioni diventano la norma e dopo qualche anno nessuno sa piu perche certe regole esistono.

La documentazione minima dovrebbe includere:

  • Schema di rete aggiornato con zone, VLAN, firewall e punti di accesso
  • Tabella dei flussi consentiti tra le zone, con protocollo, porte e giustificazione
  • Elenco delle regole firewall con data di creazione, scopo e responsabile
  • Registro degli accessi di manutenzione: chi si collega, a cosa, quando
  • Procedura di change management per modifiche alla segmentazione

La revisione periodica delle regole โ€” almeno semestrale su impianti critici โ€” serve a eliminare regole obsolete, verificare che la segmentazione rifletta ancora l'architettura reale e identificare derive.

Segmentazione e normativa: IEC 62443, NIS2, NIST

La segmentazione di rete non e solo una buona pratica: e richiamata in modo esplicito o implicito da diversi framework e normative rilevanti per il settore industriale.

  • IEC 62443 โ€” il concetto di zone e conduit e alla base dell'intera architettura di sicurezza dello standard. La parte 62443-3-3 definisce i requisiti di sistema, tra cui la separazione delle reti e il controllo dei flussi
  • NIS2 โ€” la direttiva richiede misure di risk management proporzionate, incluse misure tecniche di protezione della rete. La segmentazione e una delle misure piu concrete per dimostrare un approccio strutturato alla sicurezza OT
  • NIST SP 800-82 Rev. 3 โ€” la guida NIST alla sicurezza OT dedica ampio spazio alla segmentazione, ai firewall industriali e alla separazione tra reti IT e OT, con esempi architetturali dettagliati

Nessuna di queste fonti prescrive un'architettura unica. Tutte convergono sulla necessita di separare, controllare i flussi e documentare le scelte. Il livello di dettaglio dell'implementazione dipende dal contesto specifico.

Checklist rapida per la segmentazione OT
1. Mappa dei flussi di comunicazione reali tra PLC, HMI, SCADA, engineering station e accessi remoti
2. Separazione netta tra rete IT e rete OT con DMZ industriale
3. VLAN per zona funzionale: controllo, supervisione, engineering, manutenzione
4. Firewall o ACL ai punti di transito tra le zone
5. Accessi remoti tramite jump host in DMZ con MFA e sessione approvata
6. Engineering station su segmento dedicato, senza accesso a Internet
7. Documentazione aggiornata di zone, regole e flussi consentiti
8. Revisione periodica delle regole firewall e delle eccezioni

Il nostro punto di vista

La segmentazione di rete OT non e un progetto che si fa una volta e si dimentica. E un processo continuo di comprensione dei flussi, definizione dei confini e gestione delle eccezioni. Gli impianti cambiano, i vendor si aggiungono, le linee si modificano, e la rete deve evolversi di conseguenza.

L'errore piu comune che vediamo su impianti esistenti non e l'assenza di firewall o di VLAN. E l'assenza di una logica chiara dietro le regole: perche quel flusso e aperto, chi lo ha richiesto, quando e stato verificato l'ultima volta. Senza questa disciplina, anche un'architettura ben progettata all'inizio si degrada nel tempo.

La segmentazione piu utile non e quella piu complessa, ma quella che il team di stabilimento riesce a comprendere, gestire e manutenere nel tempo.

Vuoi valutare lo stato della segmentazione nella tua rete OT?

Contattaci per un'analisi tecnica dell'architettura di rete โ€” mappiamo flussi, protocolli, accessi remoti e punti critici, e proponiamo un percorso di segmentazione graduale compatibile con la continuita operativa.

Risorse ufficiali e guide utili