當(dāng)前位置:首頁 > 物聯(lián)網(wǎng) > 物聯(lián)網(wǎng)技術(shù)文庫
[導(dǎo)讀] 將數(shù)據(jù)中心使用的微隔離技術(shù) (MicroSegmentation) 作為 IoT 物聯(lián)網(wǎng)安全策略的一部分進(jìn)行部署,可以實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)更細(xì)粒度的控制,并實(shí)現(xiàn)更好的隔離。 隨著等保

將數(shù)據(jù)中心使用的微隔離技術(shù) (MicroSegmentation) 作為 IoT 物聯(lián)網(wǎng)安全策略的一部分進(jìn)行部署,可以實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)更細(xì)粒度的控制,并實(shí)現(xiàn)更好的隔離。

隨著等保 2.0 將物聯(lián)網(wǎng)和工控系統(tǒng)納入等級保護(hù)監(jiān)管,處于起步階段的物聯(lián)網(wǎng)和工控安全將迎來快速發(fā)展。與此同時(shí),隨著物聯(lián)網(wǎng)部署的快速增長,該領(lǐng)域面臨的安全威脅也越來越大。根據(jù)研究公司 Ponemon InsTItute 和風(fēng)險(xiǎn)管理服務(wù)公司 The Santa Fe Group 的報(bào)告,自2017 年以來,與 IoT 相關(guān)的數(shù)據(jù)泄露事件 “急劇” 增加。使問題進(jìn)一步復(fù)雜化的是,大多數(shù)企業(yè)并不了解其環(huán)境中(包括)第三方供應(yīng)商的每一個(gè) IoT 設(shè)備或應(yīng)用程序的安全性。Ponemon 的研究表明,許多組織沒有解決或管理物聯(lián)網(wǎng)風(fēng)險(xiǎn)的集中責(zé)任制,并且大多數(shù)人認(rèn)為他們的數(shù)據(jù)將在未來 24 個(gè)月內(nèi)遭到破壞。

IoT 安全風(fēng)險(xiǎn)對于醫(yī)療等行業(yè)而言尤為嚴(yán)峻,因?yàn)榻K端設(shè)備會(huì)通過網(wǎng)絡(luò)收集和共享大量敏感信息。研究公司 Vanson Bourne 調(diào)查了 232 個(gè)醫(yī)療行業(yè)用戶發(fā)現(xiàn),82% 的受訪者在過去一年中遭遇過以物聯(lián)網(wǎng)為中心的網(wǎng)絡(luò)攻擊。醫(yī)療機(jī)構(gòu)最常見的漏洞分布如下:網(wǎng)絡(luò) (50%),移動(dòng)設(shè)備和隨附的應(yīng)用程序 (45%),以及物聯(lián)網(wǎng)設(shè)備 (42%)。

微隔離,更好的選擇

早在 2017 年,Gartner 就將微隔離技術(shù) (MicrosegmentaTIon) 評為 11 大最值得關(guān)注的信息安全技術(shù)。

當(dāng)攻擊者滲透進(jìn)入企業(yè)系統(tǒng)獲得據(jù)點(diǎn),通常都能在周邊系統(tǒng)自由拓展。微隔離技術(shù)能夠在虛擬數(shù)據(jù)中心中進(jìn)行隔離劃分,防范攻擊者的內(nèi)部游走,將攻擊導(dǎo)致的損失降至最低。

近年來推動(dòng)微隔離技術(shù)發(fā)展的主要?jiǎng)恿κ擒浖x網(wǎng)絡(luò) (SDN) 和網(wǎng)絡(luò)虛擬化的出現(xiàn)。通過使用與網(wǎng)絡(luò)硬件分離的軟件,與那些尚未與底層硬件分離的軟件相比,分段(隔離)更容易實(shí)現(xiàn)。

相比防火墻這種以邊界為中心的產(chǎn)品,微隔離技術(shù)大大提高了數(shù)據(jù)中心的流量控制能力,因此可以有效阻止攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行破壞。

微隔離也有管理上的好處。IDC 的 IoT 安全分析師 Robyn Westervelt 表示:

如果可以正確實(shí)施微分段,則可以在 IoT 設(shè)備和其他敏感資源之間添加一層安全保護(hù),而不會(huì)在防火墻上造成漏洞 。但是底層的基礎(chǔ)架構(gòu)必須支持這種方法,并且可能需要安裝比較新的交換機(jī)、網(wǎng)關(guān)等。

對于工業(yè)物聯(lián)網(wǎng)來說,內(nèi)部防火墻太貴太復(fù)雜

保護(hù)工業(yè)物聯(lián)網(wǎng) (IIoT) 環(huán)境的一種方法是使用內(nèi)部防火墻。這似乎是一個(gè)顯而易見的選擇,因?yàn)閮?nèi)部防火墻已成為所有安全保護(hù)的事實(shí)標(biāo)準(zhǔn)。但是,在工業(yè)物聯(lián)網(wǎng)環(huán)境中,由于成本和復(fù)雜性,防火墻可能是最差的選擇。

從歷史上看,內(nèi)部防火墻被部署在流量沿 “南北” 方向移動(dòng)的地方,并會(huì)通過單個(gè)入口/出口點(diǎn),例如核心交換機(jī)。而且,連接的設(shè)備都是可知和可管理的。但在工業(yè)物聯(lián)網(wǎng)中,連接變得更加動(dòng)態(tài),流量可以 “東西向” 模式在設(shè)備之間流動(dòng),從而繞過防火墻所在的位置。這意味著安全團(tuán)隊(duì)需要在每個(gè)可能的 IIoT 連接點(diǎn)部署內(nèi)部防火墻,然后跨數(shù)百個(gè)(可能是數(shù)千個(gè))防火墻管理策略和配置,從而造成幾乎無法控制的局面。

專門研究 IIoT 安全解決方案的 Tempered Networks 總裁兼首席執(zhí)行官Jeff Hussey透露,他們的一個(gè)客戶對內(nèi)部防火墻需求進(jìn)行評估后,發(fā)現(xiàn)其成本高達(dá) 1 億美元,運(yùn)營方面的挑戰(zhàn)同樣巨大。另外一個(gè)醫(yī)療企業(yè)嘗試使用防火墻規(guī)則、ACL、VLAN 和 VPN 的組合來保護(hù)其環(huán)境,但是發(fā)現(xiàn)無法承受 “高度復(fù)雜性帶來的運(yùn)營開銷”。

國際控制系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì) (CS2AI) 的創(chuàng)始人兼董事長 Derek Harp 認(rèn)為,隨著第三方不斷需要從內(nèi)部系統(tǒng)訪問數(shù)據(jù),隨著工業(yè)物聯(lián)網(wǎng)自身的不斷發(fā)展和開放,當(dāng)前的IIoT環(huán)境變得越來越 “千瘡百孔”。IIoT 網(wǎng)絡(luò)安全團(tuán)隊(duì)面臨的挑戰(zhàn)遠(yuǎn)超傳統(tǒng)安全團(tuán)隊(duì)。

對于工業(yè)物聯(lián)網(wǎng),微隔離優(yōu)于內(nèi)部防火墻

工業(yè)物聯(lián)網(wǎng)安全專業(yè)人員應(yīng)該使用微隔離,而不是內(nèi)部防火墻。微隔離類似于 VLAN 和 ACL,但是環(huán)境隔離是在設(shè)備級別完成的,通過規(guī)則而不是在網(wǎng)絡(luò)層進(jìn)行管理。使用 VLAN 和 ACL,需要將所有設(shè)備(包括 IIoT 端點(diǎn))分配給 VLAN。如果端點(diǎn)移動(dòng),則需要重新配置網(wǎng)絡(luò)以適應(yīng)。否則該設(shè)備將無法連接,或者與被破壞的設(shè)備、可能發(fā)生不良情況的設(shè)備位于同一網(wǎng)絡(luò)上。

幾年前的 Target 違規(guī)就是一個(gè)很好的例子,零售商的 HVAC 系統(tǒng)遭到破壞,這為銷售點(diǎn) (PoS) 系統(tǒng)制造了后門。傳統(tǒng)的安全性在高度靜態(tài)的環(huán)境中非常有效,但是 IIoT 可以通過設(shè)備定期加入和離開網(wǎng)絡(luò)來實(shí)現(xiàn)高度動(dòng)態(tài)。

工業(yè)物聯(lián)網(wǎng)是微隔離下一個(gè)優(yōu)秀用例

微隔離的優(yōu)點(diǎn)是可以在軟件中配置,并且在設(shè)備連接層上運(yùn)行,是基于端點(diǎn)的策略。例如,可以創(chuàng)建一個(gè)微隔離規(guī)則,讓所有醫(yī)療設(shè)備都位于特定的段中,并且與其余連接的節(jié)點(diǎn)隔離。如果移動(dòng)了醫(yī)療設(shè)備,則該策略將隨之而動(dòng),無需重新配置。如果 Target 一直在使用 IIoT 微隔離,并且 HVAC 空暖控制系統(tǒng)和 PoS 系統(tǒng)位于不同的微分段,那么黑客能做的最壞的事情無非就是讓商場室溫升高。

微隔離已經(jīng)應(yīng)用于數(shù)據(jù)中心,以保護(hù)在虛擬機(jī)和容器之間流動(dòng)的橫向流量。網(wǎng)絡(luò)安全團(tuán)隊(duì)現(xiàn)在應(yīng)該尋求將該技術(shù)推廣和擴(kuò)展到更多應(yīng)用場景,保護(hù)工業(yè)物聯(lián)網(wǎng)端點(diǎn)就是一個(gè)優(yōu)秀的用例。這將使企業(yè)能夠推進(jìn)數(shù)字化轉(zhuǎn)型計(jì)劃,而不會(huì)給公司帶來風(fēng)險(xiǎn)。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運(yùn)營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動(dòng)力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉