如何通過分段機(jī)制策略進(jìn)行保護(hù)物聯(lián)網(wǎng)的安全

物聯(lián)網(wǎng)（IoT）設(shè)備的快速部署態(tài)勢正對(duì)當(dāng)今不斷發(fā)展的網(wǎng)絡(luò)安全性產(chǎn)生重大而深遠(yuǎn)的影響。

自帶設(shè)備（BYOD）是最近十余年來首輪最重要的物聯(lián)網(wǎng)設(shè)備引入，且主要集中在移動(dòng)手機(jī)與筆記本電腦等用戶自有設(shè)備身上。

在此期間，系統(tǒng)管理員亦在努力將不安全及未受保護(hù)的設(shè)備引入主干封閉網(wǎng)絡(luò)當(dāng)中，而網(wǎng)絡(luò)犯罪分子則很快利用這種新的攻擊載體。

一、人均聯(lián)網(wǎng)設(shè)備數(shù)量即將多達(dá)7臺(tái)

快速推進(jìn)到今天，這個(gè)問題已經(jīng)變得更為復(fù)雜。用戶已經(jīng)開始用智能手機(jī)取代功能機(jī)，其上能夠運(yùn)行的應(yīng)用程序已經(jīng)遠(yuǎn)遠(yuǎn)超過任何人的想象。與此同時(shí)，其它智能設(shè)備（包括可穿戴設(shè)備與平板電腦）仍在持續(xù)增長，部分專家估計(jì)到2020年人均聯(lián)網(wǎng)設(shè)備數(shù)量將多達(dá)7臺(tái)。

然而，最終用戶設(shè)備僅僅只是系統(tǒng)管理員需要關(guān)注的冰山一角。其它物聯(lián)網(wǎng)（IoT）設(shè)備也在以前所未有的速度立足網(wǎng)絡(luò)內(nèi)部激增——從智能家電與庫存追蹤器，再到聯(lián)網(wǎng)醫(yī)療與 OT 設(shè)備皆在其中。這種擴(kuò)展已經(jīng)成為大數(shù)據(jù)增長背后的關(guān)鍵性驅(qū)動(dòng)因素，且貢獻(xiàn)著可觀的網(wǎng)絡(luò)流量比例。

專家們認(rèn)為，到2023年將有近320億臺(tái)物聯(lián)網(wǎng)設(shè)備存在，并以43%的復(fù)合年增長率支持全球移動(dòng)數(shù)據(jù)流量。

二、大多數(shù)IT安全架構(gòu)尚未做好準(zhǔn)備

由于大多數(shù)此類數(shù)據(jù)以需要在不同網(wǎng)絡(luò)（包括多云環(huán)境）內(nèi)的各類應(yīng)用程序與事務(wù)之間往來移動(dòng)的形式存在，因此我們需要對(duì)大部分?jǐn)?shù)據(jù)進(jìn)行加密。

除了數(shù)據(jù)量本身快速超越安全設(shè)備的消化能力之外，加密機(jī)制的介入也將帶來新的復(fù)雜層。在檢查 SSL 流量方面，全球范圍內(nèi)幾乎所有已經(jīng)部署的安全解決方案都很難應(yīng)對(duì)由此帶來的巨大壓力。而且可以肯定的是，未來大多數(shù)邊緣與內(nèi)部安全設(shè)備都需要將此作為自身的主要功能。

對(duì)于在新興數(shù)字市場中競爭的組織而言，安全事故無疑是不可接受的。更糟糕的是，用戶總能找到繞過安全機(jī)制的方法并給網(wǎng)絡(luò)體系帶來致命軟肋。

對(duì)于安全團(tuán)隊(duì)而言，放慢速度以充分應(yīng)用安全檢查與協(xié)議機(jī)制是一種不可接受的處理思路?？紤]緊張的安全預(yù)算，幾乎不可能將安全設(shè)備升級(jí)至足以承載如此嚴(yán)苛的性能要求。

除了上述因素之外，組織還需要確保在不同網(wǎng)絡(luò)域之間傳輸數(shù)據(jù)時(shí)，實(shí)施統(tǒng)一的安全策略——這無疑進(jìn)一步增加了安全問題的復(fù)雜性，組織需要在各種網(wǎng)絡(luò)生態(tài)系統(tǒng)中部署具備相同功能與特性的工具。

三、如何利用分段機(jī)制保護(hù)物聯(lián)網(wǎng)？

實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵策略，在于實(shí)施全面的分段策略。對(duì)于這樣一套行之有效的物聯(lián)網(wǎng)（IoT）安全策略，需要執(zhí)行以下三個(gè)基本步驟：

1、建立廣泛的可見性：

大多數(shù)組織面臨的最大挑戰(zhàn)，在于識(shí)別并追蹤接入網(wǎng)絡(luò)的所有物聯(lián)網(wǎng)設(shè)備。網(wǎng)絡(luò)訪問控制允許組織以安全的方式對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行身份驗(yàn)證與分類。立足訪問點(diǎn)對(duì)設(shè)備進(jìn)行實(shí)時(shí)發(fā)現(xiàn)與分類，IT團(tuán)隊(duì)將能夠構(gòu)建起風(fēng)險(xiǎn)概況，并可自動(dòng)將物聯(lián)網(wǎng)設(shè)備分配予適當(dāng)?shù)脑O(shè)備組與相關(guān)策略。

2、立足生產(chǎn)網(wǎng)絡(luò)進(jìn)行物聯(lián)網(wǎng)分段：

一旦網(wǎng)絡(luò)確定了物聯(lián)網(wǎng)設(shè)備，IT 團(tuán)隊(duì)接下來需要建立物聯(lián)網(wǎng)攻擊面控制機(jī)制。將物聯(lián)網(wǎng)設(shè)備與相關(guān)通信分段為基于策略的組與安全網(wǎng)絡(luò)區(qū)域提供可由網(wǎng)絡(luò)自動(dòng)授予及執(zhí)行的基準(zhǔn)物聯(lián)網(wǎng)設(shè)備配置權(quán)限。

庫存管理工具能夠追蹤這些設(shè)備，行為分析工具可以監(jiān)控其行為，而應(yīng)用內(nèi)分段防火墻（ISFW）則使得組織不僅能夠快速、動(dòng)態(tài)地監(jiān)控其行為，還能夠檢查跨越分段邊界的應(yīng)用程序及其它流量。

3、保護(hù)網(wǎng)絡(luò)：

建立策略驅(qū)動(dòng)型物聯(lián)網(wǎng)組，而后將其與內(nèi)部網(wǎng)絡(luò)分段相結(jié)合，從而根據(jù)行為對(duì)設(shè)備策略進(jìn)行多層監(jiān)控、檢查與實(shí)施——而無需考慮分布式企業(yè)級(jí)基礎(chǔ)設(shè)施的具體部署位置。在此之后，集成的自動(dòng)化安全框架使得在傳統(tǒng)上相互隔離的安全設(shè)備能夠在物聯(lián)網(wǎng)流量經(jīng)由網(wǎng)絡(luò)時(shí)將各類威脅情報(bào)關(guān)聯(lián)起來——甚至能夠在跨越不同網(wǎng)絡(luò)生態(tài)系統(tǒng)部署的設(shè)備之間進(jìn)行關(guān)聯(lián)。在此之后，這些集成工具能夠自動(dòng)將高級(jí)安全功能應(yīng)用于一切物聯(lián)網(wǎng)設(shè)備或者網(wǎng)絡(luò)中任何位置的異常流量，包括接入點(diǎn)、跨網(wǎng)段流量以及跨多云部署環(huán)境。

組織不應(yīng)再將物聯(lián)網(wǎng)設(shè)備視為業(yè)務(wù)體系中的孤立或者獨(dú)立組成部分。物聯(lián)網(wǎng)（IoT）設(shè)備及其相關(guān)數(shù)據(jù)能夠與您的擴(kuò)展網(wǎng)絡(luò)中的其它設(shè)備與資源進(jìn)行交互，包括各類端點(diǎn)設(shè)備、多云環(huán)境以及互聯(lián)程度日益增長的 IT 與 OT 網(wǎng)絡(luò)。

傳統(tǒng)上的隔離型物聯(lián)網(wǎng)安全解決方案不僅會(huì)增加開銷并降低可見性，而且完全無法配合如今物聯(lián)網(wǎng)設(shè)備所產(chǎn)生的大規(guī)模流量。為了充分對(duì)網(wǎng)絡(luò)及物聯(lián)網(wǎng)加以保護(hù)，組織需要跨越網(wǎng)絡(luò)環(huán)境部署廣泛的安全架構(gòu)、強(qiáng)大的安全工具，以動(dòng)態(tài)方式對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行分段，同時(shí)以符合網(wǎng)絡(luò)速度的水平檢查加密流量。除此之外，組織還應(yīng)實(shí)現(xiàn)不同安全解決方案之間的深度集成，從而關(guān)聯(lián)威脅情報(bào)并自動(dòng)立足分布式物聯(lián)網(wǎng)網(wǎng)絡(luò)中的任何位置對(duì)檢測到的威脅加以響應(yīng)。