将大数据中心应用的微隔离技术 (MicroSegmentation) 做为 IoT 物联网安全设置的一部分开展部署,可以完成对应用系统更细粒度的操纵,并完成更佳的防护。
伴随着等级保护 2.0 将物联网和工业控制系统软件列入等级保护测评管控,处在开始时期的物联网和工业控制系统将迈入迅速发展趋势。此外,伴随着物联网部署的持续增长,该行业遭遇的安全性要挟也越来越大。依据研究公司 Ponemon Institute 和风险管控服务中心 The Santa Fe Group 的汇报,自2017 年至今,与 IoT 有关的数据泄漏事情 “大幅度” 提升。使问题进一步复杂的是,大部分公司并不了解其自然环境中(包含)第三方经销商的每一个 IoT 机器设备或应用软件的安全系数。Ponemon 的研究表明,很多机构沒有处理或管理方法物联网风险性的集中化负责制,而且大部分人觉得她们的信息将在未来 24 个月内遭受毁坏。
IoT 安全隐患针对诊疗等领域来讲尤其不容乐观,由于智能终端会根据互联网搜集和共享资源很多敏感性信息内容。研究公司 Vanson Bourne 调研了 232 个医疗业客户发觉,82% 的被访者在过去的一年中遭受过以物联网为核心的黑客攻击。定点医疗机构最多见的系统漏洞遍布如下所示:互联网 (50%),直接使用移动端访问普通的网站,会因移动端宽度的限制因素,导致访问者需要左右滑动,以及放大的操作,才能和随附的应用软件 (45%),及其物联网机器设备 (42%)。
微防护,更强的挑选
早在 2017 年,Gartner 就将微隔离技术 (Microsegmentation) 评选为 11 大最需要留意的信息安全技术。
当网络攻击渗入进到公司系统软件得到聚集点,通常都能在附近系统软件随意扩展。微隔离技术可以在虚似大数据中心中开展防护区划,预防网络攻击的内部结构游移,将进攻造成的损害降至最少。
近些年促进微隔离技术发展趋势的首要能源是软件定义网络 (SDN) 和网络虚拟化的发生。根据应用与互联网硬件配置分离出来的手机软件,与这些并未与最底层硬件配置分离出来的手机软件对比,按段(防护)更易于完成。
对比服务器防火墙这类以界限为核心的商品,微隔离技术进一步提高了大数据中心的流量监控工作能力,因而可以有效的阻拦网络攻击进到互联网开展毁坏。
微防护也是有管理方法上的益处。IDC 的 IoT 安全性投资分析师 Robyn Westervelt 表明:
假如能恰当执行全微分段,则可以在 IoT 机器设备和别的敏感资源中间加上一层安全性维护,而不易在硬件防火墙上导致系统漏洞 。可是最底层的基础架构务必适用这类方式,而且很有可能必须安裝较为新的网络交换机、网关ip等。
针对工业生产物联网而言,内部结构服务器防火墙很贵太繁杂
维护工业生产物联网 (IIoT) 自然环境的一种方式是应用内部结构服务器防火墙。这好像是一个不言而喻的挑选,由于内部结构服务器防火墙已变成全部安全性保障的事实标准。可是,在工业生产物联网自然环境中,因为成本费和多元性,服务器防火墙可能是最烂的挑选。
从在历史上看,内部结构服务器防火墙被部署在总流量沿 “东西南北” 方位挪动的地区,并会根据单独通道/出入口点,例如汇聚交换机。并且,联接的设施全是得知和可管控的。但在工业生产物联网中,联接越来越更为动态性,总流量可以 “东向西” 方式在机器设备中间流动性,进而绕开服务器防火墙所属的部位。这代表安全性精英团队必须在每一个很有可能的 IIoT 连接功能部署内部结构服务器防火墙,随后跨数千(可能是数千个)服务器防火墙管理模式和配备,进而导致几乎控制不了的局势。
专业科学研究 IIoT 安全性解决方法的 Tempered Networks 首席战略官CEOJeff Hussey表露,她们的一个顾客对内部结构服务器防火墙要求开展评定后,发觉其成本相对高达 1 亿美金,经营领域的挑戰一样极大。此外一个医药企业试着应用服务器防火墙标准、ACL、VLAN 和 VPN 的组成来保障其自然环境,可是发觉没法承担 “相对高度多元性产生的经营花销”。
国际性自动控制系统网络信息安全研究会 (CS2AI) 的创办人兼老总 Derek Harp 觉得,伴随着第三方持续必须从内部结构系统软件浏览数据信息,伴随着工业生产物联网本身的飞速发展和对外开放,现阶段的IIoT自然环境越来越愈来愈 “支离破碎”。IIoT 网络信息安全精英团队面临的挑战远超传统式安全性精英团队。
针对工业生产物联网,微防护好于内部结构服务器防火墙
工业生产物联网安全性专业技术人员应当应用微防护,而不是内部结构服务器防火墙。微防护类似 VLAN 和 ACL,可是自然环境防护是在机器设备等级进行的,根据标准而不是在传输层开展管理方法。应用 VLAN 和 ACL,必须将任何机器设备(包含 IIoT 节点)分派给 VLAN。假如节点挪动,则必须重新部署互联网以融入。不然该机器设备将无法连接,或是与被损坏的机器设备、很有可能产生异常状况的机器设备坐落于同一互联网上。
两年前的 Target 违反规定便是一个有效的事例,零售商的 HVAC 系统软件遭受毁坏,这为零售点 (PoS) 系统软件生产制造了侧门。传统式的安全系数在相对高度静态数据的条件中特别合理,可是 IIoT 可以根据机器设备按时添加和离去互联网来完成相对高度动态性。
工业生产物联网是微防护下一个出色测试用例
微防护的特点是可以在系统中配备,而且在设备连接层上运作,是根据节点的对策。例如,可以构建一个微防护标准,让全部医疗器械都坐落于特殊的段中,而且与其他联接的连接点防护。假如挪动了医疗器械,则该对策将随着而动,不用重新部署。假如 Target 一直在应用 IIoT 微防护,而且 HVAC 空暖自动控制系统和 PoS 系统软件坐落于不一样的全微分段,那麼网络黑客能做的最坏的事无非便是让大型商场室内温度上升。
微防护早已使用于大数据中心,以维护在vm虚拟机和器皿中间流通的纵向总流量。网络信息安全精英团队如今应当寻找将该技术推广和拓展到大量应用领域,维护工业生产物联网节点便是一个杰出的测试用例。这将使公司可以推动企业战略转型方案,而不容易给企业产生风险性。