宾州州立大学通过微细分确保了楼宇自动化、物联网交通的安全

是时候去处理宾夕法尼亚州立大学的BACnet流量了。

BACnet是用于楼宇自动化和控制（BAC）系统，诸如加热，通风和空调（HVAC），照明，访问控制和火灾检测的通信协议。宾夕法尼亚州立大学的标准化BACnet因为它的开放性。

“任何设备，任何制造商——只要他们谈BACnet，我们可以集成他们，”Tom Walker说，他是设施自动化服务集团的系统设计专家宾夕法尼亚州立大学。“这是一个非常整洁的协议，但是你要知道，来与部署它，尤其是在大规模的怪癖。”

一个特殊之处是，BACnet是容易产生广播风暴。并与数百BACnet系统上运行多个校区，公然穿越网络，宾夕法尼亚州立大学是担心在网络的其他部分性能降低和潜在安全漏洞。

“我大约四年前，这个基础设施接手，我就成平面，在整个主校区二层网络传播，”沃克说。他和他的团队决定段的BACnet流量从大学的共享基础架构，以提高安全性和可管理性。

宾夕法尼亚州立大学的设备自动化服务集团手柄功能，包括自动化技术，网络管理和监控高校的数字化连接的建筑。

建筑自动化系统允许团队远程控制暖通空调系统，例如，教室和办公室为学生和工作人员提供适当的加热和冷却。自动化控制也有助于确保关键研究实验室的安全操作。

“我们有冰川 - 它是不可替代的，”沃克说。“因此，我们在冰柜监测，以确保那些不除霜自己。”还有一个宾夕法尼亚州立大学的建筑，那里的温度被控制到一定程度的十分之一的地下室原子钟。

设施自动化包括物联网

该设备自动化服务组涵盖了很多领域的 - 宾夕法尼亚州立大学有32000000平方英尺建筑，横跨数十个全州校园的22,000英亩的土地蔓延。

在640多栋建筑内，有大量的系统、设备和传感器监控着情况。他们收集的数据还在不断增长。

“我们以前只是楼宇自动化。但这些年来，我们已经开始将更多的组件。我们现在管理所有不同的公用事业网络 - 废水，污水处理，蒸汽厂，配电，即使冷却水的分布，”沃克说。

“这是我们集团的发展。我们更多的东西回吐建筑物内-everything，保持建筑物运行。我们正在将通过我们的网络基础设施和为数据中心的数据备份，然后或者跳跃起来到云或者通过将其传递给其它分析系统对数据进行分析。”雷竞技电脑网站

该工厂自动化集团开始跟踪电梯使用，例如。“我们发现一个电梯是在一天内做了1900人次。这是我们的洞察力从未有过的，这解释了为什么电梯不断打破，”沃克说。

这听起来很像物联网，但对设备自动化团队来说，一切照常。沃克说:“物联网是个时髦词。“我们一直在做物联网。这就是建筑自动化。它控制着大楼，并通过网络把它们带回来，这样我们就可以远程管理大楼了。”

微分段更好的贴合比的VLAN，防火墙或访问控制列表

宾夕法尼亚州立大学的决定升级其楼宇自动化系统的主要驱动因素是在现场，以确保通信的需要。BACnet的基础设施是直接的和无线的蜂窝网络连接的网络。访问控制是一个问题。

该university’s ongoing $3.28 billion capital spending plan – focused on the renewal of existing facilities and systems– has meant near constant construction for the last few years and a steady stream of contractors coming in and out of telecom rooms, tapping into building automation systems and installing rogue access switches and wireless access points. “These contractors would bring in their own switches, plug them into our flat Layer 2 network. Or they would add their own access points and wireless routers,” Walker says. “It was very complicated to manage.”

这也是一个潜在的攻击载体，建筑自动化团队希望消除它。沃克说:“这是我们的主要目的:试图找出清理网络的最佳方式，并以同样的方式保护它。”

该解决方案是微分段，这使得宾州州立减少数百BACnet系统的它的网络攻击面和集中控制 - 无需在升级过程中破坏了传统网络。

一般来说，微分段允许组织将工作负载彼此隔离，并单独保护它们。它支持比传统网络安全技术(如防火墙、虚拟局域网(VLAN)和访问控制列表(ACL))更细粒度的流量划分。

组织可以根据不同类型的流量调整安全设置，例如，创建将工作负载之间的网络和应用程序流限制为显式允许的策略。如果设备或工作负载移动，安全策略和属性也随之移动。目标是减少网络攻击面:通过将分割规则应用于工作负载或应用程序，组织可以减少攻击者从一个受损害的工作负载或应用程序转移到另一个的风险。

宾州，上诉的部分是易于部署和管理的，这意味着该设施团队可以管理它自己的网络重新架构。“我们期待在创建单独的VLAN或[专用VLAN]建筑物内，做MAC过滤，在做访问控制列表，或者做建筑级防火墙，”沃克说。“但是，当我们开始寻找可扩展性，它变得疯狂。对于其中的一些选择，我必须雇用至少有两个以上的人只是管理工具集。”

该大学反而选择了微分割技术的网络隔离和斗篷它的BACnet流量。供应商的HIPswitch设备上的物理网络之上建立一个安全的，私人覆盖网络，只有明确信任系统或端点被允许到覆盖。该HIPswitches与协同工作导体它创建、管理和监控设备配置和安全策略。

一个证明的概念帮助塑造宾夕法尼亚州立大学的部署。以建设水平 - - 原先被认为部署HIPswitch设备到单个控制器的水平，但决定将一个层的团队，大大简化了管理，沃克说。“我们能够创建控制器和服务器组的组，然后很容易的权利，通过覆盖内的信任关系一起配合他们。”

各个建筑系统锁定基于功能性，而不是口。“如果这些控制器中的一个被攻破，他们只能访问到数据中心，一台服务器。雷竞技电脑网站而在此之前，如果有人破坏的建筑物，他们可以得到访问暴露的数据中心和所有的应用程序，“沃克说，”现在，我们可以说：“照明控制器只能跟照明服务器。雷竞技电脑网站电梯控制器只能跟电梯服务器。””

炼成Networks的技术‘创造那些个别建筑物和数据中心之间的信任。’雷竞技电脑网站这也减少了交通建筑，这是重新架构前一个问题之间。“上大每一个建筑，平坦的二层网络听到了通信的每一位。现在只有建筑和服务器进行通信。”

沃克说，在BACnet广播风暴或入侵的情况下，很容易从一个建筑物关闭交通。“以前，因为它是一个大而平的第二层雏菊链，我可能不得不关闭多个端口。或者如果我关闭一个港口，它可能会关闭六座建筑。现在我可以单独控制每栋楼的交通。”

该技术也使得它更容易做增加，移动和改变;宾夕法尼亚州立大学可以提供安全的承包商访问特定的设备通过集中编排在网络上。

沃克说:“我想要的是一种可以轻松部署并立即保障基础设施安全的东西。”

早期的成功导致宾夕法尼亚州立大学拓展项目。最初，设施团队计划在大学园区，在宾州州立大学系统中最大的校园部署HIPswitches。现在的大学正在扩大该项目的校园全州范围的其余部分。

作为宾夕法尼亚州立大学的继续建立其校园属性时，HIPswitches的灵活性，使设施团队连接到了最偏远的站点。就在最近，沃克的组在麦田里，在那里它会采取更多的时间和金钱来建立光纤连接中间的建筑物部署具有蜂窝连接一个HIPswitch。

这细胞的能力是一种功能沃克发现比他最初的预期更加有用。“我们能够在地方部署我们不能去了。”