物联网(IOT)一直是网络和安全专业人士在过去五年的大部分时间头脑的顶部。这一直是特别真实的工业物联网(IIoT)的区域。连接工业设备是什么新鲜事,但因为他们已经通过操作技术(OT)团队管理大多数IT人并不熟悉。越来越多的,不过,商界领袖希望把OT和IT一起开车从综合数据集更好的见解。
虽然有许多优势,融合IT和OT并具有IIoT落在IT所有权下,它对计算机安全小组产生了深远的影响,因为它引入了一些新的安全威胁。每个连接的端点,如果违反,将创建一个后门进入其他系统。
内部防火墙用于IIoT昂贵的,复杂的选项
保护IIoT环境的一种方法是使用内部防火墙。这似乎是一个显而易见的选择,因为内部防火墙已成为确保几乎所有的东西事实上的标准。然而,在IIoT环境,防火墙也许是因为成本和复杂性的最糟糕的选择。
在历史上,内部防火墙被部署在交通处于“南北”方向移动,并且将通过单个入口/出口点,例如一个核心交换机。同时,该装置连接都是已知的,通过IT管理。与IIoT,连接可以是更加动态和流量能够在“东 - 西”图案的装置之间流动,绕过其中防火墙的位置。这意味着安全团队需要在每一个可能IIoT连接点部署一个内部防火墙,然后在数百个管理策略和配置,可能是成千上万的防火墙,创造了一个几乎无法控制的局面。
为了更好地理解这一问题的严重性,我曾与杰夫·赫西,回火Networks总裁兼首席执行官,专门从事IIoT安全解决方案,他告诉我关于使用内部防火墙专门探讨公司的客户之一。这样做的,所有的内部防火墙就需要去进行广泛的评估后,企业估计,防火墙的总成本将约为1亿$。即使企业可以负担得起的,有与业务方面相关的挑战另一层。
Hussey then told me about a healthcare customer that’s trying to use a combination of firewall rules, ACL, VLANs, and VPNs to secure their environment, but, as he put it, “the complexity was killing them” and makes it impossible to get anything done because of the operational overhead.
我还和Derek竖琴,公司的创始人和主席讲话控制系统网络安全协会国际(CS2AI),谁做了很多工作,在IIoT区域。他介绍,目前IIoT环境为获得“更多孔”随着网络的不断发展,变得更加开放作为第三方需要从内部系统的数据访问。折腾威胁演员的先进技术水平,并可以很容易地看到,这是不是一个斗争,网络安全团队可以与传统的网络安全战。
微分割优于内部防火墙为IIoT
而不是使用内部防火墙,安全专业人士应该向着IIoT微分割。分割是类似于使用的VLAN和ACL的,但对环境的分离是在设备级完成,与规则而不是在网络层进行管理。使用VLAN和ACL,所有设备,包括IIoT端点,将需要被分配到一个VLAN。如果端点移动,网络则需要重新配置,以适应。如果不是,该设备既无法连接或者是在同一个网络,如果它违反了其中可能发生的坏事设备上的。
目标公司违反几年前就是这样在零售商的HVAC系统被攻破一个很好的例子,并创建一个后门进入点的销售终端(POS)系统。传统的安全工作在高静态环境很好,但IIoT可与常规的设备加入和离开网络高度动态。
分割工作在器件层
细分的好处是,它在软件的完成,并在设备的连接层工作,所以策略遵循的端点。例如,一个规则可以创建其中所有的医疗设备在一个特定的段,并从所连接的节点的其余部分隔离。如果医疗设备移动时,政策一旦与它有没有必要重新配置的东西。如果目标已使用IIoT微分割了和HVAC和POS系统分别放在不同的段(这是他们应该从最佳实践的角度来看),可能发生最坏的事是专卖店有太多热情。
微分割已经在数据中心中被使用,以确保虚拟机和容器之间流动的横向流量。雷竞技电脑网站网络安全团队现在应该到了扩大技术应用到更广泛的网络,第一个使用案例是,以确保IIoT端点。这将让商家与数字化改造的计划向前推进,没有把他们的公司面临风险。