AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

工业物联网防护,微分段比防火墙更好

  • 2019-09-29
  • 本文字数:1650 字

    阅读完需:约 5 分钟

工业物联网防护,微分段比防火墙更好

多年来,防火墙一直是确保内部设备安全的通用标准,但对工业物联网(IIoT)来说,是时候需要做一些改变了。



在过去五年的大部分时间里,物联网(IoT)一直是网络和安全专业人员关注的重点。在工业物联网(IIoT)领域尤其如此。互连的工业设备并不是什么新鲜事物,但是大多数 IT 人员并不熟悉它们,因为它们通常由运营技术(OT)团队负责管理。但是,越来越多的企业领导者希望将 OT 和 IT 结合在一起,以便从合并的数据集中挖掘更有价值的信息。


虽然合并 IT 和 OT,并将 IIoT 由 IT 来统一管理会产生很多优势,但它对网络安全团队的挑战也是比较大,因为它带来了一些新的安全威胁。


每个连接的节点如果遭到破坏,这都会为其他系统创建后门。

内部防火墙是 IIoT(工业物联网)一种昂贵且复杂的选择

保护 IIoT 环境的一种方法是使用内部防火墙。这似乎是一个常识性的选择,因为内部防火墙已成为保护几乎所有内容的通用标准。但是,在 IIoT 环境中,由于成本和复杂性要求,防火墙可能是最差的选择。


从经验上看,内部防火墙应被部署在流量从北向到南向的沿途中,并会通过单个入口/出口点,例如核心交换机。而且,连接的设备都是由 IT 提供和管理的。借助 IIoT,节点可能会变得更加动态,流量也可以以“东西向”模式在设备之间流动,从而绕过防火墙的位置。这意味着安全团队需要在每个可能的 IIoT 连接点间部署内部防火墙,然后部署跨数百个(可能是数千个)防火墙管理策略和配置,这会导致几乎无法控制的结果。


为更好地了解此问题的严重性,我与专门研究 IIoT 安全解决方案的 Tempered Networks 总裁兼首席执行官 Jeff Hussey 进行了交谈,他向我介绍了该公司一位使用内部防火墙的客户。在对所有内部防火墙需要部署的位置进行了广泛的评估之后,该公司估计防火墙的总成本约为 1 亿美元。即使企业负担得起,运营方面也存在另一层挑战。


然后,Hussey 向我介绍了一个医疗保健客户,该客户正在尝试使用防火墙规则、ACL、VLAN 和 VPN 的组合来保护其环境,但是,正如他所说,“复杂性是一个让人头疼的问题”,因为操作的不可行导致工作没有任何进展。


我还与国际控制系统网络安全协会(CS2AI)的创始人兼董事长 Derek Harp 进行了交谈,后者在 IIoT 领域做了很多工作。他描述了当前的 IIoT 环境随着网络的不断发展和“开放性”的发展而变得越来越“多孔”,因为第三方需要从内部系统访问数据。抛开对参与者高技能水平的要求,我们不难发现,这个跟网络安全团队与传统网络安全的对抗不是一个量级的。

对于 IIoT(工业物联网)而言,微分段优于内部防火墙

安全专业人员应该使用 IIoT 微分段,而不是使用内部防火墙。分段类似于 VLAN 和 ACL 的使用,但是环境隔离是在设备级别完成的,并通过规则而不是在网络层进行管理。使用 VLAN 和 ACL,需要将所有设备(包括 IIoT 节点)分配给 VLAN。如果节点移动,则需要重新配置网络以适应该状况。如果不这样, 该设备要么无法连接,要么与设备位于同一个网络上被攻破时,可能会发生糟糕的事情。


Target 几年前的漏洞就是一个很好的例子,零售商的 HVAC 系统受到了攻击,这为销售点(PoS)系统创造了一个后门。传统的安全性在高度静态的环境中非常有效,但是 IIoT 会通过设备定期加入和离开网络来实现高度动态。

在设备层进行分段

分段的好处是它是在软件中完成的,并且在设备连接层上运行,因此策略依附于节点。例如,可以创建一个规则,其中所有医疗设备都位于特定的段中,并且与其余连接的节点隔离。如果医疗设备移动了,则该策略将随之移动,并且无需重新配置。如果 Target 之前使用 IIoT 微分段,并且 HVAC 和 PoS 系统位于不同的段区(从最佳实践的角度来看,应该是这两个分段),那么可能发生的最坏情况一个段区被攻破。


微分段已用于数据中心,以保护在虚拟机和容器之间流动的横向流量。网络安全团队现在应该考虑将该技术扩展到更广泛的网络中,第一个推荐的场景就是 IIoT 节点保护。这将使企业能够推进数字化转型计划,而不会给公司带来风险。


英文原文:


To secure industrial IoT, use segmentation instead of firewalls


2019-09-29 14:051807

评论

发布
暂无评论
发现更多内容

隐式等待、显示等待和强制等待?

Geek_6370d5

Java面试:阿里公开内部P7架构师(Java)成长路线图,满满的干货

Java架构追梦

Java 阿里巴巴 架构 面试 P7岗

蚂蚁开源增强版 SpringBoot,都有高级特性?

Java小咖秀

开源 springboot 蚂蚁金服 SOFA

Go语言的初体验

Phoenix

Go 语言

程序思维与架构思维

Simon

架构实战营

Spring Boot Feign 使用与源码学习

Yangjing

Feign Spring boot Feign 源码解读

Redis 内存碎片清理

escray

redis 学习 极客时间 3月日更 Redis 核心技术与实战

华为 IS-IS防环、泄露

艺博东

网络

音视频开发经验之路【二】ijkplayer实际开发中遇到的问题总结

鱼哥

音视频

阿里二面,面试官居然把 TCP 三次握手问的这么细致

Java 编程 架构 面试 网络

设计与思考,关于资源和生命周期(三)

程序员架构进阶

设计模式 架构设计 28天写作 3月日更 池化技术

架构师知识笔记2

felix徐

LeetCode链表专题01: 反转链表

小马哥

Java 链表 LeetCode 数据结构与算法 七日更

极客时间·产品训练营·第八周作业

二大爷

极客大学产品经理训练营

阿里二面,面试官居然把 TCP 三次握手问的这么细致

鞋子特大号

面试 TCP 三次握手 四次挥手

初识Golang之条件语句

Kylin

基础语法 3月日更 Go 语言

面试三轮我倒在了一道sql题上——sql性能优化

牧小农

MySQL 数据库 面试 索引 索引优化

看完这篇,再也不怕面试官问我线程池了

牧小农

多线程 高并发 线程池 阻塞队列 拒绝策略

火爆全网!2021年最新发布Java面试清单(九大技术点)

比伯

Java 程序员 架构 程序人生 架构师

Redis - AOF

insight

redis 3月日更

mysql 检索分享上篇

new life

Python OpenCV 图像标记,取经之旅第 12 天

梦想橡皮擦

3月日更

一线大厂软件测试流程(思维导图)详解

程序员阿沐

编程 程序员 软件测试 测试工程师 测试流程

一篇文章让你彻彻底底理解 I/O 多路复用

Java 程序员 架构 面试 计算机

Redis - RDB

insight

redis 3月日更

畅玩国服LOL?MacBook M1 Windows虚拟机体验

Zhendong

arm MacBook m1

(Day31) 变革流程的流程

mtfelix

28天写作 bewriting

go-admin开源项目分析-1[安装、配置、启动]

happlyfox

学习 3月日更 Go 语言 go-admin

小白也能看懂的锁升级过程和锁状态

牧小农

乐观锁 悲观锁 锁升级

音视频开发经验之路【一】Android中如何实现无缝切换播放源

鱼哥

音视频

音视频开发经验之路【三】吐血干货,直播首屏耗时400ms以下的优化实践

鱼哥

音视频

工业物联网防护,微分段比防火墙更好_安全_Zeus Kerravala_InfoQ精选文章