【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

工业物联网防护,微分段比防火墙更好

  • 2019-09-29
  • 本文字数:1650 字

    阅读完需:约 5 分钟

工业物联网防护,微分段比防火墙更好

多年来,防火墙一直是确保内部设备安全的通用标准,但对工业物联网(IIoT)来说,是时候需要做一些改变了。



在过去五年的大部分时间里,物联网(IoT)一直是网络和安全专业人员关注的重点。在工业物联网(IIoT)领域尤其如此。互连的工业设备并不是什么新鲜事物,但是大多数 IT 人员并不熟悉它们,因为它们通常由运营技术(OT)团队负责管理。但是,越来越多的企业领导者希望将 OT 和 IT 结合在一起,以便从合并的数据集中挖掘更有价值的信息。


虽然合并 IT 和 OT,并将 IIoT 由 IT 来统一管理会产生很多优势,但它对网络安全团队的挑战也是比较大,因为它带来了一些新的安全威胁。


每个连接的节点如果遭到破坏,这都会为其他系统创建后门。

内部防火墙是 IIoT(工业物联网)一种昂贵且复杂的选择

保护 IIoT 环境的一种方法是使用内部防火墙。这似乎是一个常识性的选择,因为内部防火墙已成为保护几乎所有内容的通用标准。但是,在 IIoT 环境中,由于成本和复杂性要求,防火墙可能是最差的选择。


从经验上看,内部防火墙应被部署在流量从北向到南向的沿途中,并会通过单个入口/出口点,例如核心交换机。而且,连接的设备都是由 IT 提供和管理的。借助 IIoT,节点可能会变得更加动态,流量也可以以“东西向”模式在设备之间流动,从而绕过防火墙的位置。这意味着安全团队需要在每个可能的 IIoT 连接点间部署内部防火墙,然后部署跨数百个(可能是数千个)防火墙管理策略和配置,这会导致几乎无法控制的结果。


为更好地了解此问题的严重性,我与专门研究 IIoT 安全解决方案的 Tempered Networks 总裁兼首席执行官 Jeff Hussey 进行了交谈,他向我介绍了该公司一位使用内部防火墙的客户。在对所有内部防火墙需要部署的位置进行了广泛的评估之后,该公司估计防火墙的总成本约为 1 亿美元。即使企业负担得起,运营方面也存在另一层挑战。


然后,Hussey 向我介绍了一个医疗保健客户,该客户正在尝试使用防火墙规则、ACL、VLAN 和 VPN 的组合来保护其环境,但是,正如他所说,“复杂性是一个让人头疼的问题”,因为操作的不可行导致工作没有任何进展。


我还与国际控制系统网络安全协会(CS2AI)的创始人兼董事长 Derek Harp 进行了交谈,后者在 IIoT 领域做了很多工作。他描述了当前的 IIoT 环境随着网络的不断发展和“开放性”的发展而变得越来越“多孔”,因为第三方需要从内部系统访问数据。抛开对参与者高技能水平的要求,我们不难发现,这个跟网络安全团队与传统网络安全的对抗不是一个量级的。

对于 IIoT(工业物联网)而言,微分段优于内部防火墙

安全专业人员应该使用 IIoT 微分段,而不是使用内部防火墙。分段类似于 VLAN 和 ACL 的使用,但是环境隔离是在设备级别完成的,并通过规则而不是在网络层进行管理。使用 VLAN 和 ACL,需要将所有设备(包括 IIoT 节点)分配给 VLAN。如果节点移动,则需要重新配置网络以适应该状况。如果不这样, 该设备要么无法连接,要么与设备位于同一个网络上被攻破时,可能会发生糟糕的事情。


Target 几年前的漏洞就是一个很好的例子,零售商的 HVAC 系统受到了攻击,这为销售点(PoS)系统创造了一个后门。传统的安全性在高度静态的环境中非常有效,但是 IIoT 会通过设备定期加入和离开网络来实现高度动态。

在设备层进行分段

分段的好处是它是在软件中完成的,并且在设备连接层上运行,因此策略依附于节点。例如,可以创建一个规则,其中所有医疗设备都位于特定的段中,并且与其余连接的节点隔离。如果医疗设备移动了,则该策略将随之移动,并且无需重新配置。如果 Target 之前使用 IIoT 微分段,并且 HVAC 和 PoS 系统位于不同的段区(从最佳实践的角度来看,应该是这两个分段),那么可能发生的最坏情况一个段区被攻破。


微分段已用于数据中心,以保护在虚拟机和容器之间流动的横向流量。网络安全团队现在应该考虑将该技术扩展到更广泛的网络中,第一个推荐的场景就是 IIoT 节点保护。这将使企业能够推进数字化转型计划,而不会给公司带来风险。


英文原文:


To secure industrial IoT, use segmentation instead of firewalls


2019-09-29 14:051584

评论

发布
暂无评论
发现更多内容

实战中学习浏览器工作原理 — HTML 解析与 CSS 计算

三钻

CSS 大前端 浏览器

Vitalik Buterin: 协作的好坏两面

安比实验室SECBIT

区块链 博弈论 协作

优选2020第十三届南京国际智慧停车展览会

InfoQ_caf7dbb9aa8a

mysql union子句排序问题

LSJ

开发 SQL语法

食堂就餐卡系统设计

熊桂平

系统设计 极客大学架构师训练营 UML

领域模型的定义

Braisdom

Java 领域驱动设计 ObjectiveSql

架构师训练营1期第1周:架构方法 - 作业

piercebn

极客大学架构师训练营

成为技术领导者-读书笔记

edd

java安全编码指南之:堆污染Heap pollution

程序那些事

Java java安全编码 java安全编码指南 堆污染

第一周学习总结

饺子

展览工厂2020南京国际人工智能产品展览会

InfoQ_caf7dbb9aa8a

快讯2020第十三届南京国际智慧工地装备展览会

InfoQ_caf7dbb9aa8a

Servlet 知识点

陈靓-哲露

整合Micrometer与Prometheus & ElasticSearch

李欢颜

架构师技术栈

elfkingw

非传统的“易观”,和他的技术驱动之路

易观大数据

StringBuilder 比 String 快?空嘴白牙的,证据呢!

小傅哥

面试 小傅哥 string StringBuilder StringBuffer

听说你想进腾讯总部?这项黑科技你值得拥有!

腾讯云音视频

音视频

架构师训练营第一周学习总结

尹斌

极客大学架构师训练营

zabbix 4.x一键部署脚本

edd

【API进阶之路】做OCR文字识别,谁说必须要有AI工程师?

华为云开发者联盟

API 文字识别 OCR

Golang领域模型-依赖倒置

奔奔奔跑

架构 微服务 领域驱动设计 DDD Go 语言

架构师训练营1期 - 第一周 - 食堂就餐卡系统设计

三板斧

极客大学架构师训练营

英特尔揭示智能边缘重大机遇,助推产业智能变革

E科讯

简直人生外挂,直接涨薪20K,跪谢这份性能调优实战指南

小Q

Java MySQL 架构 JVM 性能调优

大咖布道丨证券行业规模化敏捷和核心能力演进

华为云开发者联盟

产品 证券 大咖

2020南京国际工业互联网及工业通讯展览会

InfoQ_caf7dbb9aa8a

亚洲2020第十三届南京国际智慧新零售暨无人售货展览会

InfoQ_caf7dbb9aa8a

第一周学习架构方法总结

三板斧

一代巨星的陨落!

小齐本齐

程序员 程序人生 职场

快讯2020第十三届南京国际大数据产业博览会

InfoQ_caf7dbb9aa8a

工业物联网防护,微分段比防火墙更好_安全_Zeus Kerravala_InfoQ精选文章