将数据中心使用的微隔离技术 (MicroSegmentation) 作为 IoT 物联网安全策略的一部分进行部署,可以实现对网络系统更细粒度的控制,并实现更好的隔离。

随着等保 2.0 将物联网和工控系统纳入等级保护监管,处于起步阶段的物联网和工控安全将迎来快速发展。与此同时,随着物联网部署的快速增长,该领域面临的安全威胁也越来越大。根据研究公司 Ponemon InsTItute 和风险管理服务公司 The Santa Fe Group 的报告,自2017 年以来,与 IoT 相关的数据泄露事件 “急剧” 增加。使问题进一步复杂化的是,大多数企业并不了解其环境中(包括)第三方供应商的每一个 IoT 设备或应用程序的安全性。Ponemon 的研究表明,许多组织没有解决或管理物联网风险的集中责任制,并且大多数人认为他们的数据将在未来 24 个月内遭到破坏。

IoT 安全风险对于医疗等行业而言尤为严峻,因为终端设备会通过网络收集和共享大量敏感信息。研究公司 Vanson Bourne 调查了 232 个医疗行业用户发现,82% 的受访者在过去一年中遭遇过以物联网为中心的网络攻击。医疗机构最常见的漏洞分布如下:网络 (50%),移动设备和随附的应用程序 (45%),以及物联网设备 (42%)。

微隔离,更好的选择

早在 2017 年,Gartner 就将微隔离技术 (MicrosegmentaTIon) 评为 11 大最值得关注的信息安全技术。

当攻击者渗透进入企业系统获得据点,通常都能在周边系统自由拓展。微隔离技术能够在虚拟数据中心中进行隔离划分,防范攻击者的内部游走,将攻击导致的损失降至最低。

近年来推动微隔离技术发展的主要动力是软件定义网络 (SDN) 和网络虚拟化的出现。通过使用与网络硬件分离的软件,与那些尚未与底层硬件分离的软件相比,分段(隔离)更容易实现。

相比防火墙这种以边界为中心的产品,微隔离技术大大提高了数据中心的流量控制能力,因此可以有效阻止攻击者进入网络进行破坏。

微隔离也有管理上的好处。IDC 的 IoT 安全分析师 Robyn Westervelt 表示:

如果可以正确实施微分段,则可以在 IoT 设备和其他敏感资源之间添加一层安全保护,而不会在防火墙上造成漏洞 。但是底层的基础架构必须支持这种方法,并且可能需要安装比较新的交换机、网关等。

对于工业物联网来说,内部防火墙太贵太复杂

保护工业物联网 (IIoT) 环境的一种方法是使用内部防火墙。这似乎是一个显而易见的选择,因为内部防火墙已成为所有安全保护的事实标准。但是,在工业物联网环境中,由于成本和复杂性,防火墙可能是最差的选择。

从历史上看,内部防火墙被部署在流量沿 “南北” 方向移动的地方,并会通过单个入口/出口点,例如核心交换机。而且,连接的设备都是可知和可管理的。但在工业物联网中,连接变得更加动态,流量可以 “东西向” 模式在设备之间流动,从而绕过防火墙所在的位置。这意味着安全团队需要在每个可能的 IIoT 连接点部署内部防火墙,然后跨数百个(可能是数千个)防火墙管理策略和配置,从而造成几乎无法控制的局面。

专门研究 IIoT 安全解决方案的 Tempered Networks 总裁兼首席执行官Jeff Hussey透露,他们的一个客户对内部防火墙需求进行评估后,发现其成本高达 1 亿美元,运营方面的挑战同样巨大。另外一个医疗企业尝试使用防火墙规则、ACL、VLAN 和 VPN 的组合来保护其环境,但是发现无法承受 “高度复杂性带来的运营开销”。

国际控制系统网络安全协会 (CS2AI) 的创始人兼董事长 Derek Harp 认为,随着第三方不断需要从内部系统访问数据,随着工业物联网自身的不断发展和开放,当前的IIoT环境变得越来越 “千疮百孔”。IIoT 网络安全团队面临的挑战远超传统安全团队。

对于工业物联网,微隔离优于内部防火墙

工业物联网安全专业人员应该使用微隔离,而不是内部防火墙。微隔离类似于 VLAN 和 ACL,但是环境隔离是在设备级别完成的,通过规则而不是在网络层进行管理。使用 VLAN 和 ACL,需要将所有设备(包括 IIoT 端点)分配给 VLAN。如果端点移动,则需要重新配置网络以适应。否则该设备将无法连接,或者与被破坏的设备、可能发生不良情况的设备位于同一网络上。

几年前的 Target 违规就是一个很好的例子,零售商的 HVAC 系统遭到破坏,这为销售点 (PoS) 系统制造了后门。传统的安全性在高度静态的环境中非常有效,但是 IIoT 可以通过设备定期加入和离开网络来实现高度动态。

工业物联网是微隔离下一个优秀用例

微隔离的优点是可以在软件中配置,并且在设备连接层上运行,是基于端点的策略。例如,可以创建一个微隔离规则,让所有医疗设备都位于特定的段中,并且与其余连接的节点隔离。如果移动了医疗设备,则该策略将随之而动,无需重新配置。如果 Target 一直在使用 IIoT 微隔离,并且 HVAC 空暖控制系统和 PoS 系统位于不同的微分段,那么黑客能做的最坏的事情无非就是让商场室温升高。

微隔离已经应用于数据中心,以保护在虚拟机和容器之间流动的横向流量。网络安全团队现在应该寻求将该技术推广和扩展到更多应用场景,保护工业物联网端点就是一个优秀的用例。这将使企业能够推进数字化转型计划,而不会给公司带来风险。