Zeus Kerravala

在過去五年的大部分時間里，物聯(lián)網(wǎng)（IoT）一直是網(wǎng)絡(luò)和安全專業(yè)人員最為關(guān)注的。在工業(yè)物聯(lián)網(wǎng)（IIoT）領(lǐng)域尤其如此。工業(yè)設(shè)備聯(lián)網(wǎng)并不新鮮，但大多數(shù)IT人員并不熟悉，因為它是由運營技術(shù)（OT）部門管理的。不過，越來越多的企業(yè)領(lǐng)導(dǎo)人希望能夠把OT和IT結(jié)合起來，從組合的數(shù)據(jù)集中獲得更好的深度分析結(jié)果。

雖然融合IT與OT并讓工業(yè)物聯(lián)網(wǎng)歸IT管理有很多好處，但這對網(wǎng)絡(luò)安全部門有著深遠的影響，因為這會引入幾種新的安全威脅。每個聯(lián)網(wǎng)的端點如果被攻破，將創(chuàng)建一個能進入其他系統(tǒng)的后門。

內(nèi)部防火墻對工業(yè)物聯(lián)網(wǎng)來說是昂貴而復(fù)雜的選擇

保護工業(yè)物聯(lián)網(wǎng)環(huán)境的一種方法是使用內(nèi)部防火墻。這似乎是顯而易見的選擇，因為內(nèi)部防火墻已經(jīng)成為保護幾乎所有東西的事實標(biāo)準。然而，在工業(yè)物聯(lián)網(wǎng)環(huán)境中，由于成本和復(fù)雜性問題，防火墻可能是最糟糕的選擇。

歷史上，內(nèi)部防火墻部署在數(shù)據(jù)流沿“南北”方向流動并通過單個入口/出口點（例如，核心交換機）的位置。而且，聯(lián)網(wǎng)的設(shè)備都是已知的，并由IT部門進行管理。對于工業(yè)物聯(lián)網(wǎng)，連接可以更加動態(tài)，數(shù)據(jù)流可以在設(shè)備之間以“東西”模式流動，繞過防火墻所在的位置。這意味著安全部門需要在每個可能的工業(yè)物聯(lián)網(wǎng)連接點部署一個內(nèi)部防火墻，然后跨數(shù)百個（可能是數(shù)千個）防火墻來管理策略和配置，而這會造成幾乎無法管理的局面。

為了更好地理解這個問題的嚴重性，我與專門研究工業(yè)物聯(lián)網(wǎng)安全解決方案的Tempered網(wǎng)絡(luò)公司總裁兼首席執(zhí)行官Jeff Hussey進行了交流，他告訴我該公司的一位客戶曾嘗試使用內(nèi)部防火墻。在對所有的內(nèi)部防火墻應(yīng)部署在哪里做了全面的評估之后，該公司估計防火墻的總成本約為1億美元。即使某家企業(yè)能負擔(dān)得起，運營方面也會有更大的挑戰(zhàn)。

Hussey接著告訴我，醫(yī)療保健領(lǐng)域的一家客戶試圖使用防火墻規(guī)則、ACL、VLAN和VPN的組合來保護他們的環(huán)境，但是，正如他所說的，“復(fù)雜性扼殺了他們”，并且由于運營開銷而無法完成任何事情。

我還采訪了國際控制系統(tǒng)網(wǎng)絡(luò)安全協(xié)會（CS2AI）的創(chuàng)始人兼主席Derek Harp，他在工業(yè)物聯(lián)網(wǎng)領(lǐng)域做了大量的工作。他介紹說，隨著網(wǎng)絡(luò)的不斷發(fā)展，當(dāng)前的工業(yè)物聯(lián)網(wǎng)環(huán)境變得“越來越容易被穿透”，同時隨著第三方需要獲取內(nèi)部系統(tǒng)的數(shù)據(jù)，也變得更加開放。再加上威脅犯罪分子高超的技能水平，很容易看出這絕不是網(wǎng)絡(luò)安全部門所能應(yīng)對的傳統(tǒng)的網(wǎng)絡(luò)安全戰(zhàn)斗。

對于工業(yè)物聯(lián)網(wǎng)，微分段技術(shù)優(yōu)于內(nèi)部防火墻

安全專業(yè)人員不應(yīng)使用內(nèi)部防火墻，而應(yīng)該轉(zhuǎn)向工業(yè)物聯(lián)網(wǎng)微分段技術(shù)。分段技術(shù)類似于VLAN和ACL的使用，但環(huán)境分離是在設(shè)備級而不是在網(wǎng)絡(luò)層完成的，并使用規(guī)則進行管理。

幾年前的Target泄露事件就是一個很好的例子，零售商的暖通空調(diào)系統(tǒng)被攻破了，這就為進入銷售點（PoS）系統(tǒng)留下了后門。傳統(tǒng)的安全措施在高度靜態(tài)的環(huán)境中非常有效，但是工業(yè)物聯(lián)網(wǎng)是高度動態(tài)的，設(shè)備會經(jīng)常性地連接和斷開網(wǎng)絡(luò)。

在設(shè)備層進行分段

分段的好處是它在軟件中完成，在設(shè)備連接層運行，所以策略能夠應(yīng)用于端點。例如，可以創(chuàng)建一項規(guī)則，其中所有醫(yī)療設(shè)備都在一個特定的段中，并且與其他聯(lián)網(wǎng)的節(jié)點隔離開來。如果一臺醫(yī)療設(shè)備移動了，策略也會隨之改變，不需要重新配置。如果Target公司一直在使用工業(yè)物聯(lián)網(wǎng)微分段技術(shù)，而暖通空調(diào)系統(tǒng)和銷售點系統(tǒng)位于不同的段（從最佳實踐的角度來看，它們應(yīng)該是分開的），那么最糟糕的情況不過是商店變得溫度過高。

在數(shù)據(jù)中心，微分段技術(shù)已經(jīng)被用來保護在虛擬機和容器之間流動的橫向數(shù)據(jù)流。網(wǎng)絡(luò)安全部門現(xiàn)在應(yīng)該考慮將該技術(shù)擴展應(yīng)用到更廣泛的網(wǎng)絡(luò)，第一種應(yīng)用情形便是保護工業(yè)物聯(lián)網(wǎng)端點。這將有利于企業(yè)推進數(shù)字化轉(zhuǎn)型計劃，而不會給企業(yè)帶來風(fēng)險。

Zeus Kerravala是ZK Research的創(chuàng)始人和首席分析師。

原文網(wǎng)址

https：//www.networkworld.com/article/3437956/to-secure-industrial-iot-use-segmentation-instead-of-firewalls.html