Bob Violino

IoT（物聯(lián)網(wǎng)）有望為企業(yè)帶來很多好處，例如，企業(yè)更深入地了解資產(chǎn)和成品的性能，改進制造過程，更好為客戶提供服務等。然而，與物聯(lián)網(wǎng)相關的煩人的安全問題仍然讓企業(yè)萬分擔憂，在某些情況下，可能會阻礙企業(yè)繼續(xù)推進項目。至少能緩解一些物聯(lián)網(wǎng)安全風險的可行方案是微分段技術，專家稱，這一網(wǎng)絡概念有助于讓物聯(lián)網(wǎng)環(huán)境受控。

采用微分段技術，企業(yè)可以在其數(shù)據(jù)中心和云環(huán)境中創(chuàng)建安全區(qū)域，使工作負載相互隔離，并分別進行保護。在物聯(lián)網(wǎng)環(huán)境中，微分段技術可以讓企業(yè)更好地控制設備之間越來越多的橫向數(shù)據(jù)流，而不再是僅采用以周界防護為主的安全工具。

對于企業(yè)來說，將微分段技術應用于物聯(lián)網(wǎng)可能還為時過早，但業(yè)內觀察人士認為，物聯(lián)網(wǎng)的部署有可能促使企業(yè)采用微分段技術，以實現(xiàn)比傳統(tǒng)防火墻更精細、更簡單的保護措施。

物聯(lián)網(wǎng)帶來新的安全風險

物聯(lián)網(wǎng)安全風險可能包括很多威脅，例如，聯(lián)網(wǎng)設備本身、支持物聯(lián)網(wǎng)的軟件以及實現(xiàn)所有連接的網(wǎng)絡等。

隨著物聯(lián)網(wǎng)部署的增長，安全威脅也在增加。據(jù)研究公司Ponemon研究所和風險管理服務公司圣達菲集團（Santa Fe Group）的報告，自2017年以來，與物聯(lián)網(wǎng)相關的數(shù)據(jù)泄露事件“急劇”增加。讓問題更復雜的是，很多企業(yè)并不清楚其環(huán)境中以及第三方供應商提供的哪些物聯(lián)網(wǎng)設備是不安全的。Ponemon的研究表明，很多企業(yè)沒有集中的責任機制來應對或者管理物聯(lián)網(wǎng)風險，大部分企業(yè)擔心他們的數(shù)據(jù)在未來24個月內會被泄露。

對于醫(yī)療等行業(yè)來說，物聯(lián)網(wǎng)安全風險可能尤其嚴重，因為設備通過網(wǎng)絡收集和共享了大量的敏感信息。在研究公司Vanson Bourne調查的232家醫(yī)療機構中，82%的機構在過去一年中經(jīng)歷過以物聯(lián)網(wǎng)為目標的網(wǎng)絡攻擊。當被問及在醫(yī)療機構中最突出的漏洞是什么時，網(wǎng)絡被提及的頻率最高（50%），其次是移動設備和相應的應用程序（45%），以及物聯(lián)網(wǎng)設備（42%）。

微分段技術怎樣提升物聯(lián)網(wǎng)安全？

微分段的設計是為了使網(wǎng)絡安全更加精細化。下一代防火墻、虛擬局域網(wǎng)（VLAN）和訪問控制列表（ACL）等其他解決方案在一定程度上也進行了網(wǎng)絡分段。但是，采用微分段技術，策略被應用于每個工作負載，能更好地防止攻擊。結果，與VLAN等技術相比，這些工具能夠對數(shù)據(jù)流進行更細粒度的分段。

軟件定義網(wǎng)絡（SDN）和網(wǎng)絡虛擬化的出現(xiàn)，推動了微分段技術的發(fā)展。通過使用與網(wǎng)絡硬件分離的軟件，與軟件未與底層硬件分離相比，微分段技術實現(xiàn)起來更容易。

與防火墻等以周界防護為主的技術相比，微分段技術能夠更好地控制數(shù)據(jù)中心的數(shù)據(jù)流，因此它可以阻止攻擊者進入網(wǎng)絡進行破壞。

分段也有利于管理。研究公司IDC的物聯(lián)網(wǎng)安全分析師Robyn Westervelt介紹說：“如果能正確地實現(xiàn)微分段，就可以在物聯(lián)網(wǎng)設備和其他敏感資源之間增加一層安全防護，不會在防火墻上出現(xiàn)漏洞。但底層基礎設施必須支持這種方法，可能需要安裝新的、現(xiàn)代化的交換機和網(wǎng)關等?！?p>

出于安全或者隱私的考慮，將網(wǎng)絡分成多個部分的概念并不新鮮。一段時間以來，企業(yè)一直在隔離一些關鍵或者高風險的資源。

Westervelt說，例如，網(wǎng)絡分段在零售業(yè)很常見。很多商家將其支付環(huán)境與其他網(wǎng)絡數(shù)據(jù)流隔離開來，以便在合適的范圍內應用支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS），這一套安全標準旨在為接受、處理、存儲和傳輸信用卡信息的企業(yè)維護一個安全的環(huán)境。

Westervelt說：“這并非萬無一失，因為正如我們在零售商Target的數(shù)據(jù)泄露事件中看到的，攻擊者能夠找到從一個系統(tǒng)跳到另一個系統(tǒng)的其他方法。然而，這需要豐富的經(jīng)驗和資源，足以讓很多出于經(jīng)濟動機的攻擊者望而止步。但還是有人能得手?！?/p>

Westervelt介紹說，這些年來，一直不是非常清楚Target泄露事件的細節(jié)。她說：“攻擊者利用被盜的證書，進入了Target公司用來向其暖通空調供應商支付費用的承包商計費系統(tǒng)。從那里，他們進入了網(wǎng)絡，并橫向移動到POS（銷售點）系統(tǒng)?！?/p>

Westervelt說，微分段技術還可以用來隔離虛擬環(huán)境中的關鍵應用程序工作負載。她說：“這就是我在‘微分段背景下所想到的。通過這種方式，你可以對關鍵工作負載設置更嚴格的控制措施，并密切監(jiān)視對其進行的訪問和更改?！?/p>

該技術也被認為是工業(yè)控制系統(tǒng)環(huán)境中的最佳實踐。Westervelt說：“一家企業(yè)可以使用工業(yè)防火墻和單向網(wǎng)關隔離分配給敏感過程的關鍵可編程邏輯控制器?！?/p>

在IT環(huán)境中，可以對連接了互聯(lián)網(wǎng)的新部署的運維技術（OT）進行分段，以防止攻擊者將其作為進入生產(chǎn)系統(tǒng)的跳板或者墊腳石。這就是微分段與物聯(lián)網(wǎng)相關聯(lián)的地方。

Westervelt說：“這些OT技術包括現(xiàn)代建筑管理系統(tǒng)、太陽能電池板、電梯傳感器以及包括滅火系統(tǒng)在內的物理安全機制。目前，還沒有充分認識到這一領域的重要性，但我們看到一些大型銀行和金融服務公司在數(shù)據(jù)中心設施中降低了與這些OT技術相關的風險?！?/p>

網(wǎng)絡專家說，將微分段作為廣泛的物聯(lián)網(wǎng)安全策略的一部分而進行部署是非常有意義的。

獨立信息安全顧問Kevin Beaver認為：“這種網(wǎng)絡模型允許對網(wǎng)絡系統(tǒng)進行更細粒度的控制，并在發(fā)現(xiàn)安全漏洞時，更好地進行隔離。這些優(yōu)點不僅有助于提高安全可見性和控制能力，而且還有助于事件響應和取證。”

研究公司Gartner的主任分析師Jon Amato說，這項技術“可能是將物聯(lián)網(wǎng)網(wǎng)絡與IT系統(tǒng)分割開來的一種非常有效的方式。微分段技術創(chuàng)建‘虛擬分段的能力非常有用，即使跨過多個物理位置，也能將各類設備彼此分開?！?/p>

Amato說，這也很符合美國國土安全部（DHS）等組織的物聯(lián)網(wǎng)安全指南。國土安全部在其《物聯(lián)網(wǎng)安全戰(zhàn)略原則》報告中建議，企業(yè)應權衡聯(lián)網(wǎng)的好處及其帶來的風險。

報告稱：“物聯(lián)網(wǎng)用戶，特別是在工業(yè)環(huán)境中，鑒于物聯(lián)網(wǎng)設備的使用及其遭受破壞所帶來的風險，應慎重考慮設備是否需要一直聯(lián)網(wǎng)。物聯(lián)網(wǎng)用戶還可以通過小心謹慎地連接，并權衡物聯(lián)網(wǎng)設備可能遭到破壞或者失效的風險，以及限制聯(lián)網(wǎng)的成本，從而遏制網(wǎng)絡連接可能帶來的威脅?！?/p>

Amato說，微分段非常符合這個建議。他說：“僅僅創(chuàng)建一個物聯(lián)網(wǎng)分段（我稱之為物聯(lián)網(wǎng)沼澤）還遠遠不夠，還需要將這些設備彼此分割開來。而且，很多物聯(lián)網(wǎng)設備缺乏基于主機的控制機制，因此只能通過微分段等外部化的解決方案來實現(xiàn)這一點?！?h3>物聯(lián)網(wǎng)安全微分段起步緩慢

Amato說，盡管很有優(yōu)勢，但迄今為止，似乎還沒有廣泛采用微分段技術來實現(xiàn)物聯(lián)網(wǎng)安全。

Amato說：“我所看到的是，只有那些已經(jīng)擁有成熟的物聯(lián)網(wǎng)安全計劃的企業(yè)才采用微分段技術，或者將現(xiàn)有的項目擴展到物聯(lián)網(wǎng)領域?！?/p>

對于大多數(shù)企業(yè)來說，Amato認為：“簡單地將IT和物聯(lián)網(wǎng)分開是他們目前的最佳選擇。有時候，盡力而為就已經(jīng)足夠好了。這很有用，我看到很多企業(yè)對此都很有興致。但是，在研究了使之全面工作所需付出的努力之后，真正為物聯(lián)網(wǎng)進行微分段的企業(yè)少之又少?！?/p>

Beaver說，對于構建物聯(lián)網(wǎng)基礎設施的企業(yè)來說，重要的是要考慮他們是否真的需要針對物聯(lián)網(wǎng)安全進行微分段。

Beaver說：“必須確定目前的風險等級和業(yè)務流程。每一項新技術或者新控制措施都會帶來意想不到的后果。與零信任模型相關的其他復雜因素會影響企業(yè)的安全項目，從而抵消任何可能的好處嗎？”

一個好的做法是徹底了解物聯(lián)網(wǎng)將怎樣影響企業(yè)中的所有網(wǎng)絡，以便確定保證數(shù)據(jù)安全傳輸?shù)淖罴逊椒ā?/p>

Beaver說：“制定的安全標準和政策不僅是可執(zhí)行的，而且實際上是強制執(zhí)行的——涵蓋了物聯(lián)網(wǎng)。在控制上要聰明。如果你從基于風險的角度來看待這個問題，并誓言要盡量降低網(wǎng)絡復雜度，那就必須能夠控制好自己的物聯(lián)網(wǎng)環(huán)境?！?/p>

Bob Violino目前在紐約，是Computerworld、CIO、CSO、InfoWorld和Network World的特約撰稿人。

原文網(wǎng)址

https：//www.networkworld.com/article/3442753/iot-can-be-a-security-minefield-can-microsegmentation-help.html