AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

工业物联网防护,微分段比防火墙更好

  • 2019-09-29
  • 本文字数:1650 字

    阅读完需:约 5 分钟

工业物联网防护,微分段比防火墙更好

多年来,防火墙一直是确保内部设备安全的通用标准,但对工业物联网(IIoT)来说,是时候需要做一些改变了。



在过去五年的大部分时间里,物联网(IoT)一直是网络和安全专业人员关注的重点。在工业物联网(IIoT)领域尤其如此。互连的工业设备并不是什么新鲜事物,但是大多数 IT 人员并不熟悉它们,因为它们通常由运营技术(OT)团队负责管理。但是,越来越多的企业领导者希望将 OT 和 IT 结合在一起,以便从合并的数据集中挖掘更有价值的信息。


虽然合并 IT 和 OT,并将 IIoT 由 IT 来统一管理会产生很多优势,但它对网络安全团队的挑战也是比较大,因为它带来了一些新的安全威胁。


每个连接的节点如果遭到破坏,这都会为其他系统创建后门。

内部防火墙是 IIoT(工业物联网)一种昂贵且复杂的选择

保护 IIoT 环境的一种方法是使用内部防火墙。这似乎是一个常识性的选择,因为内部防火墙已成为保护几乎所有内容的通用标准。但是,在 IIoT 环境中,由于成本和复杂性要求,防火墙可能是最差的选择。


从经验上看,内部防火墙应被部署在流量从北向到南向的沿途中,并会通过单个入口/出口点,例如核心交换机。而且,连接的设备都是由 IT 提供和管理的。借助 IIoT,节点可能会变得更加动态,流量也可以以“东西向”模式在设备之间流动,从而绕过防火墙的位置。这意味着安全团队需要在每个可能的 IIoT 连接点间部署内部防火墙,然后部署跨数百个(可能是数千个)防火墙管理策略和配置,这会导致几乎无法控制的结果。


为更好地了解此问题的严重性,我与专门研究 IIoT 安全解决方案的 Tempered Networks 总裁兼首席执行官 Jeff Hussey 进行了交谈,他向我介绍了该公司一位使用内部防火墙的客户。在对所有内部防火墙需要部署的位置进行了广泛的评估之后,该公司估计防火墙的总成本约为 1 亿美元。即使企业负担得起,运营方面也存在另一层挑战。


然后,Hussey 向我介绍了一个医疗保健客户,该客户正在尝试使用防火墙规则、ACL、VLAN 和 VPN 的组合来保护其环境,但是,正如他所说,“复杂性是一个让人头疼的问题”,因为操作的不可行导致工作没有任何进展。


我还与国际控制系统网络安全协会(CS2AI)的创始人兼董事长 Derek Harp 进行了交谈,后者在 IIoT 领域做了很多工作。他描述了当前的 IIoT 环境随着网络的不断发展和“开放性”的发展而变得越来越“多孔”,因为第三方需要从内部系统访问数据。抛开对参与者高技能水平的要求,我们不难发现,这个跟网络安全团队与传统网络安全的对抗不是一个量级的。

对于 IIoT(工业物联网)而言,微分段优于内部防火墙

安全专业人员应该使用 IIoT 微分段,而不是使用内部防火墙。分段类似于 VLAN 和 ACL 的使用,但是环境隔离是在设备级别完成的,并通过规则而不是在网络层进行管理。使用 VLAN 和 ACL,需要将所有设备(包括 IIoT 节点)分配给 VLAN。如果节点移动,则需要重新配置网络以适应该状况。如果不这样, 该设备要么无法连接,要么与设备位于同一个网络上被攻破时,可能会发生糟糕的事情。


Target 几年前的漏洞就是一个很好的例子,零售商的 HVAC 系统受到了攻击,这为销售点(PoS)系统创造了一个后门。传统的安全性在高度静态的环境中非常有效,但是 IIoT 会通过设备定期加入和离开网络来实现高度动态。

在设备层进行分段

分段的好处是它是在软件中完成的,并且在设备连接层上运行,因此策略依附于节点。例如,可以创建一个规则,其中所有医疗设备都位于特定的段中,并且与其余连接的节点隔离。如果医疗设备移动了,则该策略将随之移动,并且无需重新配置。如果 Target 之前使用 IIoT 微分段,并且 HVAC 和 PoS 系统位于不同的段区(从最佳实践的角度来看,应该是这两个分段),那么可能发生的最坏情况一个段区被攻破。


微分段已用于数据中心,以保护在虚拟机和容器之间流动的横向流量。网络安全团队现在应该考虑将该技术扩展到更广泛的网络中,第一个推荐的场景就是 IIoT 节点保护。这将使企业能够推进数字化转型计划,而不会给公司带来风险。


英文原文:


To secure industrial IoT, use segmentation instead of firewalls


2019-09-29 14:051757

评论

发布
暂无评论
发现更多内容

腾讯云NoSQL数据库产品2022再迎升级,多项技术细节首次公开

科技热闻

iOS 15 TableView willDisplayCell获取失败

刿刀

UITableView iOS16

2023免费双系统虚拟机软件CrossOver2023

茶色酒

crossover CrossOver2023

1-5-10 快恢在数字化安全生产平台 DPS 中的设计与落地

阿里巴巴云原生

阿里云 云原生 数字化安全生产平台

Wallys//QCN9074/QCN9024/WiFi6/WiFi6E/4x4 MU MIMO Dual Band WiFi Module MiniPCIe/industrial wifi6 moudle

wallysSK

QCN9074 QCN9024 QCN9072

超聚变服务器操作系统FusionOS与阿里云PolarDB数据库完成兼容性认证

阿里云数据库开源

阿里云 开源数据库 polarDB PolarDB-X PolarDB for PostgreSQL

量化合约对冲交易机器人app系统开发源代码部署

开发微hkkf5566

干货|成为优秀软件测试工程师的六大必备能力

飞算JavaAI开发助手

声网王浩宇:RTE 场景下的 Serverless 架构挑战【RTE 2022】

声网

架构 实时互动

服务超80家金融行业头部企业,腾讯会议将支持混合云部署

科技热闻

互联网都在说降本增效,小红书技术团队是怎么做的?

小红书技术REDtech

空间节省50%,时序性能提升5倍,三一重工从Hadoop+Spark到MatrixDB架构变迁实现One for ALL

YMatrix 超融合数据库

三一重工 超融合数据库 数据库· YMatrix

快速开发协同办公OA系统 让企业管理提质增效

力软低代码开发平台

Istio的使用场景

穿过生命散发芬芳

istio 12月月更

API网关与南北向安全设计

阿泽🧸

API网关 12月月更

腾讯智慧农业首次亮相,助力青海大通农产品走进大湾区

科技热闻

RocketMQ 全链路灰度探索与实践

Apache RocketMQ

RocketMQ 服务端 灰度

NFTScan 与 Merlin Protocol 达成战略合作伙伴,双方将在 NFT 数据层面展开深度合作

NFT Research

NFT 数据基础设施

教你用JavaScript实现粘性导航

小院里的霍大侠

JavaScript 编程开发 初学者 入门实战

如何在Ubuntu20.04上安装RDP远程

吴脑的键客

ubuntu DevOps RDP

国产智能BI产品崛起,帆软Fine BI、瓴羊Quick BI等应该如何选择

小偏执o

数据治理:指标体系管理

用友BIP

爱奇艺:基于龙蜥与 Koordinator 在离线混部的实践解析 | 龙蜥技术

OpenAnolis小助手

开源 cpu 爱奇艺 混部 龙蜥操作系统

Lattice – 基于扩展点的多维度业务定制叠加

原力在线

架构 lattice 高可扩展

使用 JS 转换数据的最佳实践

夏木

typescript data-convert

Flask上手:step by step

无人之路

flask web开发 Web应用开发 Python. python web

NTFS读写工具Tuxera for Mac2023下载及功能介绍

茶色酒

Tuxera2022 Tuxera NTFS2022 Tuxera NTFS Mac2022

一图读懂《2022 年中国政企数智办公平台行业研究报告》

融云 RongCloud

办公 数智化 图论

5.外包学生管理系统实战

程序员小张

「架构实战营」

内部CRM和商业化SAAS CRM的区别

久歌

SaaS 架构设计 CRM

TitanIDE引领企业开发工具变革

行云创新

ide CloudIDE WebIDE

工业物联网防护,微分段比防火墙更好_安全_Zeus Kerravala_InfoQ精选文章