信息化觀察網(wǎng)

IoT（物聯(lián)網(wǎng)）有望為企業(yè)帶來(lái)很多好處，例如，企業(yè)更深入地了解資產(chǎn)和成品的性能，改進(jìn)制造過(guò)程，更好為客戶提供服務(wù)等。然而，與物聯(lián)網(wǎng)相關(guān)的煩人的安全問(wèn)題仍然讓企業(yè)萬(wàn)分擔(dān)憂，在某些情況下，可能會(huì)阻礙企業(yè)繼續(xù)推進(jìn)項(xiàng)目。至少能緩解一些物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)的可行方案是微分段技術(shù)，專家稱，這一網(wǎng)絡(luò)概念有助于讓物聯(lián)網(wǎng)環(huán)境受控。

采用微分段技術(shù)，企業(yè)可以在其數(shù)據(jù)中心和云環(huán)境中創(chuàng)建安全區(qū)域，使工作負(fù)載相互隔離，并分別進(jìn)行保護(hù)。在物聯(lián)網(wǎng)環(huán)境中，微分段技術(shù)可以讓企業(yè)更好地控制設(shè)備之間越來(lái)越多的橫向數(shù)據(jù)流，而不再是僅采用以周界防護(hù)為主的安全工具。

對(duì)于企業(yè)來(lái)說(shuō)，將微分段技術(shù)應(yīng)用于物聯(lián)網(wǎng)可能還為時(shí)過(guò)早，但業(yè)內(nèi)觀察人士認(rèn)為，物聯(lián)網(wǎng)的部署有可能促使企業(yè)采用微分段技術(shù)，以實(shí)現(xiàn)比傳統(tǒng)防火墻更精細(xì)、更簡(jiǎn)單的保護(hù)措施。

物聯(lián)網(wǎng)帶來(lái)新的安全風(fēng)險(xiǎn)

物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)可能包括很多威脅，例如，聯(lián)網(wǎng)設(shè)備本身、支持物聯(lián)網(wǎng)的軟件以及實(shí)現(xiàn)所有連接的網(wǎng)絡(luò)等。

隨著物聯(lián)網(wǎng)部署的增長(zhǎng)，安全威脅也在增加。據(jù)研究公司Ponemon研究所和風(fēng)險(xiǎn)管理服務(wù)公司圣達(dá)菲集團(tuán)（Santa Fe Group）的報(bào)告，自2017年以來(lái)，與物聯(lián)網(wǎng)相關(guān)的數(shù)據(jù)泄露事件“急劇”增加。讓問(wèn)題更復(fù)雜的是，很多企業(yè)并不清楚其環(huán)境中以及第三方供應(yīng)商提供的哪些物聯(lián)網(wǎng)設(shè)備是不安全的。Ponemon的研究表明，很多企業(yè)沒(méi)有集中的責(zé)任機(jī)制來(lái)應(yīng)對(duì)或者管理物聯(lián)網(wǎng)風(fēng)險(xiǎn)，大部分企業(yè)擔(dān)心他們的數(shù)據(jù)在未來(lái)24個(gè)月內(nèi)會(huì)被泄露。

對(duì)于醫(yī)療等行業(yè)來(lái)說(shuō)，物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)可能尤其嚴(yán)重，因?yàn)樵O(shè)備通過(guò)網(wǎng)絡(luò)收集和共享了大量的敏感信息。在研究公司Vanson Bourne調(diào)查的232家醫(yī)療機(jī)構(gòu)中，82%的機(jī)構(gòu)在過(guò)去一年中經(jīng)歷過(guò)以物聯(lián)網(wǎng)為目標(biāo)的網(wǎng)絡(luò)攻擊。當(dāng)被問(wèn)及在醫(yī)療機(jī)構(gòu)中最突出的漏洞是什么時(shí)，網(wǎng)絡(luò)被提及的頻率最高（50%），其次是移動(dòng)設(shè)備和相應(yīng)的應(yīng)用程序（45%），以及物聯(lián)網(wǎng)設(shè)備（42%）。

微分段技術(shù)怎樣提升物聯(lián)網(wǎng)安全？

微分段的設(shè)計(jì)是為了使網(wǎng)絡(luò)安全更加精細(xì)化。下一代防火墻、虛擬局域網(wǎng)（VLAN）和訪問(wèn)控制列表（ACL）等其他解決方案在一定程度上也進(jìn)行了網(wǎng)絡(luò)分段。但是，采用微分段技術(shù)，策略被應(yīng)用于每個(gè)工作負(fù)載，能更好地防止攻擊。結(jié)果，與VLAN等技術(shù)相比，這些工具能夠?qū)?shù)據(jù)流進(jìn)行更細(xì)粒度的分段。

軟件定義網(wǎng)絡(luò)（SDN）和網(wǎng)絡(luò)虛擬化的出現(xiàn)，推動(dòng)了微分段技術(shù)的發(fā)展。通過(guò)使用與網(wǎng)絡(luò)硬件分離的軟件，與軟件未與底層硬件分離相比，微分段技術(shù)實(shí)現(xiàn)起來(lái)更容易。

與防火墻等以周界防護(hù)為主的技術(shù)相比，微分段技術(shù)能夠更好地控制數(shù)據(jù)中心的數(shù)據(jù)流，因此它可以阻止攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行破壞。

分段也有利于管理。研究公司IDC的物聯(lián)網(wǎng)安全分析師Robyn Westervelt介紹說(shuō)：“如果能正確地實(shí)現(xiàn)微分段，就可以在物聯(lián)網(wǎng)設(shè)備和其他敏感資源之間增加一層安全防護(hù)，不會(huì)在防火墻上出現(xiàn)漏洞。但底層基礎(chǔ)設(shè)施必須支持這種方法，可能需要安裝新的、現(xiàn)代化的交換機(jī)和網(wǎng)關(guān)等。”

出于安全或者隱私的考慮，將網(wǎng)絡(luò)分成多個(gè)部分的概念并不新鮮。一段時(shí)間以來(lái)，企業(yè)一直在隔離一些關(guān)鍵或者高風(fēng)險(xiǎn)的資源。

Westervelt說(shuō)，例如，網(wǎng)絡(luò)分段在零售業(yè)很常見(jiàn)。很多商家將其支付環(huán)境與其他網(wǎng)絡(luò)數(shù)據(jù)流隔離開來(lái)，以便在合適的范圍內(nèi)應(yīng)用支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），這一套安全標(biāo)準(zhǔn)旨在為接受、處理、存儲(chǔ)和傳輸信用卡信息的企業(yè)維護(hù)一個(gè)安全的環(huán)境。

Westervelt說(shuō)：“這并非萬(wàn)無(wú)一失，因?yàn)檎缥覀冊(cè)诹闶凵蘐arget的數(shù)據(jù)泄露事件中看到的，攻擊者能夠找到從一個(gè)系統(tǒng)跳到另一個(gè)系統(tǒng)的其他方法。然而，這需要豐富的經(jīng)驗(yàn)和資源，足以讓很多出于經(jīng)濟(jì)動(dòng)機(jī)的攻擊者望而止步。但還是有人能得手。”

Westervelt介紹說(shuō)，這些年來(lái)，一直不是非常清楚Target泄露事件的細(xì)節(jié)。她說(shuō)：“攻擊者利用被盜的證書，進(jìn)入了Target公司用來(lái)向其暖通空調(diào)供應(yīng)商支付費(fèi)用的承包商計(jì)費(fèi)系統(tǒng)。從那里，他們進(jìn)入了網(wǎng)絡(luò)，并橫向移動(dòng)到POS（銷售點(diǎn)）系統(tǒng)。”

Westervelt說(shuō)，微分段技術(shù)還可以用來(lái)隔離虛擬環(huán)境中的關(guān)鍵應(yīng)用程序工作負(fù)載。她說(shuō)：“這就是我在‘微分段’背景下所想到的。通過(guò)這種方式，你可以對(duì)關(guān)鍵工作負(fù)載設(shè)置更嚴(yán)格的控制措施，并密切監(jiān)視對(duì)其進(jìn)行的訪問(wèn)和更改。”

該技術(shù)也被認(rèn)為是工業(yè)控制系統(tǒng)環(huán)境中的最佳實(shí)踐。Westervelt說(shuō)：“一家企業(yè)可以使用工業(yè)防火墻和單向網(wǎng)關(guān)隔離分配給敏感過(guò)程的關(guān)鍵可編程邏輯控制器。”

在IT環(huán)境中，可以對(duì)連接了互聯(lián)網(wǎng)的新部署的運(yùn)維技術(shù)（OT）進(jìn)行分段，以防止攻擊者將其作為進(jìn)入生產(chǎn)系統(tǒng)的跳板或者墊腳石。這就是微分段與物聯(lián)網(wǎng)相關(guān)聯(lián)的地方。

Westervelt說(shuō)：“這些OT技術(shù)包括現(xiàn)代建筑管理系統(tǒng)、太陽(yáng)能電池板、電梯傳感器以及包括滅火系統(tǒng)在內(nèi)的物理安全機(jī)制。目前，還沒(méi)有充分認(rèn)識(shí)到這一領(lǐng)域的重要性，但我們看到一些大型銀行和金融服務(wù)公司在數(shù)據(jù)中心設(shè)施中降低了與這些OT技術(shù)相關(guān)的風(fēng)險(xiǎn)。”

網(wǎng)絡(luò)專家說(shuō)，將微分段作為廣泛的物聯(lián)網(wǎng)安全策略的一部分而進(jìn)行部署是非常有意義的。

獨(dú)立信息安全顧問(wèn)Kevin Beaver認(rèn)為：“這種網(wǎng)絡(luò)模型允許對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行更細(xì)粒度的控制，并在發(fā)現(xiàn)安全漏洞時(shí)，更好地進(jìn)行隔離。這些優(yōu)點(diǎn)不僅有助于提高安全可見(jiàn)性和控制能力，而且還有助于事件響應(yīng)和取證。”

研究公司Gartner的主任分析師Jon Amato說(shuō)，這項(xiàng)技術(shù)“可能是將物聯(lián)網(wǎng)網(wǎng)絡(luò)與IT系統(tǒng)分割開來(lái)的一種非常有效的方式。微分段技術(shù)創(chuàng)建‘虛擬分段’的能力非常有用，即使跨過(guò)多個(gè)物理位置，也能將各類設(shè)備彼此分開。”

Amato說(shuō)，這也很符合美國(guó)國(guó)土安全部（DHS）等組織的物聯(lián)網(wǎng)安全指南。國(guó)土安全部在其《物聯(lián)網(wǎng)安全戰(zhàn)略原則》報(bào)告中建議，企業(yè)應(yīng)權(quán)衡聯(lián)網(wǎng)的好處及其帶來(lái)的風(fēng)險(xiǎn)。

報(bào)告稱：“物聯(lián)網(wǎng)用戶，特別是在工業(yè)環(huán)境中，鑒于物聯(lián)網(wǎng)設(shè)備的使用及其遭受破壞所帶來(lái)的風(fēng)險(xiǎn)，應(yīng)慎重考慮設(shè)備是否需要一直聯(lián)網(wǎng)。物聯(lián)網(wǎng)用戶還可以通過(guò)小心謹(jǐn)慎地連接，并權(quán)衡物聯(lián)網(wǎng)設(shè)備可能遭到破壞或者失效的風(fēng)險(xiǎn)，以及限制聯(lián)網(wǎng)的成本，從而遏制網(wǎng)絡(luò)連接可能帶來(lái)的威脅。”

Amato說(shuō)，微分段非常符合這個(gè)建議。他說(shuō)：“僅僅創(chuàng)建一個(gè)物聯(lián)網(wǎng)分段（我稱之為物聯(lián)網(wǎng)沼澤）還遠(yuǎn)遠(yuǎn)不夠，還需要將這些設(shè)備彼此分割開來(lái)。而且，很多物聯(lián)網(wǎng)設(shè)備缺乏基于主機(jī)的控制機(jī)制，因此只能通過(guò)微分段等外部化的解決方案來(lái)實(shí)現(xiàn)這一點(diǎn)。”

物聯(lián)網(wǎng)安全微分段起步緩慢

Amato說(shuō)，盡管很有優(yōu)勢(shì)，但迄今為止，似乎還沒(méi)有廣泛采用微分段技術(shù)來(lái)實(shí)現(xiàn)物聯(lián)網(wǎng)安全。

Amato說(shuō)：“我所看到的是，只有那些已經(jīng)擁有成熟的物聯(lián)網(wǎng)安全計(jì)劃的企業(yè)才采用微分段技術(shù)，或者將現(xiàn)有的項(xiàng)目擴(kuò)展到物聯(lián)網(wǎng)領(lǐng)域。”

對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，Amato認(rèn)為：“簡(jiǎn)單地將IT和物聯(lián)網(wǎng)分開是他們目前的最佳選擇。有時(shí)候，盡力而為就已經(jīng)足夠好了。這很有用，我看到很多企業(yè)對(duì)此都很有興致。但是，在研究了使之全面工作所需付出的努力之后，真正為物聯(lián)網(wǎng)進(jìn)行微分段的企業(yè)少之又少。”

Beaver說(shuō)，對(duì)于構(gòu)建物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的企業(yè)來(lái)說(shuō)，重要的是要考慮他們是否真的需要針對(duì)物聯(lián)網(wǎng)安全進(jìn)行微分段。

Beaver說(shuō)：“必須確定目前的風(fēng)險(xiǎn)等級(jí)和業(yè)務(wù)流程。每一項(xiàng)新技術(shù)或者新控制措施都會(huì)帶來(lái)意想不到的后果。與零信任模型相關(guān)的其他復(fù)雜因素會(huì)影響企業(yè)的安全項(xiàng)目，從而抵消任何可能的好處嗎？”

一個(gè)好的做法是徹底了解物聯(lián)網(wǎng)將怎樣影響企業(yè)中的所有網(wǎng)絡(luò)，以便確定保證數(shù)據(jù)安全傳輸?shù)淖罴逊椒ā?/p>

Beaver說(shuō)：“制定的安全標(biāo)準(zhǔn)和政策不僅是可執(zhí)行的，而且實(shí)際上是強(qiáng)制執(zhí)行的——涵蓋了物聯(lián)網(wǎng)。在控制上要聰明。如果你從基于風(fēng)險(xiǎn)的角度來(lái)看待這個(gè)問(wèn)題，并誓言要盡量降低網(wǎng)絡(luò)復(fù)雜度，那就必須能夠控制好自己的物聯(lián)網(wǎng)環(huán)境。”

作者：Bob Violino目前在紐約，是Computerworld、CIO、CSO、InfoWorld和Network World的特約撰稿人。

編譯：Charles

原文網(wǎng)址：https://www.networkworld.com/article/3442753/iot-can-be-a-security-minefield-can-microsegmentation-help.html