物聯(lián)網(wǎng)安全可以依靠微隔離嗎

將數(shù)據(jù)中心使用的微隔離技術 （MicroSegmentation） 作為 IoT 物聯(lián)網(wǎng)安全策略的一部分進行部署，可以實現(xiàn)對網(wǎng)絡系統(tǒng)更細粒度的控制，并實現(xiàn)更好的隔離。

隨著等保 2.0 將物聯(lián)網(wǎng)和工控系統(tǒng)納入等級保護監(jiān)管，處于起步階段的物聯(lián)網(wǎng)和工控安全將迎來快速發(fā)展。與此同時，隨著物聯(lián)網(wǎng)部署的快速增長，該領域面臨的安全威脅也越來越大。根據(jù)研究公司 Ponemon InsTItute 和風險管理服務公司 The Santa Fe Group 的報告，自2017 年以來，與 IoT 相關的數(shù)據(jù)泄露事件 “急劇” 增加。使問題進一步復雜化的是，大多數(shù)企業(yè)并不了解其環(huán)境中（包括）第三方供應商的每一個 IoT 設備或應用程序的安全性。Ponemon 的研究表明，許多組織沒有解決或管理物聯(lián)網(wǎng)風險的集中責任制，并且大多數(shù)人認為他們的數(shù)據(jù)將在未來 24 個月內(nèi)遭到破壞。

IoT 安全風險對于醫(yī)療等行業(yè)而言尤為嚴峻，因為終端設備會通過網(wǎng)絡收集和共享大量敏感信息。研究公司 Vanson Bourne 調(diào)查了 232 個醫(yī)療行業(yè)用戶發(fā)現(xiàn)，82% 的受訪者在過去一年中遭遇過以物聯(lián)網(wǎng)為中心的網(wǎng)絡攻擊。醫(yī)療機構最常見的漏洞分布如下：網(wǎng)絡 （50%），移動設備和隨附的應用程序 （45%），以及物聯(lián)網(wǎng)設備 （42%）。

微隔離，更好的選擇

早在 2017 年，Gartner 就將微隔離技術 （MicrosegmentaTIon） 評為 11 大最值得關注的信息安全技術。

當攻擊者滲透進入企業(yè)系統(tǒng)獲得據(jù)點，通常都能在周邊系統(tǒng)自由拓展。微隔離技術能夠在虛擬數(shù)據(jù)中心中進行隔離劃分，防范攻擊者的內(nèi)部游走，將攻擊導致的損失降至最低。

近年來推動微隔離技術發(fā)展的主要動力是軟件定義網(wǎng)絡 （SDN） 和網(wǎng)絡虛擬化的出現(xiàn)。通過使用與網(wǎng)絡硬件分離的軟件，與那些尚未與底層硬件分離的軟件相比，分段（隔離）更容易實現(xiàn)。

相比防火墻這種以邊界為中心的產(chǎn)品，微隔離技術大大提高了數(shù)據(jù)中心的流量控制能力，因此可以有效阻止攻擊者進入網(wǎng)絡進行破壞。

微隔離也有管理上的好處。IDC 的 IoT 安全分析師 Robyn Westervelt 表示：

如果可以正確實施微分段，則可以在 IoT 設備和其他敏感資源之間添加一層安全保護，而不會在防火墻上造成漏洞 。但是底層的基礎架構必須支持這種方法，并且可能需要安裝比較新的交換機、網(wǎng)關等。

對于工業(yè)物聯(lián)網(wǎng)來說，內(nèi)部防火墻太貴太復雜

保護工業(yè)物聯(lián)網(wǎng) （IIoT） 環(huán)境的一種方法是使用內(nèi)部防火墻。這似乎是一個顯而易見的選擇，因為內(nèi)部防火墻已成為所有安全保護的事實標準。但是，在工業(yè)物聯(lián)網(wǎng)環(huán)境中，由于成本和復雜性，防火墻可能是最差的選擇。

從歷史上看，內(nèi)部防火墻被部署在流量沿 “南北” 方向移動的地方，并會通過單個入口/出口點，例如核心交換機。而且，連接的設備都是可知和可管理的。但在工業(yè)物聯(lián)網(wǎng)中，連接變得更加動態(tài)，流量可以 “東西向” 模式在設備之間流動，從而繞過防火墻所在的位置。這意味著安全團隊需要在每個可能的 IIoT 連接點部署內(nèi)部防火墻，然后跨數(shù)百個（可能是數(shù)千個）防火墻管理策略和配置，從而造成幾乎無法控制的局面。

專門研究 IIoT 安全解決方案的 Tempered Networks 總裁兼首席執(zhí)行官Jeff Hussey透露，他們的一個客戶對內(nèi)部防火墻需求進行評估后，發(fā)現(xiàn)其成本高達 1 億美元，運營方面的挑戰(zhàn)同樣巨大。另外一個醫(yī)療企業(yè)嘗試使用防火墻規(guī)則、ACL、VLAN 和 VPN 的組合來保護其環(huán)境，但是發(fā)現(xiàn)無法承受 “高度復雜性帶來的運營開銷”。

國際控制系統(tǒng)網(wǎng)絡安全協(xié)會 （CS2AI） 的創(chuàng)始人兼董事長 Derek Harp 認為，隨著第三方不斷需要從內(nèi)部系統(tǒng)訪問數(shù)據(jù)，隨著工業(yè)物聯(lián)網(wǎng)自身的不斷發(fā)展和開放，當前的IIoT環(huán)境變得越來越 “千瘡百孔”。IIoT 網(wǎng)絡安全團隊面臨的挑戰(zhàn)遠超傳統(tǒng)安全團隊。

對于工業(yè)物聯(lián)網(wǎng)，微隔離優(yōu)于內(nèi)部防火墻

工業(yè)物聯(lián)網(wǎng)安全專業(yè)人員應該使用微隔離，而不是內(nèi)部防火墻。微隔離類似于 VLAN 和 ACL，但是環(huán)境隔離是在設備級別完成的，通過規(guī)則而不是在網(wǎng)絡層進行管理。使用 VLAN 和 ACL，需要將所有設備（包括 IIoT 端點）分配給 VLAN。如果端點移動，則需要重新配置網(wǎng)絡以適應。否則該設備將無法連接，或者與被破壞的設備、可能發(fā)生不良情況的設備位于同一網(wǎng)絡上。

幾年前的 Target 違規(guī)就是一個很好的例子，零售商的 HVAC 系統(tǒng)遭到破壞，這為銷售點 （PoS） 系統(tǒng)制造了后門。傳統(tǒng)的安全性在高度靜態(tài)的環(huán)境中非常有效，但是 IIoT 可以通過設備定期加入和離開網(wǎng)絡來實現(xiàn)高度動態(tài)。

工業(yè)物聯(lián)網(wǎng)是微隔離下一個優(yōu)秀用例

微隔離的優(yōu)點是可以在軟件中配置，并且在設備連接層上運行，是基于端點的策略。例如，可以創(chuàng)建一個微隔離規(guī)則，讓所有醫(yī)療設備都位于特定的段中，并且與其余連接的節(jié)點隔離。如果移動了醫(yī)療設備，則該策略將隨之而動，無需重新配置。如果 Target 一直在使用 IIoT 微隔離，并且 HVAC 空暖控制系統(tǒng)和 PoS 系統(tǒng)位于不同的微分段，那么黑客能做的最壞的事情無非就是讓商場室溫升高。

微隔離已經(jīng)應用于數(shù)據(jù)中心，以保護在虛擬機和容器之間流動的橫向流量。網(wǎng)絡安全團隊現(xiàn)在應該尋求將該技術推廣和擴展到更多應用場景，保護工業(yè)物聯(lián)網(wǎng)端點就是一個優(yōu)秀的用例。這將使企業(yè)能夠推進數(shù)字化轉(zhuǎn)型計劃，而不會給公司帶來風險。