微分段能为物联网做一些什么
扫描二维码
随时随地手机看文章
作为物联网部署安全策略的一部分,微分段可以实现对网络系统更加精细的控制,并在利用安全漏洞时实现更好的隔离。
物联网(IoT)为企业带来了一些巨大的好处,例如对企业资产和产品的性能有了更深入的了解,改进制造过程,以及更好的客户服务。不幸的是,与物联网相关的安全问题仍然是企业面临的一个重大问题,在某些情况下,这可能会阻碍企业的物联网应用。解决物联网安全风险的一个可行方案是微分段。专家表示,这是一种网络概念,可以帮助控制物联网环境。
借助微分段,组织可以在其数据中心和云计算环境中创建安全区域,使它们能够将工作负载彼此隔离并分别进行保护。在物联网环境中,微分段可以使企业更好地控制设备之间发生的横向通信数量的增长,从而绕过以外围设备为中心的安全工具。
对于企业来说,将微分段技术应用于物联网可能还为时过早。但业内观察人士认为,物联网部署有可能促使企业采用微分段技术,以实现比传统防火墙更精细、更简单的保护。
物联网带来新的安全风险
物联网安全风险可能包括涉及连接设备本身,支持物联网的软件以及网络的多种威胁。
随着物联网部署的增长,对安全的威胁也越来越大。根据研究机构波洛蒙研究所和风险管理服务商The Santa Fe Group的调查报告,自2017年以来,与物联网相关的数据泄露事件急剧增加。使问题进一步复杂化的是,大多数组织并不了解其环境中或来自第三方供应商的每个不安全的物联网设备或应用程序。波洛蒙研究所的研究表明,许多组织没有解决或管理物联网风险的集中责任制,并且大多数人认为他们的数据可能会在未来24个月内遭到破坏。
物联网安全风险对于医疗保健等行业而言可能更高,因为设备会通过网络收集和共享大量敏感信息。在研究机构Vanson Bourne公司调查的232个医疗保健组织中,有82%的组织表示,在过去一年中经历了以物联网为中心的网络攻击。当被要求确定医疗机构中最突出的漏洞在哪里时,网络被引用频率最高(50%),其次是移动设备和随附的应用程序(45%),以及物联网设备(42%)。
微分段如何帮助物联网安全
微分段的设计是为了使网络安全更精细。下一代防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)等其他解决方案提供了一定程度的网络分段。但是,通过微分段,可能将策略应用于单个工作负载,以便更好地防止攻击。因此,这些工具提供比虚拟局域网(VLAN)等服务更细粒度的流量分段。
软件定义网络(SDN)和网络虚拟化的出现,推动了微分段技术的发展。通过使用与网络硬件分离的软件,与软件未与底层硬件分离相比,微分段更容易实现。
由于微分段提供了比诸如防火墙之类的面向周边的产品更大的数据中心流量控制能力,因此它可以阻止攻击者进入网络进行破坏。
分段也有管理上的好处。研究机构IDC公司的物联网安全分析师Robyn Westervelt表示,“如果可以正确实施微分段,则可以在物联网设备和其他敏感资源之间添加一层安全保护,而不会在防火墙上造成漏洞。但是底层的基础设施必须支持这种方法,并且可能需要安装新的现代交换机、网关等。”
出于安全或隐私原因将网络划分为多个部分的概念并不新鲜。一段时间以来,企业一直在隔离一些关键或高风险资源。
Westervelt表示,例如,网络分段在零售领域很普遍。许多商家将其支付环境与其他网络流量隔离开来,以缩小支付卡行业数据安全标准(PCI DSS)的范围,该标准旨在确保公司接受、处理、存储或传输信用卡信息的一组安全标准维持安全的环境。
Westervelt说,“这并不是万无一失的,因为正如我们在零售商Target公司的数据泄露事件中所看到的那样,攻击者可以找到从一个系统跳到另一个系统的方法。这样做需要更多的技巧和资源;足以阻止许多出于经济动机的攻击者。但这是可以完成的。”
Westervelt说,多年来,Target公司数据泄露的细节一直令人困惑。她说,“攻击者使用被盗的凭证来访问Target公司用来支付其HVAC供应商的承包商计费系统。从那里,他们可以访问网络,并横向移动到POS(销售点)系统。”
Westervelt说,微分段还可以用于隔离虚拟环境中的关键应用程序工作负载。她说,“通过这种方式,企业可以对关键工作负载设置更严格的控制,并密切监视访问和更改。”
该技术也被认为是工业控制系统环境中的优秀实践。她说,“组织可以使用工业防火墙和单向网关隔离分配给敏感过程的关键可编程逻辑控制器。”
在IT环境中,可以对具有全球互联网连接的新部署的操作技术(OT)进行分段,以防止攻击者将其用作生产系统的集结地或垫脚石。这就是微分段与物联网相关的地方。
Westervelt说:“这些操作技术(OT)包括现代建筑管理系统、太阳能电池板、电梯传感器以及包括灭火系统在内的物理安全机制。目前这并不是一个重要的领域,但是我们看到一些大型银行和金融服务公司减轻了数据中心设施中与操作技术(OT)相关的风险。”
网络专家说,将微分段作为广泛的物联网安全策略的一部分进行部署可能很有意义。
独立的信息安全顾问Kevin Beaver表示:“这种网络模型可以对网络系统进行更精细的控制,并在利用安全漏洞的情况下实现更好的隔离。这些好处不仅可以帮助改善安全可见性和控制,而且还可以改善事件响应和取证。”
研究机构Gartner公司的分析师Jon Amato表示,“这项技术可能是从IT系统中分割物联网网络的一种非常有效的方法。微分段产品还具有创建虚拟分段的能力,这种虚拟分段可以将设备类型彼此分离,甚至跨越多个物理位置。”
Amato说,这也与美国国土安全部(DHS)等组织的物联网安全指南保持一致。美国国土安全部(DHS)在其《确保物联网安全的战略原则》报告中提出了组织权衡连通性的好处与它带来的风险:
报告说:“鉴于物联网设备的使用以及与物联网设备相关的风险,特别是在工业环境中,物联网用户应慎重考虑是否需要连接。物联网消费者还可以通过谨慎连接,并权衡可能限制物联网设备发生故障或限制连接到互联网的成本,来帮助控制网络连接所带来的潜在威胁。”
Amato说,微分段非常符合此建议。他说,“仅创建一个物联网细分市场还远远不够,还需要将这些设备彼此分割开来。而且,大多数物联网设备缺少基于主机的控件,因此企业只能使用微分段等解决方案来实现这一目标。”
物联网安全的微细分发展缓慢
Amato说,尽管具有潜在的优势,但迄今为止,似乎没有广泛采用微分段技术来实现物联网安全。
Amato说,“我所看到的是,只有那些已经拥有成熟的物联网安全计划的组织才能实现微分段,或者将现有的程序扩展到物联网领域。对于大多数组织来说,将IT和物联网彼此分开只是他们现在可以做的最好的事情,在研究使物联网全部工作所涉及的工作水平之后,实际上进行物联网微分段的企业要少得多。”
Beaver说,对于构建物联网基础设施的组织来说,重要的是要考虑他们是否真的需要对物联网安全进行微分段。
Beaver说,“企业必须确定当前的风险级别和业务流程,每一项新技术或控制都会带来意想不到的后果。与零信任模型相关的其他复杂性是否会以抵消可察觉的利益的方式影响企业的安全计划?”
一个很好的做法是彻底了解物联网如何影响企业中的所有网络,以便确定确保数据安全传输的好方法。
Beaver说,“企业实际上可以强制执行(包括物联网)的安全标准和策略,如果企业以基于风险的观点进行处理,并希望将网络复杂性降到很低,那么可能就能够控制其物联网环境。”
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。