微分段技術保證智能樓宇、IoT數據流安全

Ann Bednarz

BACnet是供暖、通風和空調（HVAC）、照明、門禁和火災探測等建筑自動化和控制（BAC）系統的通信協議。賓夕法尼亞州立大學由于BACnet的開放性而將該協議作為標準。

賓州大學設施自動化服務部的系統設計專家Tom Walker介紹說：“任何設備，任何制造商——只要他們使用了BACnet，我們就能夠把他們整合起來。這是一種非常簡潔的協議，但在部署時必須了解其特殊性，特別是大規模部署的情況。”

例如，特殊性之一是BACnet很容易產生廣播風暴。數百個BACnet系統運行在多個校園中，這些系統跨多個網絡，賓州大學擔心這會降低網絡其他部分的性能，有可能暴露出安全漏洞。

Walker說：“大約四年前，我接手了這一基礎設施，覆蓋整個主校園的是一個扁平化的2層網絡。”他和他的部門決定將BACnet數據流從大學的共享基礎設施中分離出來，以提高安全性和可管理性。

賓州大學的設施自動化服務部門的職責包括大學聯網建筑的自動化工程、網絡管理和監控等。

例如，利用智能樓宇系統，該部門可以遠程控制HVAC系統，從而適當地對教室和辦公室進行供暖和制冷，讓學生和員工感到舒適。自動化控制也有助于保證關鍵研究實驗室的安全運行。

Walker介紹說：“我們有冰川冰，這些是不可替代的。因此，我們必須監控冰柜，以確保這些冰箱不會化凍。”賓州大學的一棟大樓地下室里還有一臺原子鐘，那里的溫度控制在十分之一度。

設施自動化包括物聯網

設施自動化服務部的業務涉及很多地區——賓州大學有3200萬平方英尺的建筑物，分布在全國各地的幾十個校園，2.2萬英畝的土地上。

在640多棟建筑物中，分布著用于監測環境的幾十套系統、設備和傳感器。它們收集的數據越來越多。

Walker介紹說：“我們以前只是建筑自動化。但是這些年來，我們已經開始加入更多的組件。我們現在管理著所有不同的公用設施網絡——廢水、水處理、蒸汽設備、配電，甚至是冷卻水的分配。

“對我們部門來說，這是一次變革。我們要應對建筑物里越來越多的設施——所有保持建筑物運行的設施。我們通過網絡基礎設施把這些數據傳送回數據中心，然后要么轉到云端，要么將其傳送給其他分析系統，對數據進行分析。”

例如，設施自動化部門開始跟蹤電梯的使用情況。Walker解釋說：“我們發現一部電梯一天要上下1900趟。以前我們從未如此地深入了解過，這也解釋了為什么電梯總是不斷地損壞。”

這聽起來很像物聯網，但對于設施自動化部門而言早已習以為常。Walker評論說：“這種物聯網業務很時髦。我們一直在從事物聯網業務。這就是建筑自動化。通過物聯網對建筑物進行控制，通過網絡把控制信息傳送回來，這樣我們就能遠程管理這些建筑物。”

微分段比VLAN、防火墻和ACL更適用

賓州大學之所以決定升級其建筑自動化系統，一個關鍵驅動因素是必須確保安全地進行實時通信。BACnet基礎設施是一種直接采用無線連接和蜂窩連接的網絡。訪問控制是個問題。

大學正在實施32.8億美元的資金投入計劃——重點是現有設施和系統的更新，這意味著近幾年要不斷進行建設，承包商源源不斷地來和大學信息化部門交流，進出機房，承接建筑自動化系統，隨意安裝接入交換機和無線接入點。Walker說：“這些承包商會帶來他們自己的交換機，將它們插入到我們扁平化的2層網絡上。或者，他們會增加自己的接入點和無線路由器。管理起來非常復雜。”

這也是潛在的攻擊途徑，建筑自動化部門一直致力于消除它。Walker說：“主要目的是：找出最好的方法來清理網絡，并以同樣的方式確保網絡安全。”

解決方案就是微分段技術，該技術能夠減少賓州大學的網絡攻擊面，對數百個BACnet系統進行集中控制——在升級期間不會中斷傳統的網絡。

一般來說，采用微分段技術，企業能夠實現工作負載的相互隔離，并分別保護它們。與防火墻、虛擬局域網（VLAN）和訪問控制列表（ACL）等傳統的網絡安全技術相比，它能夠更精細地劃分數據流。

企業可以針對不同類型的數據流定制安全設置，例如，創建策略，將工作負載之間的網絡和應用程序流限制在明確允許的范圍內。如果設備或者工作負載移動，那么安全策略和屬性也將隨之移動。目的是減少網絡攻擊面：通過把分段規則應用于工作負載或者應用程序，企業可以減少攻擊者從一個被攻破的工作負載或者應用程序轉移到其他工作負載和應用程序的風險。

對于賓州大學來說，部分吸引力在于部署和管理起來方便，意味著設施部門可以自行管理網絡的新架構。Walker介紹說：“我們研究過在建筑物內建立獨立的VLAN或者私有VLAN，進行MAC地址過濾，做好訪問控制列表，或者構建建筑物級別的防火墻。但是當我們考慮可擴展性時，一切都變得不可行。對于這些選擇，我不得不至少再雇兩人去管理各種各樣的工具。”

大學轉而選擇Tempered網絡公司的微分段技術來隔離并保護其BACnet數據流。這一供應商的HIPswitch設備在物理網絡之上建立了一個安全的私有重疊網，只有明確可信的系統和端點才允許進入重疊網。HIPswitch與Tempered網絡公司的集中式流程編排引擎Conductor協同工作，該引擎創建、管理并監控設備的配置和安全策略。

進行概念驗證有助于完成賓州大學的部署。Walker介紹說，“部門原本考慮在單個控制器層面上部署HIPswitch設備，但最終決定上移一層到建筑物層面，這極大地簡化了管理。我們能夠創建一組控制器和一組服務器，然后通過重疊網中的信任關系，很容易把它們連接在一起。”

各個建筑物系統是基于功能而不是端口來鎖定的。Walker說：“如果有人攻破了其中一臺控制器，那他們只能返回數據中心，訪問一臺服務器。而以前，如果有人攻破了一棟建筑物，他們就能訪問數據中心，以及所有暴露的應用程序。現在我們可以說：‘燈光控制器只能與燈光服務器通信。電梯控制器只能與電梯服務器通信。”

Tempered網絡公司的技術“在這些獨立的建筑物和我們的數據中心之間建立了信任關系。”這也減少了建筑物之間的數據流，這在重新規劃設計之前曾是很大的問題。Walker說：“位于規模龐大的、扁平化的2層網絡上的每一棟建筑物都能夠收到所有的通信數據流。現在，只有建筑物和服務器在通信。”

如果出現了BACnet廣播風暴或者入侵，很容易關掉某棟建筑物的數據流。“以前，因為它是一個規模龐大的、扁平化的2層菊花鏈結構，因此，我不得不關閉多個端口。那么，如果我關閉一個端口，就有可能關閉6棟建筑物。而現在，我可以單獨控制每棟建筑物的數據流。”

該技術還方便了添加、移動和更改等操作；賓州大學可以通過集中式流程編排功能來支持承包商安全地訪問網絡上的某些設備。

Walker說：“我希望的是，不但能夠輕松部署，而且能立即保護好基礎設施。”

在最初成功部署的基礎上，賓州大學擴展了該項目。一開始，設施部門計劃在賓州大學系統中最大的校園——帕克大學（University Park）部署HIPswitches。目前，大學將該項目擴展到了全州的所有校園中。

隨著賓州大學不斷擴建其校園設施，設施部門利用靈活的HIPswitches甚至實現了最偏遠校園的連接。就在最近，Walker的部門在位于一片玉米地里的一棟建筑物中部署了HIPswitch，采用的是蜂窩連接方式，而如果使用光纖連接方式，將會花費很多的時間和資金。

蜂窩連接是Walker發現的比最初預期更有用的功能。“這使得我們能夠部署在以前無法到達的地方。”