保護IIoT安全，防火墻還有用嗎？

Zeus Kerravala

在過去五年的大部分時間里，物聯網（IoT）一直是網絡和安全專業人員最為關注的。在工業物聯網（IIoT）領域尤其如此。工業設備聯網并不新鮮，但大多數IT人員并不熟悉，因為它是由運營技術（OT）部門管理的。不過，越來越多的企業領導人希望能夠把OT和IT結合起來，從組合的數據集中獲得更好的深度分析結果。

雖然融合IT與OT并讓工業物聯網歸IT管理有很多好處，但這對網絡安全部門有著深遠的影響，因為這會引入幾種新的安全威脅。每個聯網的端點如果被攻破，將創建一個能進入其他系統的后門。

內部防火墻對工業物聯網來說是昂貴而復雜的選擇

保護工業物聯網環境的一種方法是使用內部防火墻。這似乎是顯而易見的選擇，因為內部防火墻已經成為保護幾乎所有東西的事實標準。然而，在工業物聯網環境中，由于成本和復雜性問題，防火墻可能是最糟糕的選擇。

歷史上，內部防火墻部署在數據流沿“南北”方向流動并通過單個入口/出口點（例如，核心交換機）的位置。而且，聯網的設備都是已知的，并由IT部門進行管理。對于工業物聯網，連接可以更加動態，數據流可以在設備之間以“東西”模式流動，繞過防火墻所在的位置。這意味著安全部門需要在每個可能的工業物聯網連接點部署一個內部防火墻，然后跨數百個（可能是數千個）防火墻來管理策略和配置，而這會造成幾乎無法管理的局面。

為了更好地理解這個問題的嚴重性，我與專門研究工業物聯網安全解決方案的Tempered網絡公司總裁兼首席執行官Jeff Hussey進行了交流，他告訴我該公司的一位客戶曾嘗試使用內部防火墻。在對所有的內部防火墻應部署在哪里做了全面的評估之后，該公司估計防火墻的總成本約為1億美元。即使某家企業能負擔得起，運營方面也會有更大的挑戰。

Hussey接著告訴我，醫療保健領域的一家客戶試圖使用防火墻規則、ACL、VLAN和VPN的組合來保護他們的環境，但是，正如他所說的，“復雜性扼殺了他們”，并且由于運營開銷而無法完成任何事情。

我還采訪了國際控制系統網絡安全協會（CS2AI）的創始人兼主席Derek Harp，他在工業物聯網領域做了大量的工作。他介紹說，隨著網絡的不斷發展，當前的工業物聯網環境變得“越來越容易被穿透”，同時隨著第三方需要獲取內部系統的數據，也變得更加開放。再加上威脅犯罪分子高超的技能水平，很容易看出這絕不是網絡安全部門所能應對的傳統的網絡安全戰斗。

對于工業物聯網，微分段技術優于內部防火墻

安全專業人員不應使用內部防火墻，而應該轉向工業物聯網微分段技術。分段技術類似于VLAN和ACL的使用，但環境分離是在設備級而不是在網絡層完成的，并使用規則進行管理。

幾年前的Target泄露事件就是一個很好的例子，零售商的暖通空調系統被攻破了，這就為進入銷售點（PoS）系統留下了后門。傳統的安全措施在高度靜態的環境中非常有效，但是工業物聯網是高度動態的，設備會經常性地連接和斷開網絡。

在設備層進行分段

分段的好處是它在軟件中完成，在設備連接層運行，所以策略能夠應用于端點。例如，可以創建一項規則，其中所有醫療設備都在一個特定的段中，并且與其他聯網的節點隔離開來。如果一臺醫療設備移動了，策略也會隨之改變，不需要重新配置。如果Target公司一直在使用工業物聯網微分段技術，而暖通空調系統和銷售點系統位于不同的段（從最佳實踐的角度來看，它們應該是分開的），那么最糟糕的情況不過是商店變得溫度過高。

在數據中心，微分段技術已經被用來保護在虛擬機和容器之間流動的橫向數據流。網絡安全部門現在應該考慮將該技術擴展應用到更廣泛的網絡，第一種應用情形便是保護工業物聯網端點。這將有利于企業推進數字化轉型計劃，而不會給企業帶來風險。

Zeus Kerravala是ZK Research的創始人和首席分析師。

原文網址

https：//www.networkworld.com/article/3437956/to-secure-industrial-iot-use-segmentation-instead-of-firewalls.html