就像當(dāng)初互聯(lián)網(wǎng)改變了一切一樣,物聯(lián)網(wǎng)(IoT)這場(chǎng)新的革命將會(huì)產(chǎn)生更大的影響。
越來(lái)越多的物聯(lián)網(wǎng)傳感器將在醫(yī)院中用于監(jiān)控醫(yī)療設(shè)備,在工廠中用于監(jiān)督操作,或是用于控制建筑中的溫度和照明等。這些傳感器收集到的數(shù)據(jù)將用于進(jìn)行操作管理和預(yù)測(cè)性維護(hù)等。同時(shí),所有這些應(yīng)用程序通常與企業(yè)的IT基礎(chǔ)設(shè)施聯(lián)接在一起,因此,它們正在面臨各種全新的安全挑戰(zhàn)。
在當(dāng)前的IT環(huán)境中,還沒(méi)有完備的安全方案可以保護(hù)IoT設(shè)備免受任何網(wǎng)絡(luò)威脅。由于接入了IoT的不同終端用戶(hù)(包括企業(yè)、企業(yè)的客戶(hù)和合作伙伴)在不同的節(jié)點(diǎn)或位置都會(huì)生成數(shù)據(jù),因此需要網(wǎng)絡(luò)分段和基于段的拓?fù)鋪?lái)防范大規(guī)模攻擊。
例如,合作伙伴網(wǎng)絡(luò)中的受損分段不應(yīng)該危及到企業(yè)的網(wǎng)絡(luò)。在最近的一個(gè)事件中,OVH(一家位于法國(guó)的托管服務(wù)提供商)的物聯(lián)網(wǎng)設(shè)備受到大規(guī)模DDoS攻擊,據(jù)稱(chēng)攻擊量在其峰值達(dá)到近1 Tbps,而受損的物聯(lián)網(wǎng)設(shè)備主要是閉路電視監(jiān)控?cái)z像機(jī)和DVR。
改變網(wǎng)絡(luò)架構(gòu)以防止IoT設(shè)備被劫持
為了減少大規(guī)模攻擊劫持物聯(lián)網(wǎng)設(shè)備,分支和站點(diǎn)位置的網(wǎng)絡(luò)架構(gòu)需要進(jìn)行重要更改。
首先,用于企業(yè)合作伙伴消費(fèi)的數(shù)據(jù)應(yīng)在企業(yè)網(wǎng)絡(luò)的第一跳處卸載下來(lái)。 今天,大多數(shù)合作伙伴的網(wǎng)絡(luò)通過(guò)DMZ路由與企業(yè)網(wǎng)絡(luò)連接,這種回程給網(wǎng)絡(luò)基礎(chǔ)設(shè)施(路由器和交換機(jī))帶來(lái)了不必要的壓力。相反,可以通過(guò)在云中或運(yùn)營(yíng)商托管設(shè)施中創(chuàng)建第三方安全合作伙伴DMZ,通過(guò)VPN本地卸載此數(shù)據(jù)。這樣,多方的VPN可以彼此對(duì)等,同時(shí)將這些DMZ限制到特定的幾個(gè)位置。
該方式的一個(gè)主要優(yōu)點(diǎn)是第一跳在每個(gè)站點(diǎn)就可以卸載合作伙伴網(wǎng)絡(luò)上的數(shù)據(jù),而不是通過(guò)公司DMZ回傳大量站點(diǎn)數(shù)據(jù),然后將其傳遞到合作伙伴網(wǎng)絡(luò)。 第二個(gè)好處是基于分段的拓?fù)?。并不是所有的合作伙伴網(wǎng)絡(luò)的數(shù)據(jù)都需要在相同地點(diǎn)同步進(jìn)行傳輸,例如,可以向合作伙伴提供在云中的,針對(duì)明確的下降點(diǎn)處對(duì)等靈活地收集其數(shù)據(jù),這類(lèi)似于實(shí)施基于云的VPN。
在制造環(huán)境中,用于工業(yè)自動(dòng)化的IoT設(shè)備并不會(huì)關(guān)聯(lián)用戶(hù),也不具有加密功能。因此,為了保持?jǐn)?shù)據(jù)完整性和機(jī)密性,網(wǎng)絡(luò)必須為IoT設(shè)備提供安全服務(wù),例如為這些設(shè)備進(jìn)行加密。
▲X86機(jī)器接收、分段和加密傳感器數(shù)據(jù),并通過(guò)虛擬DMZ安全地傳輸?shù)交ヂ?lián)網(wǎng)上的云供應(yīng)商
如前所述,在大多數(shù)當(dāng)前部署中,傳感器數(shù)據(jù)通過(guò)公司DMZ和網(wǎng)絡(luò)進(jìn)行回程,這迫使IT部門(mén)為數(shù)據(jù)創(chuàng)建復(fù)雜的策略以遍歷網(wǎng)絡(luò)。在上圖中,白盒x86機(jī)器上的分區(qū)P0有自己的VPN,其管理與所有PLC的連接。每個(gè)PLC的連接數(shù)據(jù)可以從網(wǎng)絡(luò)中的控制層編程。在這種情況下,在PLC和控制元件之間傳輸?shù)臄?shù)據(jù)包含與制造業(yè)公司、工業(yè)設(shè)備提供商相關(guān)的智能操作。
一個(gè)數(shù)據(jù)源(PLC控制器)必須在源處拆分并交付給兩個(gè)獨(dú)立的組織。來(lái)自相同P0 PLC源的數(shù)據(jù)可以由邊緣路由器放置在兩個(gè)不同的VPN中,并且每個(gè)都具有單獨(dú)的拓?fù)?。制造業(yè)公司消耗的數(shù)據(jù)可以在本地進(jìn)行處理,然后在車(chē)間回傳到企業(yè)數(shù)據(jù)中心。與PLC供應(yīng)商相關(guān)的數(shù)據(jù)可由分析引擎在本地現(xiàn)場(chǎng)處理,然后發(fā)送給合作伙伴供其使用。
這種架構(gòu)最好在工廠連接到云的位置部署,然后連接到合作伙伴網(wǎng)絡(luò)上的VPN,它可以以企業(yè)或運(yùn)營(yíng)商管理的方式實(shí)現(xiàn)。
改變企業(yè)管理方法
使用這種方法,企業(yè)構(gòu)建iDMZ VPN并選擇被合作伙伴網(wǎng)絡(luò)丟棄的云數(shù)據(jù)丟棄進(jìn)行處理。企業(yè)承擔(dān)保護(hù)云點(diǎn)和內(nèi)部工廠網(wǎng)絡(luò)的責(zé)任。這需要建立一個(gè)完整的安全堆棧,以確保采取適當(dāng)?shù)谋Wo(hù)措施。
改變運(yùn)營(yíng)商管理方法
運(yùn)營(yíng)商可以將云VPN作為服務(wù)提供給企業(yè)工廠網(wǎng)絡(luò)。 運(yùn)營(yíng)商可以宣布VPN丟棄位置,根據(jù)其覆蓋區(qū)域,可以分布在全球范圍內(nèi)。企業(yè)可以指定哪個(gè)合作伙伴從哪個(gè)位置的VPN收集數(shù)據(jù)。 運(yùn)營(yíng)商可以提供所有網(wǎng)絡(luò)功能作為完全管理的服務(wù),包括安全性——使用互聯(lián)網(wǎng)作為安全傳輸,合作伙伴只能看到VPN對(duì)等位置。
下面的圖說(shuō)明了這種連接模型,無(wú)需構(gòu)建動(dòng)態(tài)的、任意的VPN,并保護(hù)企業(yè)的網(wǎng)絡(luò)免于傳輸無(wú)關(guān)流量的負(fù)擔(dān)。
為了實(shí)現(xiàn)物聯(lián)網(wǎng)的優(yōu)勢(shì),企業(yè)必須從其設(shè)施中的傳感器和設(shè)備中解鎖智能。 然而,他們需要合作伙伴的幫助來(lái)安全地分析大量數(shù)據(jù),這樣才不會(huì)對(duì)公司IT網(wǎng)絡(luò)造成負(fù)擔(dān)。創(chuàng)建使用優(yōu)化的數(shù)據(jù)轉(zhuǎn)向和強(qiáng)加密的任意VPN分段拓?fù)浣Y(jié)構(gòu)是企業(yè)與合作伙伴建立IoT生態(tài)系統(tǒng)的一種方式,它可以保護(hù)數(shù)據(jù)完整性,不會(huì)將其網(wǎng)絡(luò)暴露給安全威脅。