微分段能為IoT安全帶來(lái)什么？

■ 北京 李賀

IoT（物聯(lián)網(wǎng)）的發(fā)展有望為組織帶來(lái)一系列好處，例如對(duì)企業(yè)資產(chǎn)和成品性能的更深刻的認(rèn)識(shí)，可以改進(jìn)制造流程以及改善客戶服務(wù)等。但現(xiàn)如今，與IoT相關(guān)的安全問(wèn)題仍然是組織最重要的關(guān)注點(diǎn)，在某些情況下，可能會(huì)使組織因安全問(wèn)題而難以繼續(xù)推進(jìn)相關(guān)的IoT計(jì)劃。

在這其中，微分段（Microsegmentation）是解決（至少部分解決）IoT安全風(fēng)險(xiǎn)的一種可能的解決方案，微分段是一種網(wǎng)絡(luò)概念，其每個(gè)網(wǎng)絡(luò)僅有兩個(gè)端站，提供了基于精細(xì)分組的安全隔離，可以使端站之間不會(huì)產(chǎn)生沖突，可幫助控制IoT環(huán)境。

通過(guò)微分段，組織可以在其數(shù)據(jù)中心和云環(huán)境中創(chuàng)建安全區(qū)域，使它們能夠?qū)⒐ぷ髫?fù)載彼此隔離并分別予以保護(hù)。在IoT環(huán)境中，微分段可以繞過(guò)圍繞邊界部署的安全工具，從而使組織能夠更好地控制設(shè)備之間不斷增加的橫向流量。

對(duì)于組織而言，將微分段用于IoT仍處于發(fā)展初期，但很多行業(yè)專家認(rèn)為，考慮到IoT發(fā)展的潛力，可能促使組織采用微分段來(lái)提供比傳統(tǒng)防火墻更精細(xì)、更簡(jiǎn)便的防護(hù)。

IoT帶來(lái)新的安全風(fēng)險(xiǎn)

IoT安全風(fēng)險(xiǎn)可能包括涉及連接設(shè)備、支持IoT的軟件以及相關(guān)IoT網(wǎng)絡(luò)在內(nèi)的多種威脅。

而隨著IoT設(shè)備的迅速增多，這些設(shè)備的安全風(fēng)險(xiǎn)也越來(lái)越嚴(yán)峻。根據(jù)研究公司Ponemon Institute和風(fēng)險(xiǎn)管理服務(wù)公司The Santa Fe Group的報(bào)告，自2017年以來(lái)，與IoT相關(guān)的數(shù)據(jù)泄露事件急劇增加。更為嚴(yán)峻的是，大多數(shù)組織并不了解其IT環(huán)境中或來(lái)自第三方供應(yīng)商的每一個(gè)不安全的IoT設(shè)備或應(yīng)用。Ponemon的研究表明，許多組織沒(méi)有解決或管理IoT風(fēng)險(xiǎn)的集中責(zé)任制，并且大多數(shù)人認(rèn)為他們的數(shù)據(jù)將在未來(lái)24個(gè)月內(nèi)遭到破壞。

IoT安全風(fēng)險(xiǎn)對(duì)于醫(yī)療保健等行業(yè)而言可能尤其高，因?yàn)樵O(shè)備會(huì)通過(guò)網(wǎng)絡(luò)收集和共享大量敏感信息。據(jù)國(guó)外一家調(diào)研公司Vanson Bourne調(diào)查的232個(gè)醫(yī)療保健組織中，有82%的人在過(guò)去一年中經(jīng)歷了以IoT為中心的網(wǎng)絡(luò)攻擊。當(dāng)被要求確定醫(yī)療機(jī)構(gòu)中最突出的漏洞在哪里時(shí)，被引用頻率最高的是網(wǎng)絡(luò)（50%），其次是移動(dòng)設(shè)備和附屬應(yīng)用（45%），以及IoT設(shè)備（42%）。

微分段如何幫助IoT安全

微分段將使網(wǎng)絡(luò)安全更加精細(xì)。有些安全工具或解決方案（例如下一代防火墻、VLAN及ACL）提供了一定程度的網(wǎng)絡(luò)分段。但是通過(guò)微分段，可以將安全策略應(yīng)用于單個(gè)工作負(fù)載，以提供更好的安全防御。與VLAN等產(chǎn)品相比，這可以提供更細(xì)粒度的流量分段。

推動(dòng)微分段市場(chǎng)發(fā)展的因素是SDN（軟件定義網(wǎng)絡(luò)）和網(wǎng)絡(luò)虛擬化的出現(xiàn)。與那些未與底層硬件分離的軟件相比，通過(guò)使用與網(wǎng)絡(luò)硬件分離的軟件，分段更容易實(shí)現(xiàn)。

由于微分段提供了比諸如防火墻之類的邊界安全產(chǎn)品更大的數(shù)據(jù)中心流量控制能力，因此它可以阻止外部攻擊者進(jìn)入網(wǎng)絡(luò)進(jìn)行破壞。

細(xì)分也有管理上的好處。市場(chǎng)調(diào)研公司IDC的IoT安全分析師Robyn Westervelt表示：“如果可以正確地實(shí)現(xiàn)微分段，則可以在IoT設(shè)備與其他敏感資源之間添加一層安全保護(hù)，從而不至于在防火墻上造成漏洞。但是底層的基礎(chǔ)架構(gòu)必須支持這種方法，并且可能需要安裝新的現(xiàn)代交換機(jī)與網(wǎng)關(guān)等。”

出于安全或隱私等原因?qū)⒕W(wǎng)絡(luò)劃分為多個(gè)部分這一概念其實(shí)并不新鮮。很多組織早已經(jīng)對(duì)一些關(guān)鍵或高風(fēng)險(xiǎn)資源實(shí)現(xiàn)隔離了。

例如，網(wǎng)絡(luò)分段在零售領(lǐng)域就很普遍。許多商家將其支付環(huán)境與其他網(wǎng)絡(luò)流量隔離開(kāi)來(lái)，以減少相關(guān)支付風(fēng)險(xiǎn)。

但這并不是萬(wàn)無(wú)一失的，因?yàn)檎缥覀冊(cè)诹闶凵蘐arget的數(shù)據(jù)泄露事件中所看到的，攻擊者可以找到從一個(gè)系統(tǒng)跳到另一個(gè)系統(tǒng)的途徑來(lái)實(shí)施攻擊。這樣做有很大難度，也需要更多的技術(shù)技巧和資源，雖然很少有攻擊者出于經(jīng)濟(jì)動(dòng)機(jī)去實(shí)施攻擊，但這并不表示沒(méi)有人進(jìn)行網(wǎng)絡(luò)攻擊。

分段還可用于隔離虛擬環(huán)境中的關(guān)鍵應(yīng)用工作負(fù)載。通過(guò)這種方式，組織可以對(duì)關(guān)鍵工作負(fù)載設(shè)置更嚴(yán)格的控制，并密切監(jiān)視訪問(wèn)和更改操作。

該技術(shù)也被認(rèn)為是工業(yè)控制系統(tǒng)環(huán)境中的最佳實(shí)踐。組織可以使用工業(yè)防火墻和單向網(wǎng)關(guān)隔離涉及敏感信息的關(guān)鍵可編程邏輯控制器。

在IT環(huán)境中，可以對(duì)具有Internet連接的新部署的操作技術(shù)（OT）進(jìn)行分段，以防止攻擊者將OT作為跳板對(duì)生產(chǎn)系統(tǒng)發(fā)起攻擊。這就是微分段與IoT相關(guān)的地方。

相關(guān)專家表示，將微分段作為廣泛的IoT安全策略的一部分進(jìn)行部署可能很有意義。

這種網(wǎng)絡(luò)模型可以對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行更精細(xì)的控制，并在存在安全漏洞的情況下實(shí)現(xiàn)更好的隔離。這些好處不僅可以幫助改善安全可見(jiàn)性和控制力，而且還可以改善事件響應(yīng)和取證。

Gartner公司的分析師Jon Amato表示，這項(xiàng)技術(shù)可能是從IT系統(tǒng)中分割I(lǐng)oT網(wǎng)絡(luò)的一種非常有效的方法。微分段產(chǎn)品創(chuàng)建“虛擬段”的能力非常有用，這種虛擬段可以將設(shè)備類型彼此分離，甚至跨越多個(gè)物理位置。

鑒于IoT設(shè)備的廣泛使用，以及與IoT設(shè)備可能出現(xiàn)中斷相關(guān)的風(fēng)險(xiǎn)，IoT用戶，尤其是在工業(yè)環(huán)境中，應(yīng)慎重考慮是否需要持續(xù)的網(wǎng)絡(luò)連接。IoT用戶還可以通過(guò)謹(jǐn)慎地連接，權(quán)衡好IoT設(shè)備可能發(fā)生的故障風(fēng)險(xiǎn)與限制連接到互聯(lián)網(wǎng)所帶來(lái)的成本問(wèn)題，來(lái)幫助遏制網(wǎng)絡(luò)連接帶來(lái)的潛在威脅。

微分段非常符合以上建議。僅形成單個(gè)IoT細(xì)分市場(chǎng)，并將這些設(shè)備彼此分割還遠(yuǎn)遠(yuǎn)不夠。而且，大多數(shù)IoT設(shè)備缺少基于主機(jī)的控件，因此，只能使用微分段等外部解決方案來(lái)完成此任務(wù)。

IoT安全的微分段發(fā)展緩慢

盡管在IoT安全領(lǐng)域，微分段具有潛在的優(yōu)勢(shì)，但迄今為止，似乎以微分段技術(shù)實(shí)現(xiàn)IoT安全并未得到廣泛采用。只有那些已經(jīng)擁有成熟的IoT安全計(jì)劃或?qū)⑵洮F(xiàn)有程序擴(kuò)展到IoT領(lǐng)域的組織才實(shí)施微分段。

對(duì)于大多數(shù)組織來(lái)說(shuō)，它們現(xiàn)在所能做到最好的方式是將IT和IoT彼此分開(kāi)。而實(shí)現(xiàn)IoT微分段的要少得多。

對(duì)于構(gòu)建IoT基礎(chǔ)架構(gòu)的組織來(lái)說(shuō)，考慮它們是否真的需要微分段以確保IoT安全非常重要。

組織必須確定當(dāng)前的風(fēng)險(xiǎn)級(jí)別和業(yè)務(wù)流程，畢竟每一項(xiàng)新技術(shù)或控制都會(huì)帶來(lái)意想不到的后果。例如與零信任模型相關(guān)的其他復(fù)雜性是否會(huì)影響組織的安全計(jì)劃？

一個(gè)好的做法是徹底地了解IoT將如何影響組織中的所有網(wǎng)絡(luò)，以便確定數(shù)據(jù)安全傳輸?shù)淖罴逊椒ā?/p>

制定安全標(biāo)準(zhǔn)和策略不僅是要可執(zhí)行的，而且是需要強(qiáng)制執(zhí)行的（包括IoT）。如果以基于風(fēng)險(xiǎn)的理念進(jìn)行實(shí)施，并將網(wǎng)絡(luò)復(fù)雜性降至最低，那么組織就可能控制好自身的IoT環(huán)境。