Zeus Kerravala

在过去五年的大部分时间里，物联网（IoT）一直是网络和安全专业人员最为关注的。在工业物联网（IIoT）领域尤其如此。工业设备联网并不新鲜，但大多数IT人员并不熟悉，因为它是由运营技术（OT）部门管理的。不过，越来越多的企业领导人希望能够把OT和IT结合起来，从组合的数据集中获得更好的深度分析结果。

虽然融合IT与OT并让工业物联网归IT管理有很多好处，但这对网络安全部门有着深远的影响，因为这会引入几种新的安全威胁。每个联网的端点如果被攻破，将创建一个能进入其他系统的后门。

内部防火墙对工业物联网来说是昂贵而复杂的选择

保护工业物联网环境的一种方法是使用内部防火墙。这似乎是显而易见的选择，因为内部防火墙已经成为保护几乎所有东西的事实标准。然而，在工业物联网环境中，由于成本和复杂性问题，防火墙可能是最糟糕的选择。

历史上，内部防火墙部署在数据流沿“南北”方向流动并通过单个入口/出口点（例如，核心交换机）的位置。而且，联网的设备都是已知的，并由IT部门进行管理。对于工业物联网，连接可以更加动态，数据流可以在设备之间以“东西”模式流动，绕过防火墙所在的位置。这意味着安全部门需要在每个可能的工业物联网连接点部署一个内部防火墙，然后跨数百个（可能是数千个）防火墙来管理策略和配置，而这会造成几乎无法管理的局面。

为了更好地理解这个问题的严重性，我与专门研究工业物联网安全解决方案的Tempered网络公司总裁兼首席执行官Jeff Hussey进行了交流，他告诉我该公司的一位客戶曾尝试使用内部防火墙。在对所有的内部防火墙应部署在哪里做了全面的评估之后，该公司估计防火墙的总成本约为1亿美元。即使某家企业能负担得起，运营方面也会有更大的挑战。

Hussey接着告诉我，医疗保健领域的一家客户试图使用防火墙规则、ACL、VLAN和VPN的组合来保护他们的环境，但是，正如他所说的，“复杂性扼杀了他们”，并且由于运营开销而无法完成任何事情。

我还采访了国际控制系统网络安全协会（CS2AI）的创始人兼主席Derek Harp，他在工业物联网领域做了大量的工作。他介绍说，随着网络的不断发展，当前的工业物联网环境变得“越来越容易被穿透”，同时随着第三方需要获取内部系统的数据，也变得更加开放。再加上威胁犯罪分子高超的技能水平，很容易看出这绝不是网络安全部门所能应对的传统的网络安全战斗。

对于工业物联网，微分段技术优于内部防火墙

安全专业人员不应使用内部防火墙，而应该转向工业物联网微分段技术。分段技术类似于VLAN和ACL的使用，但环境分离是在设备级而不是在网络层完成的，并使用规则进行管理。

几年前的Target泄露事件就是一个很好的例子，零售商的暖通空调系统被攻破了，这就为进入销售点（PoS）系统留下了后门。传统的安全措施在高度静态的环境中非常有效，但是工业物联网是高度动态的，设备会经常性地连接和断开网络。

在设备层进行分段

分段的好处是它在软件中完成，在设备连接层运行，所以策略能够应用于端点。例如，可以创建一项规则，其中所有医疗设备都在一个特定的段中，并且与其他联网的节点隔离开来。如果一台医疗设备移动了，策略也会随之改变，不需要重新配置。如果Target公司一直在使用工业物联网微分段技术，而暖通空调系统和销售点系统位于不同的段（从最佳实践的角度来看，它们应该是分开的），那么最糟糕的情况不过是商店变得温度过高。

在数据中心，微分段技术已经被用来保护在虚拟机和容器之间流动的横向数据流。网络安全部门现在应该考虑将该技术扩展应用到更广泛的网络，第一种应用情形便是保护工业物联网端点。这将有利于企业推进数字化转型计划，而不会给企业带来风险。

Zeus Kerravala是ZK Research的创始人和首席分析师。

原文网址

https：//www.networkworld.com/article/3437956/to-secure-industrial-iot-use-segmentation-instead-of-firewalls.html