微分段能为IoT安全带来什么?
2020-04-15北京李贺
■ 北京 李贺
IoT(物联网)的发展有望为组织带来一系列好处,例如对企业资产和成品性能的更深刻的认识,可以改进制造流程以及改善客户服务等。但现如今,与IoT相关的安全问题仍然是组织最重要的关注点,在某些情况下,可能会使组织因安全问题而难以继续推进相关的IoT计划。
在这其中,微分段(Microsegmentation)是解决(至少部分解决)IoT安全风险的一种可能的解决方案,微分段是一种网络概念,其每个网络仅有两个端站,提供了基于精细分组的安全隔离,可以使端站之间不会产生冲突,可帮助控制IoT环境。
通过微分段,组织可以在其数据中心和云环境中创建安全区域,使它们能够将工作负载彼此隔离并分别予以保护。在IoT环境中,微分段可以绕过围绕边界部署的安全工具,从而使组织能够更好地控制设备之间不断增加的横向流量。
对于组织而言,将微分段用于IoT仍处于发展初期,但很多行业专家认为,考虑到IoT发展的潜力,可能促使组织采用微分段来提供比传统防火墙更精细、更简便的防护。
IoT带来新的安全风险
IoT安全风险可能包括涉及连接设备、支持IoT的软件以及相关IoT网络在内的多种威胁。
而随着IoT设备的迅速增多,这些设备的安全风险也越来越严峻。根据研究公司Ponemon Institute和风险管理服务公司The Santa Fe Group的报告,自2017年以来,与IoT相关的数据泄露事件急剧增加。更为严峻的是,大多数组织并不了解其IT环境中或来自第三方供应商的每一个不安全的IoT设备或应用。Ponemon的研究表明,许多组织没有解决或管理IoT风险的集中责任制,并且大多数人认为他们的数据将在未来24个月内遭到破坏。
IoT安全风险对于医疗保健等行业而言可能尤其高,因为设备会通过网络收集和共享大量敏感信息。据国外一家调研公司Vanson Bourne调查的232个医疗保健组织中,有82%的人在过去一年中经历了以IoT为中心的网络攻击。当被要求确定医疗机构中最突出的漏洞在哪里时,被引用频率最高的是网络(50%),其次是移动设备和附属应用(45%),以及IoT设备(42%)。
微分段如何帮助IoT安全
微分段将使网络安全更加精细。有些安全工具或解决方案(例如下一代防火墙、VLAN及ACL)提供了一定程度的网络分段。但是通过微分段,可以将安全策略应用于单个工作负载,以提供更好的安全防御。与VLAN等产品相比,这可以提供更细粒度的流量分段。
推动微分段市场发展的因素是SDN(软件定义网络)和网络虚拟化的出现。与那些未与底层硬件分离的软件相比,通过使用与网络硬件分离的软件,分段更容易实现。
由于微分段提供了比诸如防火墙之类的边界安全产品更大的数据中心流量控制能力,因此它可以阻止外部攻击者进入网络进行破坏。
细分也有管理上的好处。市场调研公司IDC的IoT安全分析师Robyn Westervelt表示:“如果可以正确地实现微分段,则可以在IoT设备与其他敏感资源之间添加一层安全保护,从而不至于在防火墙上造成漏洞。但是底层的基础架构必须支持这种方法,并且可能需要安装新的现代交换机与网关等。”
出于安全或隐私等原因将网络划分为多个部分这一概念其实并不新鲜。很多组织早已经对一些关键或高风险资源实现隔离了。
例如,网络分段在零售领域就很普遍。许多商家将其支付环境与其他网络流量隔离开来,以减少相关支付风险。
但这并不是万无一失的,因为正如我们在零售商Target的数据泄露事件中所看到的,攻击者可以找到从一个系统跳到另一个系统的途径来实施攻击。这样做有很大难度,也需要更多的技术技巧和资源,虽然很少有攻击者出于经济动机去实施攻击,但这并不表示没有人进行网络攻击。
分段还可用于隔离虚拟环境中的关键应用工作负载。通过这种方式,组织可以对关键工作负载设置更严格的控制,并密切监视访问和更改操作。
该技术也被认为是工业控制系统环境中的最佳实践。组织可以使用工业防火墙和单向网关隔离涉及敏感信息的关键可编程逻辑控制器。
在IT环境中,可以对具有Internet连接的新部署的操作技术(OT)进行分段,以防止攻击者将OT作为跳板对生产系统发起攻击。这就是微分段与IoT相关的地方。
相关专家表示,将微分段作为广泛的IoT安全策略的一部分进行部署可能很有意义。
这种网络模型可以对网络系统进行更精细的控制,并在存在安全漏洞的情况下实现更好的隔离。这些好处不仅可以帮助改善安全可见性和控制力,而且还可以改善事件响应和取证。
Gartner公司的分析师Jon Amato表示,这项技术可能是从IT系统中分割IoT网络的一种非常有效的方法。微分段产品创建“虚拟段”的能力非常有用,这种虚拟段可以将设备类型彼此分离,甚至跨越多个物理位置。
鉴于IoT设备的广泛使用,以及与IoT设备可能出现中断相关的风险,IoT用户,尤其是在工业环境中,应慎重考虑是否需要持续的网络连接。IoT用户还可以通过谨慎地连接,权衡好IoT设备可能发生的故障风险与限制连接到互联网所带来的成本问题,来帮助遏制网络连接带来的潜在威胁。
微分段非常符合以上建议。仅形成单个IoT细分市场,并将这些设备彼此分割还远远不够。而且,大多数IoT设备缺少基于主机的控件,因此,只能使用微分段等外部解决方案来完成此任务。
IoT安全的微分段发展缓慢
尽管在IoT安全领域,微分段具有潜在的优势,但迄今为止,似乎以微分段技术实现IoT安全并未得到广泛采用。只有那些已经拥有成熟的IoT安全计划或将其现有程序扩展到IoT领域的组织才实施微分段。
对于大多数组织来说,它们现在所能做到最好的方式是将IT和IoT彼此分开。而实现IoT微分段的要少得多。
对于构建IoT基础架构的组织来说,考虑它们是否真的需要微分段以确保IoT安全非常重要。
组织必须确定当前的风险级别和业务流程,毕竟每一项新技术或控制都会带来意想不到的后果。例如与零信任模型相关的其他复杂性是否会影响组织的安全计划?
一个好的做法是彻底地了解IoT将如何影响组织中的所有网络,以便确定数据安全传输的最佳方法。
制定安全标准和策略不仅是要可执行的,而且是需要强制执行的(包括IoT)。如果以基于风险的理念进行实施,并将网络复杂性降至最低,那么组织就可能控制好自身的IoT环境。