在物聯(lián)網(wǎng)時(shí)代如何打造安全的數(shù)據(jù)中心？

責(zé)任編輯：editor005 作者：Keith Townsend |來源：企業(yè)網(wǎng)D1Net 2016-01-25 14:16:11 本文摘自：TechTarget中國(guó)

加密與安全的數(shù)據(jù)中心

IT管理員必須考慮的問題是：對(duì)于傳輸?shù)綌?shù)據(jù)中心(支持IoT設(shè)備或與之整合)內(nèi)應(yīng)用的未加密數(shù)據(jù)，他們應(yīng)該如何管理?IoT設(shè)備通常處于劣勢(shì)，因?yàn)樵谀J(rèn)情況下它們不會(huì)加密數(shù)據(jù)。當(dāng)IoT制造商在設(shè)計(jì)小型移動(dòng)設(shè)備時(shí)，他們通常會(huì)避免添加加密等功能，這可能對(duì)數(shù)據(jù)中心的安全性帶來嚴(yán)重的影響。很多時(shí)候，IoT制造商會(huì)認(rèn)為從其設(shè)備收集的數(shù)據(jù)是低價(jià)值的數(shù)據(jù)，至少對(duì)于他們是這樣，這讓他們可以避免部署安全控制。

然而，這種觀念是不正確的，所有數(shù)據(jù)都有與其相關(guān)的一定水平的責(zé)任。安全人員需要對(duì)每個(gè)應(yīng)用執(zhí)行評(píng)估，并了解其所傳輸?shù)男畔⒌挠绊憽．吘刮覀兒茈y知道入侵者的動(dòng)機(jī)，例如，攻擊者可能會(huì)瞄準(zhǔn)制造業(yè)務(wù)物流相關(guān)的元數(shù)據(jù)，那么，叉車的移動(dòng)信息對(duì)于攻擊者就是有價(jià)值的信息，讓他可以擾亂制造業(yè)務(wù)。另一個(gè)潛在有價(jià)值的信息可能是管理人員的習(xí)慣，以便攻擊者可創(chuàng)建更好的網(wǎng)絡(luò)釣魚攻擊。

企業(yè)可制定政策要求加密IoT設(shè)備的網(wǎng)絡(luò)流量，這可以防止攻擊者從明文通信中獲取有價(jià)值的信息。最好的辦法是讓IoT設(shè)備本身支持基于主機(jī)的加密。但是，由于在IoT領(lǐng)域缺乏標(biāo)準(zhǔn)，以及加密所需的處理要求和電池要求，在IoT通信中很難部署終端到終端加密。

另一種替代方法是在網(wǎng)絡(luò)邊緣加密IoT數(shù)據(jù)。目前有幾種方法可以做到這一點(diǎn)，其中一種簡(jiǎn)單的方法是在IoT虛擬LAN(VLAN)和數(shù)據(jù)中心之間建立IPsec隧道。還有一種方法是創(chuàng)建覆蓋來分隔和加密IoT流量到單獨(dú)的虛擬可擴(kuò)展局域網(wǎng)(VXLAN)，這種方法中是假定所有IoT設(shè)備都將位于單獨(dú)的VLAN中。為了實(shí)施這樣的政策，企業(yè)應(yīng)該考慮部署某種形式的網(wǎng)絡(luò)訪問控制(NAC)來防止未經(jīng)授權(quán)的IoT設(shè)備連接到非IoT VLAN。

但NAC并不總是可行或者可用。另一種選擇是隔離IoT應(yīng)用到單個(gè)數(shù)據(jù)中心VLAN，類似的做法是隔離服務(wù)器;目前這種方法主要用來為支付卡行業(yè)(PCI)數(shù)據(jù)創(chuàng)建高安全區(qū)。企業(yè)可制定路由政策來加密所有路由到IoT安全區(qū)的數(shù)據(jù)，這類似于加密所有發(fā)送到PCI安全區(qū)的明文數(shù)據(jù)。

惡意IoT用戶

另外一個(gè)更加難以抵御的威脅是內(nèi)部惡意IoT用戶。在這里，企業(yè)面臨的挑戰(zhàn)之一是通過非技術(shù)措施執(zhí)行安全政策，這是因?yàn)椋瑸榱藫碛邪踩臄?shù)據(jù)中心，企業(yè)既需要書面政策來規(guī)定IoT的使用，還要有成熟的程序來保護(hù)對(duì)IoT設(shè)備的物理訪問。如同所有政策一樣，這里也有挑戰(zhàn)，例如當(dāng)設(shè)備被感染或當(dāng)授權(quán)最終用戶有意執(zhí)行惡意活動(dòng)時(shí)。

第一層防御始終應(yīng)該是基于應(yīng)用的訪問控制。該應(yīng)用應(yīng)該確保授權(quán)用戶只有適當(dāng)?shù)臋?quán)限，而不能對(duì)系統(tǒng)執(zhí)行任何破壞性操作。這里的目標(biāo)是防止受感染設(shè)備發(fā)出破壞性授權(quán)命令。

為此，供應(yīng)商向其安全產(chǎn)品增加了功能來檢查常用IoT命令流量。試想一下，當(dāng)非法承包商打算破壞變電站的監(jiān)視控制和數(shù)據(jù)采集(SCADA)網(wǎng)絡(luò)時(shí)，他們可能試圖設(shè)置一個(gè)不可接受的溫度計(jì)，而我們可制定相關(guān)規(guī)定將防止這種活動(dòng)，以及限制或終止他們對(duì)網(wǎng)絡(luò)的訪問。

合規(guī)性

如果沒有圍繞合規(guī)性的討論，那么，有關(guān)創(chuàng)建安全數(shù)據(jù)中心的討論將是不完整的。合規(guī)性是很重要的話題，特別是如果你的企業(yè)在受監(jiān)管的行業(yè)，例如能源、健康或支付卡處理。企業(yè)應(yīng)該制定專門適用于其特定IoT環(huán)境的政策。同時(shí)，對(duì)于任何政策，網(wǎng)絡(luò)管理員應(yīng)確保他們可以執(zhí)行政策中的內(nèi)容，而不是采用工作人員無法通過收集系統(tǒng)數(shù)據(jù)驗(yàn)證的做法。

根據(jù)Gartner表示，到2020年將有200億設(shè)備連接互聯(lián)網(wǎng)，這是目前數(shù)據(jù)的四倍多。現(xiàn)在企業(yè)應(yīng)該開始做好準(zhǔn)備以確保安全的數(shù)據(jù)中心。

關(guān)鍵字：IOT 數(shù)據(jù)中心物聯(lián)網(wǎng)