加密與安全的數(shù)據(jù)中心
IT管理員必須考慮的問題是:對于傳輸?shù)綌?shù)據(jù)中心(支持IoT設(shè)備或與之整合)內(nèi)應(yīng)用的未加密數(shù)據(jù),他們應(yīng)該如何管理?IoT設(shè)備通常處于劣勢,因 為在默認(rèn)情況下它們不會加密數(shù)據(jù)。當(dāng)IoT制造商在設(shè)計小型移動設(shè)備時,他們通常會避免添加加密等功能,這可能對數(shù)據(jù)中心的安全性帶來嚴(yán)重的影響。很多時 候,IoT制造商會認(rèn)為從其設(shè)備收集的數(shù)據(jù)是低價值的數(shù)據(jù),至少對于他們是這樣,這讓他們可以避免部署安全控制。
然而,這種觀念是不正確的,所有數(shù)據(jù)都有與其相關(guān)的一定水平的責(zé)任。安全人員需要對每個應(yīng)用執(zhí)行評估,并了解其所傳輸?shù)男畔⒌挠绊憽.吘刮覀兒茈y知 道入侵者的動機,例如,攻擊者可能會瞄準(zhǔn)制造業(yè)務(wù)物流相關(guān)的元數(shù)據(jù),那么,叉車的移動信息對于攻擊者就是有價值的信息,讓他可以擾亂制造業(yè)務(wù)。另一個潛在 有價值的信息可能是管理人員的習(xí)慣,以便攻擊者可創(chuàng)建更好的網(wǎng)絡(luò)釣魚攻擊。
企業(yè)可制定政策要求加密IoT設(shè)備的網(wǎng)絡(luò)流量,這可以防止攻擊者從明文通信中獲取有價值的信息。最好的辦法是讓IoT設(shè)備本身支持基于主機的加密。但是,由于在IoT領(lǐng)域缺乏標(biāo)準(zhǔn),以及加密所需的處理要求和電池要求,在IoT通信中很難部署終端到終端加密。
另一種替代方法是在網(wǎng)絡(luò)邊緣加密IoT數(shù)據(jù)。目前有幾種方法可以做到這一點,其中一種簡單的方法是在IoT虛擬LAN(VLAN)和數(shù)據(jù)中心之間建 立IPsec隧道。還有一種方法是創(chuàng)建覆蓋來分隔和加密IoT流量到單獨的虛擬可擴(kuò)展局域網(wǎng)(VXLAN),這種方法中是假定所有IoT設(shè)備都將位于單獨 的VLAN中。為了實施這樣的政策,企業(yè)應(yīng)該考慮部署某種形式的網(wǎng)絡(luò)訪問控制(NAC)來防止未經(jīng)授權(quán)的IoT設(shè)備連接到非IoT VLAN。
但NAC并不總是可行或者可用。另一種選擇是隔離IoT應(yīng)用到單個數(shù)據(jù)中心VLAN,類似的做法是隔離服務(wù)器;目前這種方法主要用來為支付卡行業(yè) (PCI)數(shù)據(jù)創(chuàng)建高安全區(qū)。企業(yè)可制定路由政策來加密所有路由到IoT安全區(qū)的數(shù)據(jù),這類似于加密所有發(fā)送到PCI安全區(qū)的明文數(shù)據(jù)。
惡意IoT用戶
另外一個更加難以抵御的威脅是內(nèi)部惡意IoT用戶。在這里,企業(yè)面臨的挑戰(zhàn)之一是通過非技術(shù)措施執(zhí)行安全政策,這是因為,為了擁有安全的數(shù)據(jù)中心, 企業(yè)既需要書面政策來規(guī)定IoT的使用,還要有成熟的程序來保護(hù)對IoT設(shè)備的物理訪問。如同所有政策一樣,這里也有挑戰(zhàn),例如當(dāng)設(shè)備被感染或當(dāng)授權(quán)最終 用戶有意執(zhí)行惡意活動時。
第一層防御始終應(yīng)該是基于應(yīng)用的訪問控制。該應(yīng)用應(yīng)該確保授權(quán)用戶只有適當(dāng)?shù)臋?quán)限,而不能對系統(tǒng)執(zhí)行任何破壞性操作。這里的目標(biāo)是防止受感染設(shè)備發(fā)出破壞性授權(quán)命令。
為此,供應(yīng)商向其安全產(chǎn)品增加了功能來檢查常用IoT命令流量。試想一下,當(dāng)非法承包商打算破壞變電站的監(jiān)視控制和數(shù)據(jù)采集(SCADA)網(wǎng)絡(luò)時,他們可能試圖設(shè)置一個不可接受的溫度計,而我們可制定相關(guān)規(guī)定將防止這種活動,以及限制或終止他們對網(wǎng)絡(luò)的訪問。
合規(guī)性
如果沒有圍繞合規(guī)性的討論,那么,有關(guān)創(chuàng)建安全數(shù)據(jù)中心的討論將是不完整的。合規(guī)性是很重要的話題,特別是如果你的企業(yè)在受監(jiān)管的行業(yè),例如能源、 健康或支付卡處理。企業(yè)應(yīng)該制定專門適用于其特定IoT環(huán)境的政策。同時,對于任何政策,網(wǎng)絡(luò)管理員應(yīng)確保他們可以執(zhí)行政策中的內(nèi)容,而不是采用工作人員 無法通過收集系統(tǒng)數(shù)據(jù)驗證的做法。
根據(jù)Gartner表示,到2020年將有200億設(shè)備連接互聯(lián)網(wǎng),這是目前數(shù)據(jù)的四倍多。現(xiàn)在企業(yè)應(yīng)該開始做好準(zhǔn)備以確保安全的數(shù)據(jù)中心。
京公網(wǎng)安備 11010502049343號