就在互聯網改變一切的同時,一場名為物聯網的新革命有望帶來還要大的顛覆。
主要是由于物聯網傳感器將用在每個地方,用在醫院以監測醫療設備,用在工廠以監管生產運營 ,用在大樓以控制溫度和照明,不一而足。
來自這些傳感器的數據將用于生產運營管理、預測維護及更多方面。與此同時,所有這些應用通常與企業的IT基礎設施整合起來。正因為如此,它們帶來了眾多新的安全挑戰。
就像在當前的IT環境那樣,沒有萬無一失的安全解決方案可以保護物聯網設備,避免每一種可能出現的網絡威脅。
由于物聯網會在不同的地方為眾多最終用戶(包括企業、客戶及合作伙伴)生成數據,需要網絡分段和基于網段的拓撲結構來防范大規模攻擊。
比如說,合作伙伴網絡里面受危及的網段應該無力危及企業網絡。
在最近的一次安全事件中,總部位于法國的主機托管提供商OVH成為了用物聯網設備發動的一次大規模DDoS攻擊的受害者。據OVH聲稱,攻擊在高峰時期的流量達到了近1 Tbps。中招的物聯網設備主要是閉路電視監視攝像頭和數字錄像機。
改變架構,防止物聯網設備被劫持
為了緩解劫持物聯網設備的大規模攻擊這種威脅,分支機構和本地架構都需要做一些重要的變化。
供合作伙伴使用的數據應在來自企業網絡的第一跳(hop)處加以卸載。 如今,大多數合作伙伴網絡連接是通過非軍事區(DMZ)來實現路由的。這種回程傳輸(backhauling)給網絡基礎設施(路由器和交換機)帶來了不必要的壓力。相反,這些數據可以通過VPN在本地卸載,只要在云端或運營商的托管設施建立第三方安全合作伙伴DMZ。在這里,多個有關方的VPN可以彼此對接,同時將這些DMZ限制在少數幾個地方。
這種模式的一大優勢是,第一跳在每個站點卸載合作伙伴數據,而不是在傳送到合作伙伴網絡之前,通過企業DMZ回程傳輸大量的站點數據。第二個好處是基于分段的拓撲結構。不是所有的合作伙伴都需要在每個地方對接。比如說,可以為合作伙伴提供這種靈活性:自由地對接,并在云端明確定義的投放點收集數據。這類似實施基于云的VPN。
在制造生產環境下,用于工業自動化的物聯網設備不是關聯用戶,也沒有加密功能。因此,為了保持數據完整性和機密性,網絡必須為物聯網設備提供加密之類的安全服務。
X86機器接收、分段和加密傳感器數據,并通過虛擬DMZ安全地傳輸到互聯網上的廠商。
如前所述,在大多數當前的部署環境下,傳感器數據通過企業DMZ和網絡來回程傳輸。這迫使IT部門為通過網絡傳輸的數據制定復雜的策略。
在圖1中,x86白盒機器上的分區P0有自己的VPN,它管理連接至所有PLC的活動。每個PLC的連接數據可以從網絡中的控制層來編程。在這種場景下,PLC和控制元件之間傳輸的數據含有與生產廠商有關的操作信息,還含有與工業設備提供商有關的操作信息。
一個數據源 (PLC控制器)必須在源處加以劃分,提供給兩家獨立的企業組織。來自同一P0 PLC數據源的數據可以由邊緣路由器放在兩個不同的VPN,每個VPN都有不同的拓撲結構。供生產廠商使用的數據可以在本地處理,然后在工廠車間回程傳輸,或者回程傳輸到企業數據中心。與PLC供應商有關的數據在本地由分析引擎加以處理,然后發送給合作伙伴,供其使用。
這種架構最好與從工廠連接到云端,然后連接到合作伙伴的VPN一起部署。這可以用企業管理的方法或運營商管理的方式來實現。
企業管理的方法
使用這種方法,企業構建iDMZ VPN,并選擇投放數據讓合作伙伴處理的云位置。企業需要負責保護云端點和內部工廠網絡。這就需要建立一套完整的安全架構,確保落實了足夠到位的保護措施。
運營商管理的方法
這里,運營商可以將云VPN作為一項服務提供給企業工廠網絡。運營商可以宣布VPN投放點;根據分布位置,這些投放點可以分布在全球各地。企業可以指定哪個合作伙伴收集來自哪個地方哪個VPN的數據。運營商可以將所有的網絡功能作為完全托管的服務來提供,包括安全。使用互聯網作為安全傳輸機制,只有VPN對接地點對合作伙伴來說是可見的。
下面圖2 顯示了這種連接模式,因而不需要構建動態、任意的VPN,并可以保護企業網絡,避免傳輸無關的合作伙伴流量帶來的負擔。
想獲得物聯網的好處,企業必須發掘其生產設施里面的傳感器和設備的寶貴信息。不過,它們需要合作伙伴的幫助,才能安全地分析大量數據,又不給企業IT網絡增添負擔。構建任意的VPN分段拓撲結構以便使用經過優化的數據導向和強加密,這是企業與合作伙伴共同打造物聯網生態系統的一種方法,從而在避免網絡暴露在安全威脅的前提下,保護數據的完整性。
原文標題:How to architect the network so IoT devices are secure
作者:Khalid Raza
京公網安備 11010502049343號