微分段,如果作为物联网安全策略的一部分部署,允许对网络进行更细粒度的控制,并在发生安全漏洞时更好地隔离。物联网(IoT)可以为企业带来一些巨大的好处,例如更深入地了解企业资产和产品的性能、改进制造流程以及提供更好的客户服务。不幸的是,与物联网相关的棘手安全问题仍然是企业的一个重要问题,在某些情况下,可能会阻止他们推进他们的计划。解决某些物联网安全风险的一种解决方案是微分段,专家称这是一种可以帮助控制物联网环境的网络概念。通过微分段,企业可以在其数据中心和云计算环境中创建安全区域,从而使他们能够隔离和保护彼此的工作负载。在物联网环境中,微分段可以绕过以边界为中心的安全工具,让企业能够更好地控制设备之间不断增加的横向通信量。对物联网使用微分段仍处于企业竞争的早期阶段,但行业分析师认为,物联网部署的潜力可能会推动企业采用微分段,以提供比传统防火墙更精细、更简单的解决方案。的保护。IoT带来新的安全风险IoT安全风险可能包括多种威胁,涉及IoT设备本身、支持IoT的软件以及使所有连接成为可能的网络。随着物联网部署的增长,安全威胁也在增加。根据研究公司PoromoneInstitute和风险管理服务机构SantaFeGroup的一份报告,自2017年以来,与物联网相关的数据泄露事件急剧增加。更复杂的是,大多数企业并不知道其环境中或第三方供应商提供的每一个不安全的物联网设备或应用程序。PormonInstitute的研究表明,许多企业没有集中负责解决或管理物联网风险,而且大多数企业认为他们的数据可能会在未来两年内受到损害。物联网安全风险对于医疗保健等行业来说可能特别高,因为物联网设备通过网络收集和共享大量敏感信息。在研究公司VansonBourne调查的232家医疗机构中,82%的受访者表示他们在过去一年中经历过以物联网为中心的网络攻击。当被要求确定医疗保健组织中最突出的漏洞存在于何处时,最常提到的是网络(50%),其次是移动设备和配套应用程序(45%)以及物联网设备(42%)。微分段如何帮助物联网安全微分段旨在使网络安全更加精细。下一代防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)等其他解决方案提供了一定程度的网络分段。但是通过微分段,可以将策略应用于单个工作负载,以更好地防御攻击。因此,这些工具提供了比VLAN等产品更细粒度的流量分段。软件定义网络(SDN)和网络虚拟化的出现推动了微分段技术的发展。与软件不与底层硬件分离相比,使用与网络硬件分离的软件更容易实现分段。因为微分段比防火墙等外围产品能更好地控制数据中心内的流量,可以防止攻击者进入网络进行破坏。微分段也有利于管理。研究公司IDC的物联网安全分析师RobynWestervelt表示:“如果能够正确实施微分段,它可以在物联网设备和其他敏感资源之间增加一层安全性,而不会在防火墙上造成漏洞。”但底层基础设施必须支持这种方法,并且可能需要安装新的、现代的交换机、网关等。”出于安全或隐私原因将网络分成多个部分的概念并不新鲜。一段时间以来,组织一直在隔离一些关键或高风险资源。例如,Westervelt说,网络分段在零售业中很常见。许多商家将他们的支付环境与其他网络流量隔离开来,以缩小支付卡行业数据安全标准(PCIDSS)的范围,这是一套旨在确保企业接受、处理、存储或传输信用卡信息的安全标准。“这并非万无一失,因为正如我们在零售商Target的数据泄露事件中看到的那样,网络攻击者可以找到一种从一个系统跳到另一个系统的方法,”Westervelt说。技巧和资源;足以阻止许多出于经济动机的攻击者。但这是可以完成的。”Westervelt说,Target数据泄露的细节多年来一直令人困惑。“网络攻击者使用窃取的凭据来访问Target用于向其HVAC供应商付款的承包商计费系统,”她说。“在那里,网络攻击者访问了网络并横向移动到POS(销售点)系统。”Westervelt说,微分段也可用于隔离虚拟环境中的关键应用程序工作负载。“通过这种方式使用微分段,组织可以对关键工作负载设置更严格的控制,并密切监视访问和更改,”她说。微分段也被认为是工业控制系统环境中的最佳实践。“企业可以使用工业防火墙和单向网关来隔离分配给敏感流程的关键PLC,”Westervelt说。在IT环境中,可以对新部署的具有全球互联网连接的运营技术(OT)进行分段,以防止网络攻击者将其用作生产系统的临时平台或垫脚石。这就是微分段与物联网相关的地方。“这些运营技术(OT)技术包括现代建筑管理系统、太阳能电池板、电梯传感器和包括灭火系统在内的物理安全机制,”Westervelt说。银行和金融服务公司减轻了与数据中心设施中的这些运营技术(OT)技术相关的风险。”网络专家表示,将微分段部署为广泛的物联网安全战略的一部分可能是有意义的。独立信息安全顾问KevinBeaver表示:“这种网络模型允许对联网系统进行更细粒度的控制,并在安全漏洞被利用时更好地隔离。这些好处不仅有助于提高安全可见性和控制力,而且它还可以改善事件响应和取证。”Gartner分析师JonAmato表示,“这项技术可能是将IoT网络从IT系统中分割出来的一种非常有效的方法。微分割产品创建了‘虚拟细分’。”即使在多个物理位置,将设备类型彼此隔离的能力也非常有用,”Amato说,这也符合美国国土安全部(DHS)等组织的物联网安全指南。美国国土安全部(DHS)在其《确保物联网安全的战略原则》报告中建议组织权衡连接的好处及其带来的风险:“鉴于物联网设备的使用以及与物联网设备中断相关的风险,物联网用户(尤其是(在工业环境中)应仔细考虑持续连接的需求。物联网消费者还可以通过谨慎和有意识地连接来帮助遏制网络,并权衡物联网设备中断或故障的潜在风险与限制连接到互联网的成本潜力连接带来的威胁。”Amato说微分段非常适合该法案。“仅仅创建一个IoT分段是不够的(你需要将这些设备彼此分段,”他说。此外,大多数IoT设备缺乏基于主机的控制,因此企业只能使用微分段等外部设备解决方案来完成这项任务。”用于物联网安全的微分段发展缓慢Amato表示,尽管具有潜在优势,但迄今为止,微分段似乎并未被广泛用于物联网安全。“我所看到的是,只有已经拥有成熟物联网安全计划的组织才能通过实施微分段或将现有计划扩展到物联网领域来建立该基础,”阿马托说。对于大多数组织而言,将IT和IoT彼此分离是他们目前能做的最好的事情。有时企业能做的最好的事情必须足够好。我听到很多组织都在谈论它。但在查看了使物联网全部运行所需的努力水平之后,实际上进行物联网微细分的企业要少得多。”Beaver表示,对于构建物联网基础设施的企业而言,重要的是考虑他们是否真的需要微分段来确保物联网安全。“企业必须确定他们当前的风险水平和业务流程,”比弗说。“每一项新技术或控制都会产生意想不到的后果。与零信任模型相关的额外复杂性是否会影响组织的安全计划,否定任何可能的感知好处?”更好的方法是彻底了解物联网将如何影响企业中的所有网络,以确定确保安全的最佳方法Beaver说,“制定安全标准和政策,不仅可以强制执行,而且实际上强制执行IoT。如果你从基于风险的角度接近它,并希望将网络复杂性降到最低,那么也许你可以控制它的物联网“网络环境”。
