对于关键基础设施,安全是不容妥协的。保护网络、系统和资产以实现不间断运行对于组织、城市和国家的安全至关重要。可悲的是,网络罪犯可以渗透93%的公司网络(betanews.com)。鉴于此,最好的保护措施是尽可能地让它变得困难,迫使网络犯罪分子转移到其他目标,因为这些目标需要时间和精力来处理受到良好保护的网络以及其他目标的普遍存在。与2020年相比,2021年企业每周的网络攻击尝试(darkreading.com)将增加50%。更令人担忧的是,埃森哲的网络犯罪成本研究发现,43%的网络攻击都是小型企业,但只有14%的企业能够自卫。在这个“连接”设备激增的时代,安全是最重要的,但与此同时,由于担心公众会知道组织已受到损害,人们对风险和解决方案保持沉默。安全解决方案不再只是购买需要对进出网络的不断增加的设备组合进行日常分析,而不是病毒扫描包。以下是这些设备的列表及其建议的安全性,用于通过物联网平台将它们集成到绿地或棕地环境中。典型的架构“边缘”解决方案这些边缘解决方案通常由许多零件和组件组成,每个零件和组件都来自不同的制造商,并且通常是不同型号和不同代的设备。物联网桥接设备通常用于收集这些数据并将其合理化为可用形式,最重要的是,云中的存储桶用于基于结果的实时和历史分析。我们的故事从位于“边缘”的通用专用网络开始。边缘专用网络和RTU——边缘网桥或远程终端单元(RTU)从远端设备的本机协议收集信息的环境。这通常包括通过Modbus、BACnet、SNMP等进行通信的传感器或系统。通常也有基于TCP/IP的设备,但这被认为是边缘的非公共网络,边缘网桥作为其运行DHCP、DNS和其他网络服务的数据收集器和服务提供商。但是,无论您怎么看,它都是一个专用网络,以Bridge作为将数据馈送到云端的唯一真实来源。对此的访问通常通过不直接在Internet上的专用网络进行保护,即使在需要蜂窝网络的地方,这些网络也可以在蜂窝运营商的专用APN上运行以限制流量。专用网络应包括所有支持TCP/IP的远程设备、RTU和云基础设施。在大多数情况下,漏洞的外部攻击媒介来自用户界面(UI),因为它可能有一个开放端口。通过边缘桥接的标准物联网解决方案通常提供可配置的可信客户端,以允许访问内部设备UI。这些可以放置在具有已建立的双因素身份验证(2FA)方案的虚拟专用网络(VPN)后面。如果您绝对需要外部客户端而不部署VPN,请确保您的Web服务器至少部署了以下内容:用于部署SSL/TLS加密的SSL证书,允许HTTPS到平台的Web服务器。配置防火墙并将其限制到所需的端口,最好是IP白名单。配置为使用自动IP地址禁止来解决暴力攻击的路由器和防火墙。供应商可能会提供多个边缘RTU,以便根据特定要求轻松安装。对于多站点关键设施解决方案,该架构通常在每个站点都有一个边缘RTU,它向上游连接到VM上解决方案的云实例。如果您使用这种类型的解决方案,则边缘RTU和云VM都应位于同一专用网络中。任何物联网解决方案都应允许其软件在专有硬件和客户提供的硬件上运行。这为客户提供了可扩展性和灵活性,而不会出现长期的供应商锁定问题。建议密切关注远端设备,尤其是那些通过TCP/IP通信的设备——尤其是在没有RTU作为仲裁者的情况下。注意:边缘设备通常需要升级。强烈建议升级,因为它们通常包括安全增强功能。最好在需要人工干预的定期维护间隔执行升级,或者,如果不可能,手动打开和关闭端口以允许升级。这确实需要运营商付出更多努力,但被视为在内部升级服务不可用时升级边缘设备以确保设备安全的最安全方式。关键设施监控软件(CFMS)是一种基于云和边缘的解决方案,可实现远程边缘设备信息的监控、数据聚合、数据打包、诊断和远程控制。它还支持从单个或集中位置进行远程多站点管理——连接到数据库(内部或外部)以允许长期存储远程数据。如前所述,它们通常充当边缘现场物联网设备与发生设备数据存储和远程操作的内部网络之间的仲裁者和防火墙。尽管这些设备位于内部网络上,但由于它们充当其他协议和内部TCP/IP网络之间的中介,因此对于希望访问网络的任何一方来说,它们都是一个重要的兴趣点:在用户管理中使用强用户密码——最好单点登录(SSO)集成。虽然某些解决方案具有内置保护,但管理所有文件权限至关重要。在规划用户权限管理时,要特别注意对数据源的细粒度权限,以确保分配所有基于角色的访问权限。确保特别注意继承和增强的访问控制。在任何边缘设备防火墙上使用白名单,仅将批准的云连接列入白名单以进行数据传输。物联网云服务通常包括虚拟计算机资源、用于长期边缘数据存储的数据库技术、防火墙和支持边缘设备的网络。亚马逊(AmazonWebServices)、谷歌(GoogleCloudPlatform)、微软(Azure)和DigitalOcean是您可以使用的一些常见云提供商,尽管在不需要的环境中使用“裸机”实例并不少见使用云提供商。根据您的提供商,云平台操作和命名约定可能会有所不同。云环境通常与来自其他提供商的其他云服务运行混合连接,这增加了安全性的复杂性。提供商的选择可能具有巨大的安全隐患,但更重要的是,谁来管理该云服务起着关键作用。以下是云服务的标准建议:将公共网络端口限制为仅需要CFMS端口。将专用网络侧端口限制为“按需”。很大程度上取决于您的物联网解决方案。端口越少越好。如果您决定部署独立的CFMS数据库而不是供应商提供的集成数据库,请确保该数据库与供应商解决方案的CFMS运行时不在同一个VM上,并使用带有数据库的虚拟私有云(VPC)来避免任何开放的公共端口要求。任何时候都不要让公共端口对数据库可用。如果您的CMFS需要外部Web访问,请始终使用SSL证书和安全端口。CFMS数据库是从远程设备收集数据的地方。通常,这来自您的云提供商,来自边缘位置的所有数据都被打包并流向那里。它是您分析提要的单一来源。不要将此与外部数据湖也连接到云提供商以允许数据存储的自定义应用程序的实例混淆。数据库是唯一的真实来源,CFMS通常包含一个方便的API,可以通过RESTAPI或gRPC访问。对于可扩展的解决方案和更大的项目,使用来自主要云提供商的托管服务数据库环境,这将使您能够构建简单有效的MySQL托管数据库解决方案。在任何时候,这都应该在CFMS外部,允许通过标准IT手段实现通用数据可移植性和备份。如上所述,任何时候都不应公开访问该数据库。外部各方应通过CFMS提供的API访问此数据库——CFMS应仅通过VPC连接访问数据库,避免任何公共访问。网络基础设施是虚拟或物理网络组件的集合,包括路由器、交换机、防火墙、DHCP服务器、蜂窝调制解调器等,它们促进专用或公共网络上设备之间的以太网流量。在任何云环境中,这通常是系统固有的。在部署之前规划网络基础设施解决方案,并使用符合业务需求的标准,同时提供安全的环境。供应商通常提供完全托管的解决方案来构建此基础架构,但要求您将其部署到现有基础架构中需要您的组织提供服务器和安全策略以满足解决方案的需求。鉴于可用的云环境种类繁多,您必须与了解特定云实例及其各自安全解决方案的人员合作;或者选择使用完全托管的服务IoT解决方案来为您处理这些问题。这是迄今为止所有解决方案中最危险的攻击面。棕地系统通常是在没有RTU的情况下运行的边缘系统。它们通常是预先存在的,并且被认为太昂贵而无法用有形的投资回报率来替代。它们可以在TCP/IP或其他专有协议上运行。这些示例包括照明系统、楼宇管理系统(BMS)以及火警和灭火系统。虽然与远端设备类似,棕地系统通常使用网关来促进专有协议(或有线设备)和以太网协议之间的转换。最常见的是,这些是具有专有固件的单个NIC设备,可能需要自定义编程来促进对象和功能的映射,以便对任何其他系统具有逻辑意义。这些系统的范围很广。如果它们存在,了解它们是否具有IoTCMFS可以利用的RESTAPI,或者是否必须做一些更专有的事情来促进连接,这一点很重要。这种类型的设备,即使使用TCP/IP,也不应该公开穿越物联网云。它们应该被降级到边缘,并允许RTU与这些网桥执行通信功能以限制风险。实践最小权限原则,以验证您仅被授予执行与这些设备完成任何通信所需功能所需的最低限度权限。理想情况下,如果可用,请使用TLS来加密负载流量。上游连接(可能)是从边缘到云的物理连接。这是与关键设施管理软件所在位置的基于TCP/IP的连接。它被认为可能不可靠,因为任何物联网解决方案都应该能够容忍跨蜂窝、卫星和Wi-Fi等的上游不稳定性。尽可能使用专用网络。有线以太网总是最好的,其次是蜂窝网络。应避免使用Wi-Fi。蜂窝网络——尽管不推荐用于与边缘的主要通信——对于某些应用程序来说是一个可行的选择,作为主要的,更常见的是,作为与云的备份连接。使用蜂窝技术作为到云的回程,最安全的路径是通过您的服务提供商提供的私有APN——尽管并非总是可行,但只要您的RTU有防火墙,就可以使用公共APN。服务总线是经过身份验证的RESTAPI,允许第三方软件和分析使用关键设施监控软件存储数据(当前和历史)。它还允许外部访问CFMS数据库,通常用于外部分析。在可行的情况下,使用基于可靠、经过验证的身份验证和授权机制的解决方案,例如OAuth2.0或用于供应商API外部授权的密钥交换。实践最小权限验证原则,仅通过RESTAPI将相关信息暴露给外部实体。使用TLS传输。在您的网络基础设施中使用速率限制来拒绝阈值(每天10,000个请求或更少)的后续请求,以防止DOS攻击。使用IP白名单。安全威胁不会消失。事实上,去年,美国、澳大利亚和英国的网络安全机构报告称,针对全球关键基础设施组织的复杂、高影响力的勒索软件事件有所增加。对于多站点关键基础设施运营经理来说,采取措施保护其站点并确保为依赖于它们的客户和组织提供不间断的服务变得越来越重要。这些建议只是应被视为全球任何物联网解决方案基础的开始。任何组织的最佳选择是与物联网平台公司合作,讨论他们现有的基础设施和潜在的未来需求。
