就在互聯(lián)網(wǎng)改變一切的同時(shí),一場(chǎng)名為物聯(lián)網(wǎng)的新革命有望帶來(lái)還要大的顛覆。
主要是由于物聯(lián)網(wǎng)傳感器將用在每個(gè)地方,用在醫(yī)院以監(jiān)測(cè)醫(yī)療設(shè)備,用在工廠(chǎng)以監(jiān)管生產(chǎn)運(yùn)營(yíng) ,用在大樓以控制溫度和照明,不一而足。
來(lái)自這些傳感器的數(shù)據(jù)將用于生產(chǎn)運(yùn)營(yíng)管理、預(yù)測(cè)維護(hù)及更多方面。與此同時(shí),所有這些應(yīng)用通常與企業(yè)的IT基礎(chǔ)設(shè)施整合起來(lái)。正因?yàn)槿绱?,它們帶?lái)了眾多新的安全挑戰(zhàn)。
就像在當(dāng)前的IT環(huán)境那樣,沒(méi)有萬(wàn)無(wú)一失的安全解決方案可以保護(hù)物聯(lián)網(wǎng)設(shè)備,避免每一種可能出現(xiàn)的網(wǎng)絡(luò)威脅。
由于物聯(lián)網(wǎng)會(huì)在不同的地方為眾多最終用戶(hù)(包括企業(yè)、客戶(hù)及合作伙伴)生成數(shù)據(jù),需要網(wǎng)絡(luò)分段和基于網(wǎng)段的拓?fù)浣Y(jié)構(gòu)來(lái)防范大規(guī)模攻擊。
比如說(shuō),合作伙伴網(wǎng)絡(luò)里面受危及的網(wǎng)段應(yīng)該無(wú)力危及企業(yè)網(wǎng)絡(luò)。
在最近的一次安全事件中,總部位于法國(guó)的主機(jī)托管提供商O(píng)VH成為了用物聯(lián)網(wǎng)設(shè)備發(fā)動(dòng)的一次大規(guī)模DDoS攻擊的受害者。據(jù)OVH聲稱(chēng),攻擊在高峰時(shí)期的流量達(dá)到了近1 Tbps。中招的物聯(lián)網(wǎng)設(shè)備主要是閉路電視監(jiān)視攝像頭和數(shù)字錄像機(jī)。
改變架構(gòu),防止物聯(lián)網(wǎng)設(shè)備被劫持
為了緩解劫持物聯(lián)網(wǎng)設(shè)備的大規(guī)模攻擊這種威脅,分支機(jī)構(gòu)和本地架構(gòu)都需要做一些重要的變化。
供合作伙伴使用的數(shù)據(jù)應(yīng)在來(lái)自企業(yè)網(wǎng)絡(luò)的第一跳(hop)處加以卸載。 如今,大多數(shù)合作伙伴網(wǎng)絡(luò)連接是通過(guò)非軍事區(qū)(DMZ)來(lái)實(shí)現(xiàn)路由的。這種回程傳輸(backhauling)給網(wǎng)絡(luò)基礎(chǔ)設(shè)施(路由器和交換機(jī))帶來(lái)了不必要的壓力。相反,這些數(shù)據(jù)可以通過(guò)VPN在本地卸載,只要在云端或運(yùn)營(yíng)商的托管設(shè)施建立第三方安全合作伙伴DMZ。在這里,多個(gè)有關(guān)方的VPN可以彼此對(duì)接,同時(shí)將這些DMZ限制在少數(shù)幾個(gè)地方。
這種模式的一大優(yōu)勢(shì)是,第一跳在每個(gè)站點(diǎn)卸載合作伙伴數(shù)據(jù),而不是在傳送到合作伙伴網(wǎng)絡(luò)之前,通過(guò)企業(yè)DMZ回程傳輸大量的站點(diǎn)數(shù)據(jù)。第二個(gè)好處是基于分段的拓?fù)浣Y(jié)構(gòu)。不是所有的合作伙伴都需要在每個(gè)地方對(duì)接。比如說(shuō),可以為合作伙伴提供這種靈活性:自由地對(duì)接,并在云端明確定義的投放點(diǎn)收集數(shù)據(jù)。這類(lèi)似實(shí)施基于云的VPN。
在制造生產(chǎn)環(huán)境下,用于工業(yè)自動(dòng)化的物聯(lián)網(wǎng)設(shè)備不是關(guān)聯(lián)用戶(hù),也沒(méi)有加密功能。因此,為了保持?jǐn)?shù)據(jù)完整性和機(jī)密性,網(wǎng)絡(luò)必須為物聯(lián)網(wǎng)設(shè)備提供加密之類(lèi)的安全服務(wù)。
X86機(jī)器接收、分段和加密傳感器數(shù)據(jù),并通過(guò)虛擬DMZ安全地傳輸?shù)交ヂ?lián)網(wǎng)上的廠(chǎng)商。
如前所述,在大多數(shù)當(dāng)前的部署環(huán)境下,傳感器數(shù)據(jù)通過(guò)企業(yè)DMZ和網(wǎng)絡(luò)來(lái)回程傳輸。這迫使IT部門(mén)為通過(guò)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)制定復(fù)雜的策略。
在圖1中,x86白盒機(jī)器上的分區(qū)P0有自己的VPN,它管理連接至所有PLC的活動(dòng)。每個(gè)PLC的連接數(shù)據(jù)可以從網(wǎng)絡(luò)中的控制層來(lái)編程。在這種場(chǎng)景下,PLC和控制元件之間傳輸?shù)臄?shù)據(jù)含有與生產(chǎn)廠(chǎng)商有關(guān)的操作信息,還含有與工業(yè)設(shè)備提供商有關(guān)的操作信息。
一個(gè)數(shù)據(jù)源 (PLC控制器)必須在源處加以劃分,提供給兩家獨(dú)立的企業(yè)組織。來(lái)自同一P0 PLC數(shù)據(jù)源的數(shù)據(jù)可以由邊緣路由器放在兩個(gè)不同的VPN,每個(gè)VPN都有不同的拓?fù)浣Y(jié)構(gòu)。供生產(chǎn)廠(chǎng)商使用的數(shù)據(jù)可以在本地處理,然后在工廠(chǎng)車(chē)間回程傳輸,或者回程傳輸?shù)狡髽I(yè)數(shù)據(jù)中心。與PLC供應(yīng)商有關(guān)的數(shù)據(jù)在本地由分析引擎加以處理,然后發(fā)送給合作伙伴,供其使用。
這種架構(gòu)最好與從工廠(chǎng)連接到云端,然后連接到合作伙伴的VPN一起部署。這可以用企業(yè)管理的方法或運(yùn)營(yíng)商管理的方式來(lái)實(shí)現(xiàn)。
企業(yè)管理的方法
使用這種方法,企業(yè)構(gòu)建iDMZ VPN,并選擇投放數(shù)據(jù)讓合作伙伴處理的云位置。企業(yè)需要負(fù)責(zé)保護(hù)云端點(diǎn)和內(nèi)部工廠(chǎng)網(wǎng)絡(luò)。這就需要建立一套完整的安全架構(gòu),確保落實(shí)了足夠到位的保護(hù)措施。
運(yùn)營(yíng)商管理的方法
這里,運(yùn)營(yíng)商可以將云VPN作為一項(xiàng)服務(wù)提供給企業(yè)工廠(chǎng)網(wǎng)絡(luò)。運(yùn)營(yíng)商可以宣布VPN投放點(diǎn);根據(jù)分布位置,這些投放點(diǎn)可以分布在全球各地。企業(yè)可以指定哪個(gè)合作伙伴收集來(lái)自哪個(gè)地方哪個(gè)VPN的數(shù)據(jù)。運(yùn)營(yíng)商可以將所有的網(wǎng)絡(luò)功能作為完全托管的服務(wù)來(lái)提供,包括安全。使用互聯(lián)網(wǎng)作為安全傳輸機(jī)制,只有VPN對(duì)接地點(diǎn)對(duì)合作伙伴來(lái)說(shuō)是可見(jiàn)的。
下面圖2 顯示了這種連接模式,因而不需要構(gòu)建動(dòng)態(tài)、任意的VPN,并可以保護(hù)企業(yè)網(wǎng)絡(luò),避免傳輸無(wú)關(guān)的合作伙伴流量帶來(lái)的負(fù)擔(dān)。
想獲得物聯(lián)網(wǎng)的好處,企業(yè)必須發(fā)掘其生產(chǎn)設(shè)施里面的傳感器和設(shè)備的寶貴信息。不過(guò),它們需要合作伙伴的幫助,才能安全地分析大量數(shù)據(jù),又不給企業(yè)IT網(wǎng)絡(luò)增添負(fù)擔(dān)。構(gòu)建任意的VPN分段拓?fù)浣Y(jié)構(gòu)以便使用經(jīng)過(guò)優(yōu)化的數(shù)據(jù)導(dǎo)向和強(qiáng)加密,這是企業(yè)與合作伙伴共同打造物聯(lián)網(wǎng)生態(tài)系統(tǒng)的一種方法,從而在避免網(wǎng)絡(luò)暴露在安全威脅的前提下,保護(hù)數(shù)據(jù)的完整性。
原文標(biāo)題:How to architect the network so IoT devices are secure
作者:Khalid Raza