1零信任安全簡(jiǎn)介
云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)時(shí)代,網(wǎng)絡(luò)安全邊界逐漸瓦解,內(nèi)外部威脅愈演愈烈,傳統(tǒng)的邊界安全難以應(yīng)對(duì),零信任安全應(yīng)運(yùn)而生。
零信任安全代表了新一代網(wǎng)絡(luò)安全防護(hù)理念,并非指某種單一的安全技術(shù)或產(chǎn)品,其目標(biāo)是為了降低資源訪(fǎng)問(wèn)過(guò)程中的安全風(fēng)險(xiǎn),防止在未經(jīng)授權(quán)情況下的資源訪(fǎng)問(wèn),其關(guān)鍵是打破信任和網(wǎng)絡(luò)位置的默認(rèn)綁定關(guān)系。
圖1、NIST零信任安全框架圖
在零信任安全理念下,網(wǎng)絡(luò)位置不再?zèng)Q定訪(fǎng)問(wèn)權(quán)限,在訪(fǎng)問(wèn)被允許之前,所有訪(fǎng)問(wèn)主體都需要經(jīng)過(guò)身份認(rèn)證和授權(quán)。身份認(rèn)證不再僅僅針對(duì)用戶(hù),還將對(duì)終端設(shè)備、應(yīng)用軟件等多種身份進(jìn)行多維度、關(guān)聯(lián)性的識(shí)別和認(rèn)證,并且在訪(fǎng)問(wèn)過(guò)程中可以根據(jù)需要,多次發(fā)起身份認(rèn)證。授權(quán)決策不再僅僅基于網(wǎng)絡(luò)位置、用戶(hù)角色或?qū)傩缘葌鹘y(tǒng)靜態(tài)訪(fǎng)問(wèn)控制模型,而是通過(guò)持續(xù)的安全監(jiān)測(cè)和信任評(píng)估,進(jìn)行動(dòng)態(tài)、細(xì)粒度的授權(quán)。
2零信任成功應(yīng)用于IT安全
圖2、IT數(shù)據(jù)中心的南北向和東西向流量
零信任安全架構(gòu)已經(jīng)成功地應(yīng)用到IT安全領(lǐng)域,成功解決了IT數(shù)據(jù)中心南北向和東西向安全防護(hù)的痛點(diǎn)。當(dāng)前零信任的落地技術(shù)主要有三個(gè):軟件定義邊界(Software Defined Perimeter,簡(jiǎn)稱(chēng)SDP)、身份識(shí)別與訪(fǎng)問(wèn)管理(Identity and Access Management,簡(jiǎn)稱(chēng)IAM)和微隔離(Micro Segmentation,簡(jiǎn)稱(chēng)MSG)。SDP和IAM的技術(shù)結(jié)合,解決了企業(yè)遠(yuǎn)程安全辦公、遠(yuǎn)程安全運(yùn)維和遠(yuǎn)程安全研發(fā)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全問(wèn)題,也解決了數(shù)據(jù)中心南北向網(wǎng)絡(luò)隱身、身份認(rèn)證和訪(fǎng)問(wèn)控制的難題。MSG技術(shù),解決了數(shù)據(jù)中心東西向流量可視化、訪(fǎng)問(wèn)控制和策略自適應(yīng)的難題。
表1、國(guó)外零信任SaaS的典型企業(yè)
SDP是由國(guó)際云安全聯(lián)盟CSA于2013年提出的基于零信任理念的新一代網(wǎng)絡(luò)安全技術(shù)架構(gòu)。SDP以預(yù)認(rèn)證和預(yù)授權(quán)作為它的兩個(gè)基本支柱。通過(guò)在單數(shù)據(jù)包到達(dá)目標(biāo)服務(wù)器之前對(duì)用戶(hù)和設(shè)備進(jìn)行身份驗(yàn)證和授權(quán),SDP可以在網(wǎng)絡(luò)層上執(zhí)行最小權(quán)限原則,可以顯著地縮小攻擊面。
圖3、基于SDP的南北向安全防護(hù)
SDP架構(gòu)由客戶(hù)端、安全網(wǎng)關(guān)和控制中心三個(gè)主要組件組成??蛻?hù)端和安全網(wǎng)關(guān)之間的連接是通過(guò)控制中心與安全控制通道的信息交互來(lái)管理的。該結(jié)構(gòu)使得控制平面與數(shù)據(jù)平面保持分離,以便實(shí)現(xiàn)完全可擴(kuò)展的安全系統(tǒng)。此外,SDP架構(gòu)的所有組件都可以集群部署,用于擴(kuò)容或提高系統(tǒng)穩(wěn)定運(yùn)行時(shí)間。
微隔離的概念最早由VMware在發(fā)布NSX產(chǎn)品時(shí)正式提出。從2016年開(kāi)始,微隔離項(xiàng)目連續(xù)3年被評(píng)為全球十大安全項(xiàng)目之一,并在2018年的 《Hype Cycle for Threat-Facing Technologies》(威脅應(yīng)對(duì)技術(shù)成熟度曲線(xiàn))中首次超過(guò)下一代防火墻(NGFW)。
圖4、微隔離技術(shù)的領(lǐng)先者illumio產(chǎn)品的東西向流量可視化
微隔離是在數(shù)據(jù)中心和云平臺(tái)中以創(chuàng)建安全區(qū)域的方式,隔離工作流,并對(duì)其進(jìn)行單獨(dú)保護(hù),目的是讓網(wǎng)絡(luò)安全更具粒度化。微隔離是一種能夠識(shí)別和管理數(shù)據(jù)中心與云平臺(tái)內(nèi)部流量的隔離技術(shù)。對(duì)于微隔離,其核心是對(duì)全部東西向流量的可視化識(shí)別與訪(fǎng)問(wèn)控制。微隔離是一種典型的軟件定義安全結(jié)構(gòu)。它的策略是由一個(gè)統(tǒng)一的計(jì)算平臺(tái)來(lái)計(jì)算的,而且需要根據(jù)虛擬化環(huán)境的變化,做實(shí)時(shí)的自適應(yīng)策略重算。
當(dāng)前比較流行的SDP和微隔離技術(shù),均是典型的軟件定義安全的技術(shù)。以零信任技術(shù)為核心的安全產(chǎn)品,正在越來(lái)越多地應(yīng)用到IT安全的各個(gè)領(lǐng)域。
3零信任是否適用于OT安全?
零信任安全架構(gòu)在IT安全領(lǐng)域取得成功后,是否適用于OT安全?在回答這個(gè)問(wèn)題之前,我們先分析下國(guó)內(nèi)外OT安全的當(dāng)前現(xiàn)狀和新探索。
3.1、國(guó)內(nèi)OT安全現(xiàn)狀及思考
國(guó)內(nèi)的OT安全市場(chǎng)當(dāng)前以白名單理念為主,產(chǎn)品和解決方案主要圍繞等保2.0,以“一個(gè)中心、三重防御”為思路,產(chǎn)品主要包括:工控主機(jī)衛(wèi)士、工業(yè)防火墻、工業(yè)網(wǎng)閘、工業(yè)監(jiān)測(cè)審計(jì)系統(tǒng)、統(tǒng)一安全管理平臺(tái)等。在國(guó)內(nèi),零信任安全架構(gòu)尚未應(yīng)用到OT安全領(lǐng)域,假設(shè)在白名單產(chǎn)品的基礎(chǔ)上應(yīng)用零信任安全架構(gòu),安全產(chǎn)品將獲得哪些提升?下表將探討零信任安全架構(gòu)如何應(yīng)用于OT安全產(chǎn)品。
表2、零信任安全架構(gòu)應(yīng)用于OT安全產(chǎn)品的思考
3.2、國(guó)外OT安全現(xiàn)狀及新探索
國(guó)外的OT安全市場(chǎng)當(dāng)前百家爭(zhēng)鳴,包括但不限于:專(zhuān)注白名單的工業(yè)防火墻,專(zhuān)注物理上單向傳輸?shù)墓I(yè)網(wǎng)閘,專(zhuān)注工業(yè)流量全面可視化的下一代防火墻,基于零信任架構(gòu)的工控安全解決方案等。
表3、國(guó)外OT安全的典型企業(yè)和產(chǎn)品
3.2.1、思科零信任OT解決方案
本文重點(diǎn)關(guān)注OT安全的新探索,思科基于零信任架構(gòu)的工控安全解決方案。
圖5、思科基于零信任架構(gòu)的工控安全解決方案
思科零信任工控安全解決方案的組件如下表所示,主要包括:思科工業(yè)交換機(jī)和路由器及運(yùn)行在上面的Cyber Vision傳感器、Cyber Vision中心、ISE身份服務(wù)引擎、Secure X安全編排引擎、思科工業(yè)防火墻、思科DNA中心。
表4、思科零信任工控安全解決方案的組件
OT網(wǎng)絡(luò)的零信任之路如下:
第1步:識(shí)別端點(diǎn)并建立初始信任
Cyber Vision傳感器嵌入網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器和網(wǎng)關(guān)),收集流經(jīng)工業(yè)基礎(chǔ)設(shè)施的數(shù)據(jù)包 。該傳感器結(jié)合使用被動(dòng)和主動(dòng)發(fā)現(xiàn)技術(shù),利用工業(yè)協(xié)議的先進(jìn)知識(shí),通過(guò)深度數(shù)據(jù)包檢測(cè),對(duì)數(shù)據(jù)包有效載荷進(jìn)行解碼和分析。Cyber Vision能夠分析每個(gè)端點(diǎn),詳細(xì)描述其與其他端點(diǎn)和資源的交互,并構(gòu)建資產(chǎn)清單。
圖6、Cyber Vision中心從網(wǎng)絡(luò)中收集數(shù)據(jù)
Cyber Vision傳感器易于在OT網(wǎng)絡(luò)中部署,因?yàn)樗鼈冊(cè)谒伎乒I(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上作為軟件運(yùn)行,不需要單獨(dú)的設(shè)備,但如果OT網(wǎng)絡(luò)由無(wú)法運(yùn)行傳感器的設(shè)備組成,則可以使用專(zhuān)用設(shè)備。傳感器將有關(guān)連接端點(diǎn)的數(shù)據(jù)發(fā)送到被稱(chēng)為Cyber Vision Center的中央儀表板中,該儀表板可以幫助用戶(hù)以類(lèi)似地圖的格式,可視化每個(gè)端點(diǎn)及其與其他端點(diǎn)的交互。該地圖視圖對(duì)于OT團(tuán)隊(duì)根據(jù)實(shí)際的工業(yè)過(guò)程邏輯對(duì)端點(diǎn)進(jìn)行分組特別有用,因此它可以根據(jù)不同的組與組之間的通信來(lái)構(gòu)建策略。
第2步:定義和驗(yàn)證訪(fǎng)問(wèn)策略
在網(wǎng)絡(luò)中定義有效的訪(fǎng)問(wèn)策略需要IT和OT團(tuán)隊(duì)之間的協(xié)作。
ISA99/IEC 62443工業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將區(qū)域定義為具有類(lèi)似安全要求、清晰物理邊界和需要相互對(duì)話(huà)的設(shè)備組。例如,汽車(chē)工廠(chǎng)可能有一條焊接生產(chǎn)線(xiàn)和一條噴漆生產(chǎn)線(xiàn)。焊接設(shè)備沒(méi)有理由需要與油漆車(chē)間的設(shè)備交互。如果一個(gè)區(qū)域內(nèi)的設(shè)備受到感染,將每個(gè)設(shè)備放置在自己的區(qū)域內(nèi)可以限制任何損壞。如果不同區(qū)域的設(shè)備確實(shí)需要相互通信,則管道定義了允許的有限交互。訪(fǎng)問(wèn)策略將OT網(wǎng)絡(luò)中的區(qū)域和管道形式化。
Cyber Vision可以直接與ISE集成。一旦OT管理員在Cyber Vision中對(duì)資產(chǎn)進(jìn)行分組,該信息將自動(dòng)與ISE共享。ISE可以利用資產(chǎn)詳細(xì)信息和分組來(lái)確定必須應(yīng)用的安全策略。可以將端點(diǎn)分配到適當(dāng)?shù)膮^(qū)域,并使用可擴(kuò)展組標(biāo)簽標(biāo)記其通信,該標(biāo)簽使網(wǎng)絡(luò)設(shè)備能夠定義和實(shí)施適當(dāng)?shù)脑L(fǎng)問(wèn)策略。
第3步:驗(yàn)證合規(guī)性策略
在執(zhí)行策略之前,需要對(duì)其進(jìn)行驗(yàn)證。DNA Center提供了一個(gè)儀表板,用于可視化從ISE學(xué)習(xí)到的組之間的交互。DNA Center還為每個(gè)交互提供了詳細(xì)信息,如應(yīng)用程序、協(xié)議、端口號(hào)等。有了這些信息,用戶(hù)可以根據(jù)需要調(diào)整定義的策略,以確保它們不會(huì)妨礙任何合法的交互。
圖7、DNA中心提供組間流量的可視化映射
第4步:通過(guò)網(wǎng)絡(luò)分段加強(qiáng)信任
一旦策略得到驗(yàn)證,用戶(hù)可以使用易用的矩陣在DNA Center或ISE中編寫(xiě)它們,其中每個(gè)單元定義了源和目標(biāo)組之間允許的通信。在該矩陣中,同一區(qū)域內(nèi)的端點(diǎn)可以彼此自由交互,但不能與其他區(qū)域中的端點(diǎn)交互。例如,雖然制造車(chē)間區(qū)域中的端點(diǎn)可以相互通信,但它們不能與焊接車(chē)間區(qū)域中的端點(diǎn)通信。每個(gè)分區(qū)中的端點(diǎn)可以與制造執(zhí)行系統(tǒng)通信,但僅受管道定義的約束。
圖8、DNA中心使用矩陣定義策略
定義的策略現(xiàn)在發(fā)送給ISE,ISE依次配置工業(yè)交換機(jī)和路由器,以根據(jù)連接到該端口的端點(diǎn)的情況,對(duì)其每個(gè)端口強(qiáng)制執(zhí)行策略限制。應(yīng)用這些策略對(duì)網(wǎng)絡(luò)進(jìn)行分段,使每個(gè)分區(qū)都受到保護(hù),分區(qū)之間的通信通過(guò)定義的管道得到嚴(yán)格控制。
定義、驗(yàn)證和強(qiáng)制執(zhí)行訪(fǎng)問(wèn)規(guī)則的過(guò)程使OT能夠控制其安全標(biāo)準(zhǔn)。一旦實(shí)現(xiàn)了這個(gè)過(guò)程,添加新的端點(diǎn)和根據(jù)需求變化修改策略就變得很容易了。例如,如果未來(lái)需要在生產(chǎn)車(chē)間和裝配線(xiàn)之間進(jìn)行某些通信,則可以在策略矩陣中定義新策略,并輕松地重新配置基礎(chǔ)設(shè)施。
第5步:不斷驗(yàn)證信任
Cyber Vision不斷評(píng)估連接端點(diǎn)的安全狀況。它會(huì)自動(dòng)計(jì)算每個(gè)端點(diǎn)的風(fēng)險(xiǎn)評(píng)分,以幫助安全管理員主動(dòng)限制對(duì)工業(yè)過(guò)程的威脅。風(fēng)險(xiǎn)評(píng)分是威脅的可能性及其潛在影響的乘積,其中可能性取決于資產(chǎn)類(lèi)型、漏洞和對(duì)外部 IP 地址的暴露,影響取決于資產(chǎn)類(lèi)型及其對(duì)工業(yè)過(guò)程的重要性。
匯總各個(gè)風(fēng)險(xiǎn)評(píng)分以評(píng)估工業(yè)區(qū)的安全狀況,并更容易確定糾正措施的優(yōu)先級(jí),例如應(yīng)用漏洞補(bǔ)丁或安裝工業(yè)防火墻,從而確保工業(yè)端點(diǎn)的安全。
圖9、Cyber Vision根據(jù)其潛在影響和發(fā)生的可能性評(píng)估風(fēng)險(xiǎn)
但是,即使將風(fēng)險(xiǎn)保持在最低水平并且正確執(zhí)行了訪(fǎng)問(wèn)策略,后續(xù)攻擊也有可能突破區(qū)域,感染SCADA、PLC和HMI等控制系統(tǒng)。此類(lèi)感染可能導(dǎo)致這些控制器對(duì)工業(yè)設(shè)備的控制行為發(fā)生改變,導(dǎo)致生產(chǎn)質(zhì)量問(wèn)題、停產(chǎn),甚至損壞機(jī)器和生產(chǎn)基礎(chǔ)設(shè)施。因此,必須持續(xù)監(jiān)控所有此類(lèi)控制器,以發(fā)現(xiàn)任何可能表明它們已被入侵的異常行為的跡象。Cyber Vision 分析所有工業(yè)通信內(nèi)容,并使用先進(jìn)的基線(xiàn)引擎跟蹤異常行為。
第6步:降低風(fēng)險(xiǎn)
IT有兩種方法來(lái)處理端點(diǎn)中已識(shí)別的風(fēng)險(xiǎn)。它們可以通過(guò)降低其訪(fǎng)問(wèn)權(quán)限或關(guān)閉它所連接的交換機(jī)端口來(lái)有效地將端點(diǎn)從網(wǎng)絡(luò)中刪除。這些方法可能適用于有問(wèn)題的打印機(jī)或電子郵件服務(wù),可以使它們?cè)谛迯?fù)時(shí)暫時(shí)脫機(jī),但在OT中顯然不是一個(gè)選項(xiàng),因?yàn)闄C(jī)器不能簡(jiǎn)單地停在其軌道上。減輕工業(yè)環(huán)境中已識(shí)別的威脅需要IT和OT安全團(tuán)隊(duì)之間的密切合作。
雖然需要根據(jù)威脅的影響來(lái)評(píng)估對(duì)每個(gè)威脅的適當(dāng)響應(yīng),但 IT 和 OT 團(tuán)隊(duì)?wèi)?yīng)事先制定一份行動(dòng)手冊(cè),在發(fā)現(xiàn)漏洞時(shí)立即執(zhí)行。緩解決策可能超出了工具的能力,因此必須建立關(guān)鍵決策的指揮鏈。例如要將需要停止生產(chǎn)的情況以及相關(guān)責(zé)任人記錄在案。
SecureX提供了一種單一平臺(tái)的安全方法。它與關(guān)鍵安全工具集成,并在這些工具之間提供所需的編排,以執(zhí)行用戶(hù)定義的工作流。
3.2.2、思科零信任OT解決方案的分析
思科的零信任OT解決方案,結(jié)合了思科工業(yè)交換機(jī)、工業(yè)路由器等網(wǎng)絡(luò)設(shè)備,將Cyber Vision傳感器嵌入網(wǎng)絡(luò)設(shè)備,實(shí)現(xiàn)了對(duì)端點(diǎn)和端點(diǎn)之間資源交互的實(shí)時(shí)跟蹤,并構(gòu)建了資產(chǎn)清單。傳感器將有關(guān)連接端點(diǎn)的數(shù)據(jù)發(fā)送到Cyber Vision中心。借鑒IEC 62443,在Cyber Vision中心,訪(fǎng)問(wèn)策略將OT網(wǎng)絡(luò)中的區(qū)域和管道形式化 ,資產(chǎn)放置在區(qū)域內(nèi),跨區(qū)域之間的通信通過(guò)管道連接。Cyber Vision可以直接與ISE集成,ISE可以利用資產(chǎn)詳細(xì)信息和分組來(lái)確定必須應(yīng)用的安全策略。在執(zhí)行策略之前,可以使用DNA中心的儀表板對(duì)安全策略進(jìn)行驗(yàn)證,該儀表板用于可視化ISE學(xué)習(xí)到的分組之間的交互。策略驗(yàn)證后,用戶(hù)可以在DNA中心使用矩陣定義安全策略。定義的策略發(fā)送給ISE,ISE依次配置工業(yè)交換機(jī)和路由器,對(duì)網(wǎng)絡(luò)設(shè)備上的每個(gè)端口強(qiáng)制執(zhí)行策略限制。應(yīng)用安全策略對(duì)網(wǎng)絡(luò)進(jìn)行分段,保護(hù)每個(gè)分區(qū),分區(qū)之間的通信通過(guò)管道嚴(yán)格管控。Cyber Vision不斷評(píng)估連接端點(diǎn)的安全狀況,自動(dòng)計(jì)算每個(gè)端點(diǎn)的風(fēng)險(xiǎn)評(píng)分,以幫助安全管理員主動(dòng)限制對(duì)工業(yè)過(guò)程的威脅。最后,利用SecureX進(jìn)行安全策略編排,類(lèi)似于SOAR,降低OT環(huán)境中的風(fēng)險(xiǎn)。
思科的零信任OT解決方案,利用網(wǎng)絡(luò)設(shè)備作為安全分區(qū)的邊界,分區(qū)之間的通信通過(guò)管道嚴(yán)格管控,網(wǎng)絡(luò)設(shè)備上配置傳感器,學(xué)習(xí)端點(diǎn)和端點(diǎn)之間的交互,便于自適應(yīng)安全策略的生成和用戶(hù)的驗(yàn)證。這種方案設(shè)計(jì)很巧妙,可以理解為基于網(wǎng)絡(luò)設(shè)備的微隔離技術(shù),而非IT領(lǐng)域的基于端點(diǎn)的微隔離技術(shù)。
表5、思科零信任工控安全解決方案的優(yōu)劣勢(shì)分析
4零信任成功應(yīng)用于IOT安全
物聯(lián)網(wǎng)應(yīng)用系統(tǒng)模型,包括三部分:服務(wù)端系統(tǒng)、終端系統(tǒng)和通信網(wǎng)絡(luò)。物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)主要集中在服務(wù)端、終端和通信網(wǎng)絡(luò)三個(gè)方面。
圖10、物聯(lián)網(wǎng)應(yīng)用系統(tǒng)模型
(引用自中國(guó)信通院《物聯(lián)網(wǎng)安全白皮書(shū)》)
1)物聯(lián)網(wǎng)服務(wù)端安全風(fēng)險(xiǎn)
1、服務(wù)端存儲(chǔ)大量用戶(hù)數(shù)據(jù),易成為攻擊焦點(diǎn);
2、服務(wù)端多數(shù)部署于云平臺(tái)之上,南北向業(yè)務(wù)API接口開(kāi)放、應(yīng)用邏輯多樣,容易引入風(fēng)險(xiǎn);
3、云平臺(tái)主要采用虛擬化和容器技術(shù),東西向存在內(nèi)網(wǎng)滲透風(fēng)險(xiǎn)。
2)物聯(lián)網(wǎng)終端安全風(fēng)險(xiǎn)
1、終端自身安全風(fēng)險(xiǎn),存在口令被破解、設(shè)備被入侵、惡意軟件感染等風(fēng)險(xiǎn);
2、終端網(wǎng)絡(luò)接入風(fēng)險(xiǎn),終端多處于邊緣側(cè),存在設(shè)備假冒、非法設(shè)備接入等風(fēng)險(xiǎn);
3、終端數(shù)據(jù)安全風(fēng)險(xiǎn),存在隱私數(shù)據(jù)泄露、數(shù)據(jù)被竊取等風(fēng)險(xiǎn);
4、終端生產(chǎn)安全風(fēng)險(xiǎn),存在數(shù)據(jù)被篡改、服務(wù)中斷等風(fēng)險(xiǎn)。
3)物聯(lián)網(wǎng)通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
1、通信網(wǎng)絡(luò)未加密,存在數(shù)據(jù)被竊聽(tīng)、數(shù)據(jù)被篡改等風(fēng)險(xiǎn);
2、通信網(wǎng)絡(luò)非授權(quán)接入,存在非法接入、網(wǎng)絡(luò)劫持等風(fēng)險(xiǎn);
3、通信網(wǎng)絡(luò)易受到拒絕服務(wù)攻擊等風(fēng)險(xiǎn)。
SDP技術(shù)用于解決南北向的安全問(wèn)題,結(jié)合物聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu),可以通過(guò)可信終端接入、可信鏈路傳輸、可信資源權(quán)限、持續(xù)信任評(píng)估和動(dòng)態(tài)訪(fǎng)問(wèn)控制等方式解決南北向的安全隱患。微隔離技術(shù)用于解決東西向的安全問(wèn)題,可以解決物聯(lián)網(wǎng)云平臺(tái)內(nèi)部的東西向安全隱患。
國(guó)外安全企業(yè)已經(jīng)將零信任安全架構(gòu)成功地應(yīng)用于IOT安全。下表列舉了國(guó)外零信任IOT安全的典型企業(yè),下面本節(jié)將重點(diǎn)分析典型案例。
表6、國(guó)外零信任IOT安全的典型企業(yè)
4.1、亞馬遜AWS的IOT安全
圖11、AWS IOT安架構(gòu)
AWS物聯(lián)網(wǎng)通過(guò)以下七條原則幫助用戶(hù)采用基于NIST 800-207的零信任架構(gòu)。
1)所有數(shù)據(jù)源和計(jì)算服務(wù)都是資源。
AWS將客戶(hù)的數(shù)據(jù)源和計(jì)算服務(wù)作為資源建模。AWS IoT Core和AWS IoT Greengrass是包含客戶(hù)資源的服務(wù),物聯(lián)網(wǎng)設(shè)備需要安全調(diào)用這些服務(wù)。每個(gè)連接的設(shè)備必須具有與物聯(lián)網(wǎng)服務(wù)交互的憑據(jù),所有進(jìn)出的流量都使用TLS安全傳輸。
2)無(wú)論網(wǎng)絡(luò)位置如何,所有通信都是安全的。
通過(guò)使用TLS認(rèn)證和授權(quán)API調(diào)用,設(shè)備和云服務(wù)之間的所有通信都受到保護(hù)。當(dāng)設(shè)備連接到其他設(shè)備或云服務(wù)時(shí),它必須通過(guò)使用 X.509 證書(shū)、安全令牌和自定義授權(quán)人等主體進(jìn)行身份驗(yàn)證來(lái)建立信任。除了身份認(rèn)證外,零信任還需要在連接到AWS IoT Core后控制設(shè)備操作的最小訪(fǎng)問(wèn)權(quán)限。
AWS提供設(shè)備軟件以允許物聯(lián)網(wǎng)設(shè)備安全地連接到云中的其他設(shè)備和服務(wù)。AWS IoT Greengrass 對(duì)本地和云通信的設(shè)備數(shù)據(jù)進(jìn)行身份驗(yàn)證和加密。FreeRTOS 支持 TLS 1.2 以實(shí)現(xiàn)安全通信,并支持 PKCS #11 以用于保護(hù)存儲(chǔ)憑據(jù)的加密元素。
3)在每個(gè)會(huì)話(huà)的基礎(chǔ)上授予對(duì)單個(gè)企業(yè)資源的訪(fǎng)問(wèn)權(quán)限,并在授予訪(fǎng)問(wèn)權(quán)限之前使用最小權(quán)限評(píng)估信任。
AWS物聯(lián)網(wǎng)服務(wù)和API調(diào)用基于每個(gè)會(huì)話(huà)授予對(duì)資源的訪(fǎng)問(wèn)權(quán)限。物聯(lián)網(wǎng)設(shè)備必須通過(guò) AWS IoT Core 進(jìn)行身份驗(yàn)證并獲得授權(quán),然后才能執(zhí)行操作。每次設(shè)備連接到 AWS IoT Core 時(shí),它都會(huì)出示其設(shè)備證書(shū)或自定義授權(quán)人以通過(guò)身份驗(yàn)證。在這個(gè)過(guò)程中,物聯(lián)網(wǎng)策略被強(qiáng)制檢查,設(shè)備是否被授權(quán)訪(fǎng)問(wèn)它所請(qǐng)求的資源,并且該授權(quán)僅對(duì)當(dāng)前會(huì)話(huà)有效。下次設(shè)備連接時(shí),它會(huì)執(zhí)行相同的步驟。
4)對(duì)資源的訪(fǎng)問(wèn)由動(dòng)態(tài)策略確定,包括客戶(hù)端身份、應(yīng)用程序和服務(wù)以及請(qǐng)求資產(chǎn)的健康狀況,所有這些都可能包括其他行為和環(huán)境屬性。
零信任的核心原則是在進(jìn)行風(fēng)險(xiǎn)評(píng)估以及可接受行為獲得批準(zhǔn)之前,不應(yīng)授予任何設(shè)備訪(fǎng)問(wèn)其他設(shè)備和應(yīng)用程序的權(quán)限。這一原則完全適用于物聯(lián)網(wǎng)設(shè)備,因?yàn)樗鼈儽举|(zhì)上具有有限、穩(wěn)定和可預(yù)測(cè)的行為特點(diǎn),并且可以使用它們的行為來(lái)衡量設(shè)備的健康狀況。
一旦確定,每個(gè)物聯(lián)網(wǎng)設(shè)備都應(yīng)在被授予訪(fǎng)問(wèn)網(wǎng)絡(luò)中其它設(shè)備和應(yīng)用程序的權(quán)限之前,根據(jù)基線(xiàn)行為進(jìn)行驗(yàn)證。可以使用AWS IoT Device Shadow服務(wù)檢測(cè)設(shè)備的狀態(tài),并且可以使用AWS IoT Device Defender檢測(cè)設(shè)備異常。AWS IoT Device Defender使用規(guī)則檢測(cè)和機(jī)器學(xué)習(xí)檢測(cè)功能來(lái)確定設(shè)備的正常行為以及與基線(xiàn)的任何潛在偏差。當(dāng)檢測(cè)到異常時(shí),可以根據(jù)策略以有限的權(quán)限隔離設(shè)備,或者禁止它連接到AWS IoT Core。
5)任何資產(chǎn)都不是天生可信的。企業(yè)監(jiān)控和衡量所有自有和相關(guān)資產(chǎn)的完整性和安全狀況。企業(yè)應(yīng)在評(píng)估資源請(qǐng)求時(shí)評(píng)估資產(chǎn)的安全狀況。實(shí)施零信任的企業(yè)應(yīng)該建立一個(gè)持續(xù)的診斷和緩解系統(tǒng)來(lái)監(jiān)控、修補(bǔ)和修復(fù)設(shè)備和應(yīng)用程序的安全狀況。
AWS IoT Device Defender持續(xù)審計(jì)和監(jiān)控用戶(hù)的物聯(lián)網(wǎng)設(shè)備群,其可以采用的緩解措施如下:
將設(shè)備放置在具有有限權(quán)限的靜態(tài)對(duì)象組中;
撤銷(xiāo)權(quán)限;
隔離設(shè)備;
使用AWS IoT Jobs功能打補(bǔ)丁,并進(jìn)行無(wú)線(xiàn)更新,以保持設(shè)備健康和合規(guī);
使用AWS IoT安全隧道功能遠(yuǎn)程連接到設(shè)備進(jìn)行服務(wù)或故障排除。
6)所有資源認(rèn)證和授權(quán)都是動(dòng)態(tài)的,在允許訪(fǎng)問(wèn)之前嚴(yán)格執(zhí)行。
默認(rèn)情況下,零信任會(huì)拒絕物聯(lián)網(wǎng)設(shè)備之間的訪(fǎng)問(wèn)(包括任何API調(diào)用)。使用AWS物聯(lián)網(wǎng),通過(guò)適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)授予訪(fǎng)問(wèn)權(quán)限,其中考慮了設(shè)備的運(yùn)行狀況。零信任需要能夠跨IoT、IIoT、IT和云網(wǎng)絡(luò),檢測(cè)和響應(yīng)威脅。
7)企業(yè)盡可能多地收集有關(guān)資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信的當(dāng)前狀態(tài)信息,用于改善其安全狀況。
使用 AWS IoT Device Defender,用戶(hù)可以使用物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)對(duì)安全狀況進(jìn)行持續(xù)改進(jìn)。例如,用戶(hù)可以打開(kāi)AWS IoT Device Defender審計(jì)功能來(lái)獲取物聯(lián)網(wǎng)設(shè)備的安全基線(xiàn)。然后,用戶(hù)可以添加規(guī)則檢測(cè)或機(jī)器學(xué)習(xí)檢測(cè)功能來(lái)檢測(cè)連接設(shè)備中發(fā)現(xiàn)的異常情況,并根據(jù)檢測(cè)到的結(jié)果進(jìn)行改進(jìn)。
4.2、 Cyxtera Appgate的IOT安全
圖12、Appgate IOT安全架構(gòu)
Appgate 物聯(lián)網(wǎng)安全架構(gòu)相對(duì)來(lái)說(shuō)比較簡(jiǎn)單,Appgate采用物聯(lián)網(wǎng)連接器接入物聯(lián)網(wǎng)設(shè)備。Appgate物聯(lián)網(wǎng)連接器利用零信任的核心原則來(lái)保護(hù)非托管設(shè)備,限制橫向移動(dòng)并減少組織的攻擊面。連接器提供了對(duì)設(shè)備連接到網(wǎng)絡(luò)的方式和時(shí)間以及它們可以連接哪些網(wǎng)絡(luò)資源的精細(xì)控制。連接器與Appgate SDP完全集成,Appgate SDP是一個(gè)統(tǒng)一安全平臺(tái),在用戶(hù)設(shè)備、服務(wù)器和非托管設(shè)備上強(qiáng)制執(zhí)行一致的訪(fǎng)問(wèn)策略。
Appgate連接器是連接物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)之間的網(wǎng)關(guān)。Appgate連接器向Appgate控制器發(fā)出訪(fǎng)問(wèn)請(qǐng)求??刂破饕陨矸蒡?yàn)證質(zhì)詢(xún)進(jìn)行響應(yīng),然后根據(jù)用戶(hù)、環(huán)境和位置評(píng)估訪(fǎng)問(wèn)憑據(jù)并應(yīng)用訪(fǎng)問(wèn)策略。Appgate為每個(gè)設(shè)備會(huì)話(huà)創(chuàng)建一個(gè)動(dòng)態(tài)的“一段式”網(wǎng)絡(luò)。一旦建立連接,對(duì)資源的所有訪(fǎng)問(wèn)都會(huì)從設(shè)備通過(guò)加密的網(wǎng)絡(luò)網(wǎng)關(guān)傳輸?shù)椒?wù)器。所有訪(fǎng)問(wèn)都通過(guò)LogServer記錄,確保有一個(gè)永久的、可審計(jì)的用戶(hù)訪(fǎng)問(wèn)記錄。
4.3、 國(guó)外IOT零信任技術(shù)分析
當(dāng)前國(guó)外的IOT零信任技術(shù)分為多個(gè)流派,有以云平臺(tái)安全接入為核心的云平臺(tái)企業(yè),有以現(xiàn)有網(wǎng)絡(luò)設(shè)備或安全設(shè)備快速改造為核心的傳統(tǒng)安全企業(yè),還有以SDP技術(shù)統(tǒng)一南北向所有設(shè)備安全接入為核心的創(chuàng)新企業(yè),詳細(xì)的企業(yè)和技術(shù)對(duì)比分析如下表所示。
表7、國(guó)外IOT零信任技術(shù)對(duì)比分析
5零信任+工業(yè)互聯(lián)網(wǎng)安全
上一節(jié)我們分析了零信任技術(shù)在物聯(lián)網(wǎng)安全領(lǐng)域的成功應(yīng)用,本節(jié)聚焦在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域,如何應(yīng)用零信任技術(shù)解決企業(yè)的安全痛點(diǎn)?
5.1、零信任融入工業(yè)互聯(lián)網(wǎng)安全
當(dāng)前工業(yè)互聯(lián)網(wǎng)安全主要分為三個(gè)場(chǎng)景,工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)邊緣側(cè)安全和工業(yè)互聯(lián)網(wǎng)平臺(tái)安全。
工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全,可以采用“一個(gè)中心、三重防御”的理念,應(yīng)用統(tǒng)一安全管理平臺(tái)、工控主機(jī)衛(wèi)士、工業(yè)防火墻和工業(yè)監(jiān)測(cè)審計(jì)系統(tǒng)等系統(tǒng),采用白名單的策略實(shí)施安全防護(hù),未來(lái)可升級(jí)為零信任安全架構(gòu),在工業(yè)交換機(jī)、工業(yè)路由器和工業(yè)防火墻上引入零信任技術(shù),實(shí)現(xiàn)分區(qū)之間的微隔離和動(dòng)態(tài)訪(fǎng)問(wèn)控制。
工業(yè)互聯(lián)網(wǎng)邊緣側(cè)和工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全,可采用零信任安全架構(gòu),融入工業(yè)互聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu),解決邊緣側(cè)終端安全接入、邊緣側(cè)訪(fǎng)問(wèn)控制、隧道加密、平臺(tái)側(cè)網(wǎng)絡(luò)隱身、平臺(tái)側(cè)動(dòng)態(tài)訪(fǎng)問(wèn)控制和持續(xù)信任評(píng)估等安全痛點(diǎn)。詳細(xì)的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)如下圖所示。
圖13、基于零信任的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)圖
安全資源層:在邊緣側(cè)部署零信任邊緣網(wǎng)關(guān),通過(guò)無(wú)線(xiàn)和有線(xiàn)接入物聯(lián)網(wǎng)設(shè)備,通過(guò)4G或5G將數(shù)據(jù)上送到云端,提供物聯(lián)網(wǎng)設(shè)備準(zhǔn)入控制、身份認(rèn)證、TLS通道加密等功能,同時(shí)提供邊緣防火墻功能,保護(hù)邊緣側(cè)的物聯(lián)網(wǎng)終端。邊緣網(wǎng)關(guān),基于安全芯片的可信根,提供可信計(jì)算環(huán)境和本體安全防護(hù)。
安全服務(wù)層:在云端部署零信任安全網(wǎng)關(guān)和零信任控制器,實(shí)現(xiàn)網(wǎng)絡(luò)隱身。零信任安全網(wǎng)關(guān),提供身份校驗(yàn)、通道加密、訪(fǎng)問(wèn)控制和數(shù)據(jù)轉(zhuǎn)發(fā)等功能。零信任控制器,提供身份認(rèn)證、訪(fǎng)問(wèn)授權(quán)、持續(xù)評(píng)估和動(dòng)態(tài)策略等功能。
安全運(yùn)營(yíng)層:在云端部署密碼服務(wù)平臺(tái)和安全管控平臺(tái)。密碼服務(wù)平臺(tái)提供基于PKI體系的證書(shū)和密鑰分發(fā)等功能,證書(shū)用于零信任邊緣網(wǎng)關(guān)等設(shè)備的TLS雙向認(rèn)證,需要定期更新。安全管控平臺(tái)提供資產(chǎn)可視化、攻擊面分析、威脅檢測(cè)和安全基線(xiàn)分析等功能,輔助零信任控制器,進(jìn)行動(dòng)態(tài)訪(fǎng)問(wèn)控制。
5.2、零信任融合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)
工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)重要的組成部分,那么零信任安全架構(gòu)是否可以結(jié)合標(biāo)識(shí)解析體系提升工業(yè)互聯(lián)網(wǎng)安全?在回答該問(wèn)題之前,本節(jié)先深入理解下工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系。
工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)編碼是指能夠唯一識(shí)別機(jī)器、產(chǎn)品等物理資源以及算法、工序等虛擬資源的身份符號(hào);工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析是指能夠根據(jù)標(biāo)識(shí)編碼查詢(xún)目標(biāo)對(duì)象網(wǎng)絡(luò)位置或者相關(guān)信息的系統(tǒng)裝置,對(duì)機(jī)器和物品進(jìn)行唯一性的定位和信息查詢(xún),是實(shí)現(xiàn)全球供應(yīng)鏈系統(tǒng)和企業(yè)生產(chǎn)系統(tǒng)的精準(zhǔn)對(duì)接、產(chǎn)品全生命周期管理和智能化服務(wù)的前提和基礎(chǔ)。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的基本業(yè)務(wù)流程如下圖所示。
圖14、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的基本業(yè)務(wù)流程
(引用自工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析白皮書(shū)》)
工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析,主要解決的是設(shè)備可信身份的問(wèn)題,通過(guò)主動(dòng)標(biāo)識(shí)模組載體,為每一件產(chǎn)品分配一個(gè)數(shù)字身份證“工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)”。下表將結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的典型應(yīng)用場(chǎng)景,對(duì)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)和零信任技術(shù)融合的優(yōu)點(diǎn)進(jìn)行探討。
表8、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)和零信任技術(shù)的融合分析
通過(guò)上述分析,我們認(rèn)為零信任安全架構(gòu)融合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系可以進(jìn)一步保障工業(yè)互聯(lián)網(wǎng)安全。
6小結(jié)
通過(guò)本文的探討,我們認(rèn)為零信任安全架構(gòu)可以成功地應(yīng)用于IT、OT和IOT的安全防護(hù)場(chǎng)景。
針對(duì)IT安全防護(hù)場(chǎng)景,企業(yè)數(shù)據(jù)中心的南北向可應(yīng)用SDP技術(shù),東西向可應(yīng)用微隔離技術(shù),企業(yè)統(tǒng)一身份認(rèn)證可應(yīng)用IAM技術(shù),實(shí)現(xiàn)企業(yè)遠(yuǎn)程安全辦公、遠(yuǎn)程安全運(yùn)維和遠(yuǎn)程安全研發(fā)。
針對(duì)OT安全防護(hù)場(chǎng)景,考慮到OT的高可靠、高穩(wěn)定和高性能要求,可以將零信任安全架構(gòu)先應(yīng)用于分區(qū)邊界的微隔離。當(dāng)前流行的白名單理念是相對(duì)靜態(tài)的安全策略,一旦實(shí)施很少變動(dòng),逐步融入零信任安全理念,可實(shí)現(xiàn)持續(xù)信任評(píng)估和動(dòng)態(tài)訪(fǎng)問(wèn)控制,提升工控安全技術(shù)水平。
針對(duì)IOT安全防護(hù)場(chǎng)景,可結(jié)合物聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu),融入零信任安全架構(gòu),同時(shí)結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析技術(shù)解決物聯(lián)網(wǎng)設(shè)備可信身份認(rèn)證的問(wèn)題,提升物聯(lián)網(wǎng)邊緣側(cè)、通信網(wǎng)絡(luò)和云平臺(tái)的安全防護(hù)。
長(zhǎng)揚(yáng)科技作為工業(yè)互聯(lián)網(wǎng)安全和工控網(wǎng)絡(luò)安全領(lǐng)域的第一批踐行者,自成立以來(lái)持續(xù)深耕工業(yè)互聯(lián)網(wǎng)安全、工控網(wǎng)絡(luò)安全和“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”領(lǐng)域,為中國(guó)數(shù)字化和高質(zhì)量發(fā)展提供專(zhuān)業(yè)可靠的安全基座。在技術(shù)創(chuàng)新方面,長(zhǎng)揚(yáng)科技已申請(qǐng)獲得專(zhuān)利、軟著120余項(xiàng),自主研發(fā)了50余款產(chǎn)品,建立起一套以信創(chuàng)安全生態(tài)為底座安全,以工業(yè)安全靶場(chǎng)為能力提升手段,覆蓋工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)、工業(yè)網(wǎng)絡(luò)安全防護(hù)、工業(yè)視覺(jué)安全分析、零信任安全和數(shù)據(jù)安全的完整產(chǎn)品和服務(wù)體系。今年以來(lái),長(zhǎng)揚(yáng)科技在零信任安全領(lǐng)域持續(xù)發(fā)力,基于 “以身份為基石、業(yè)務(wù)安全訪(fǎng)問(wèn)、持續(xù)信任評(píng)估、動(dòng)態(tài)訪(fǎng)問(wèn)控制” 四大關(guān)鍵能力,為企業(yè)網(wǎng)絡(luò)構(gòu)建無(wú)邊界的數(shù)據(jù)安全防護(hù)體系,為企業(yè)遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維和遠(yuǎn)程研發(fā)測(cè)試提供數(shù)據(jù)安全保障。此外,依托零信任架構(gòu)對(duì)應(yīng)云-管-邊-端的業(yè)務(wù)體系,構(gòu)建工業(yè)物聯(lián)網(wǎng)邊緣側(cè)安全智慧管理,強(qiáng)化對(duì)邊緣側(cè)的安全保護(hù),有效防護(hù)潛在威脅。