首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 采用安全访问服务边缘对操作技术安全的好处

采用安全访问服务边缘对操作技术安全的好处

Krishna Das Manghat
作者: Krishna Das Manghat, 中钢协, it, CCISO, CISSP, 综援, Azure和AWS解决方案架构师, 弗雷斯特认证零信任框架专家, Iso 27001:2013, PMP
发表日期: 2022年4月28日

传统的运营技术(OT)网络是基于刚性的6级(0级到5级)普渡分层模型构建的,1 在过去的几十年里,哪一个运作良好. 然而,随着工业4.0,2 组织, 尤其是在制造业和公用事业等行业, 开始质疑其现状,并探索诸如工业物联网(IIoT)等新技术。3 利用这些好处,在竞争中保持领先地位. 然而, 这些与OT相关的较新的工业技术主要关注性能,并不一定具有足够的内置安全性. 因此, 必须探索诸如安全访问服务边缘(SASE)之类的支持技术堆栈。4 以解决差距并加强OT网络的安全性.

传统的普渡模型

基于普渡模型构建的传统OT网络由6个层次组成(图1):

  • 级别0包含物理过程设备,如传感器和执行器.
  • 1级主机现场控制器,如可编程控制器.
  • 2级主机系统包括监控和数据采集(SCADA)和人机界面(HMI).
  • 3级主机系统包括控制和监控系统:
    • 在3级和4级之间,是一个非军事区(DMZ)。5 是否配置为保护OT网络免受来自澳门赌场官方下载IT网络或通过澳门赌场官方下载IT网络的潜在攻击.
  • 第4级包括数据库服务器、应用服务器和文件服务器.
  • 第5级包括澳门赌场官方下载IT网络和系统.
  • 澳门赌场官方下载IT系统通过MPLS (multiprotocol label switching)等共享广域网(WAN)与远程OT网络以及相应的管理服务器或OT设备相连.

图1 -普渡模型
图1 -云控制所有权模型
来源:改编自阿克曼,P.; 工业网络安全:有效保护关键基础设施系统,英国Packt出版社,2017年10月18日

用传统的模型, OT网络是足够安全的,因为它们不直接暴露于WAN或Internet, 只有通过澳门赌场官方下载IT网络, 它结合了DMZ和足够的外围安全解决方案,如支持包括站点-站点虚拟专用网(vpn)在内的功能的防火墙。, 入侵检测系统, 入侵防御系统(ips), IP白名单和有效载荷加密.

工业物联网模型

IIoT是物联网(IoT)在工业领域的扩展和应用, 在哪些领域,OT网络构成了技术栈的关键部分. 工业物联网的效率和性能主要来自云计算. 采用工业物联网的组织可以利用包括灵活性和可扩展性在内的优势,并能够执行公共云计算的本地流程. 然而, 采用公共云伴随着安全问题, 特别是对于将其内部部署OT网络连接到公共云环境的组织.

基于云的IIoT运营模式, 传统的6级普渡模型已经过时,因为OT网络和澳门赌场官方下载IT网络是分开的,并且分别通过WAN/Internet直接与云连接进行管理, 编制, 监测与控制. 这种连通性如图所示 图2,主要关注性能.

图2 -工业物联网模型
图2 -工业物联网模型

然而, 这种新模型还带来了一个关键的安全问题,因为对OT网络中的网关的成功攻击和破坏可能会使整个OT基础设施暴露在攻击之下. 因此,必须在三种类型的网站/网络中添加足够的护栏:

  1. OT网络站点,由物理OT设备组成.g.(执行器和传感器)和可编程控制器
  2. 澳门赌场官方下载IT站点
  3. 云, 哪个托管组织的OT和IT平台服务进行管理, 存储, 编制, 监测与控制

添加防护的传统最佳实践涉及实现纵深防御(DiD)策略,即将安全解决方案一个接一个地添加到另一个解决方案之上,以便在多个级别上减轻或防止攻击. 虽然这种方法是有效的, 它对运行it和OT环境的组织提出了挑战. 这类组织面临的三大挑战是高资本支出和运营成本, 管理复杂性和糟糕的用户体验.

添加护栏的传统最佳实践涉及实现纵深防御策略,即将安全解决方案一个接一个地添加到另一个解决方案之上,以便在多个级别上减轻或防止攻击.

SASE:另一种方法

随着SASE的出现, 一种用于将WAN和安全控制作为云计算服务交付的技术,6 采用工业原则的组织.0和IIoT可以应用基于零信任网络访问的单一解决方案, 利用VPN等功能, 软件定义广域网(SD-WAN)7 以及云原生安全功能,如安全web网关, 云访问安全代理(casb)和防火墙. SASE解决采用传统深度防御方法的组织所面临的三大挑战的方法包括:

  • SASE解决方案是基于许可证的. 这些许可证提供了适合各种规模的组织的选项,并根据其需求合理定价. 与传统模式相比,许多运行IT和OT网络的组织已经实现了基于单一许可证的低总体拥有成本(TCO)和更低的维护成本.
  • 许多SASE供应商提供单个窗格来管理业务流程, 可见性, 监测与控制. 这是至关重要的,因为它允许组织在更短的窗口内执行包括变更管理、事件管理和响应在内的活动, 确保可用性, 对于OT环境来说,CIA三位一体最重要的方面是什么.8
  • SASE解决方案提供改进的用户体验,同时使用高效的零信任架构维护安全护栏.

结论

组织, 尤其是在制造业和公用事业等行业, 他们的目标是通过采用工业4.0的原则来改变自己.我理解将安全作为转型核心的必要性. 然而, 遵循DiD策略的传统方法是昂贵的, 复杂且不友好. 因此,组织考虑采用SASE体系结构是至关重要的. SASE, 所有的网络和安全功能都嵌入在一个软件堆栈中, 帮助组织解决关键的安全问题, 降低TCO, 简化管理,提升用户体验.

作者的注意

本文中表达的观点和观点是作者的,不代表任何官方立场, 作者雇主的政策或观点.

1 阿克曼,P.; 工业网络安全:有效保护关键基础设施系统,英国Packt出版社,2017年10月18日
2  摩尔,米.; "什么是工业4.0? 你需要知道的一切," TechRadar2020年1月2日
3 波西,B.; L. Rosencrance.; “工业物联网(IIoT),” TechRadar2022年3月
4 Korolov, M.; “什么是SASE? 将SD-WAN与安全性相结合的云服务,” 网络世界2020年9月8日
5 Lutkevich B.; “组网中的DMZ,” TechTarget2021年7月
6 Op cit Korolov
7  Irei,.; “SD-WAN(软件定义广域网),” TechTarget2021年4月
8  柴,W.; “机密性、完整性和可用性(CIA三合会),” TechTarget2021年1月

Krishna Das Manghat, 中钢协, it, CCISO, CISSP, 综援, Azure和AWS解决方案架构师, 弗雷斯特认证零信任框架专家, Iso 27001:2013, PMP

是毕马威澳大利亚的副董事吗. 他提供与网络安全相关的咨询和战略服务. 他专门研究网络战略和治理以及网络防御服务. 他曾协助过包括制造业在内的许多部门的组织, 零售, 政府及公营机构, 银行, 电信, 技术, 以及澳大利亚和亚太地区的公用事业. 上海是云安全和关键基础设施服务线路的国家网络领导者. 他也是一名活动发言人,ISACA的董事会成员® 悉尼(澳大利亚)分会和澳大利亚新南威尔士大学导师. 他是ISACA等组织发布的网络安全内容的作者和专家审稿人. Manghat热衷于帮助组织发现自己的优势和劣势,并帮助他们制定战略路线图,以实现他们的业务目标. 他通过研究与制造商分享这些知识, 咨询顾问, 教育服务和标准建议.