IoT（物聯網）有望為企業帶來很多好處，例如，企業更深入地了解資產和成品的性能，改進制造過程，更好為客戶提供服務等。然而，與物聯網相關的煩人的安全問題仍然讓企業萬分擔憂，在某些情況下，可能會阻礙企業繼續推進項目。至少能緩解一些物聯網安全風險的可行方案是微分段技術，專家稱，這一網絡概念有助于讓物聯網環境受控。

采用微分段技術，企業可以在其數據中心和云環境中創建安全區域，使工作負載相互隔離，并分別進行保護。在物聯網環境中，微分段技術可以讓企業更好地控制設備之間越來越多的橫向數據流，而不再是僅采用以周界防護為主的安全工具。

對于企業來說，將微分段技術應用于物聯網可能還為時過早，但業內觀察人士認為，物聯網的部署有可能促使企業采用微分段技術，以實現比傳統防火墻更精細、更簡單的保護措施。

物聯網帶來新的安全風險

物聯網安全風險可能包括很多威脅，例如，聯網設備本身、支持物聯網的軟件以及實現所有連接的網絡等。

隨著物聯網部署的增長，安全威脅也在增加。據研究公司Ponemon研究所和風險管理服務公司圣達菲集團（Santa Fe Group）的報告，自2017年以來，與物聯網相關的數據泄露事件“急劇”增加。讓問題更復雜的是，很多企業并不清楚其環境中以及第三方供應商提供的哪些物聯網設備是不安全的。Ponemon的研究表明，很多企業沒有集中的責任機制來應對或者管理物聯網風險，大部分企業擔心他們的數據在未來24個月內會被泄露。

對于醫療等行業來說，物聯網安全風險可能尤其嚴重，因為設備通過網絡收集和共享了大量的敏感信息。在研究公司Vanson Bourne調查的232家醫療機構中，82%的機構在過去一年中經歷過以物聯網為目標的網絡攻擊。當被問及在醫療機構中最突出的漏洞是什么時，網絡被提及的頻率最高（50%），其次是移動設備和相應的應用程序（45%），以及物聯網設備（42%）。

微分段技術怎樣提升物聯網安全？

微分段的設計是為了使網絡安全更加精細化。下一代防火墻、虛擬局域網（VLAN）和訪問控制列表（ACL）等其他解決方案在一定程度上也進行了網絡分段。但是，采用微分段技術，策略被應用于每個工作負載，能更好地防止攻擊。結果，與VLAN等技術相比，這些工具能夠對數據流進行更細粒度的分段。

軟件定義網絡（SDN）和網絡虛擬化的出現，推動了微分段技術的發展。通過使用與網絡硬件分離的軟件，與軟件未與底層硬件分離相比，微分段技術實現起來更容易。

與防火墻等以周界防護為主的技術相比，微分段技術能夠更好地控制數據中心的數據流，因此它可以阻止攻擊者進入網絡進行破壞。

分段也有利于管理。研究公司IDC的物聯網安全分析師Robyn Westervelt介紹說：“如果能正確地實現微分段，就可以在物聯網設備和其他敏感資源之間增加一層安全防護，不會在防火墻上出現漏洞。但底層基礎設施必須支持這種方法，可能需要安裝新的、現代化的交換機和網關等。”

出于安全或者隱私的考慮，將網絡分成多個部分的概念并不新鮮。一段時間以來，企業一直在隔離一些關鍵或者高風險的資源。

Westervelt說，例如，網絡分段在零售業很常見。很多商家將其支付環境與其他網絡數據流隔離開來，以便在合適的范圍內應用支付卡行業數據安全標準（PCI DSS），這一套安全標準旨在為接受、處理、存儲和傳輸信用卡信息的企業維護一個安全的環境。

Westervelt說：“這并非萬無一失，因為正如我們在零售商Target的數據泄露事件中看到的，攻擊者能夠找到從一個系統跳到另一個系統的其他方法。然而，這需要豐富的經驗和資源，足以讓很多出于經濟動機的攻擊者望而止步。但還是有人能得手。” 

Westervelt介紹說，這些年來，一直不是非常清楚Target泄露事件的細節。她說：“攻擊者利用被盜的證書，進入了Target公司用來向其暖通空調供應商支付費用的承包商計費系統。從那里，他們進入了網絡，并橫向移動到POS（銷售點）系統。”

Westervelt說，微分段技術還可以用來隔離虛擬環境中的關鍵應用程序工作負載。她說：“這就是我在‘微分段’背景下所想到的。通過這種方式，你可以對關鍵工作負載設置更嚴格的控制措施，并密切監視對其進行的訪問和更改。”

該技術也被認為是工業控制系統環境中的最佳實踐。Westervelt說：“一家企業可以使用工業防火墻和單向網關隔離分配給敏感過程的關鍵可編程邏輯控制器。”

在IT環境中，可以對連接了互聯網的新部署的運維技術（OT）進行分段，以防止攻擊者將其作為進入生產系統的跳板或者墊腳石。這就是微分段與物聯網相關聯的地方。

Westervelt說：“這些OT技術包括現代建筑管理系統、太陽能電池板、電梯傳感器以及包括滅火系統在內的物理安全機制。目前，還沒有充分認識到這一領域的重要性，但我們看到一些大型銀行和金融服務公司在數據中心設施中降低了與這些OT技術相關的風險。”

網絡專家說，將微分段作為廣泛的物聯網安全策略的一部分而進行部署是非常有意義的。

獨立信息安全顧問Kevin Beaver認為：“這種網絡模型允許對網絡系統進行更細粒度的控制，并在發現安全漏洞時，更好地進行隔離。這些優點不僅有助于提高安全可見性和控制能力，而且還有助于事件響應和取證。”

研究公司Gartner的主任分析師Jon Amato說，這項技術“可能是將物聯網網絡與IT系統分割開來的一種非常有效的方式。微分段技術創建‘虛擬分段’的能力非常有用，即使跨過多個物理位置，也能將各類設備彼此分開。”

Amato說，這也很符合美國國土安全部（DHS）等組織的物聯網安全指南。國土安全部在其《物聯網安全戰略原則》報告中建議，企業應權衡聯網的好處及其帶來的風險。

報告稱：“物聯網用戶，特別是在工業環境中，鑒于物聯網設備的使用及其遭受破壞所帶來的風險，應慎重考慮設備是否需要一直聯網。物聯網用戶還可以通過小心謹慎地連接，并權衡物聯網設備可能遭到破壞或者失效的風險，以及限制聯網的成本，從而遏制網絡連接可能帶來的威脅。”

Amato說，微分段非常符合這個建議。他說：“僅僅創建一個物聯網分段（我稱之為物聯網沼澤）還遠遠不夠，還需要將這些設備彼此分割開來。而且，很多物聯網設備缺乏基于主機的控制機制，因此只能通過微分段等外部化的解決方案來實現這一點。”

物聯網安全微分段起步緩慢

Amato說，盡管很有優勢，但迄今為止，似乎還沒有廣泛采用微分段技術來實現物聯網安全。

Amato說：“我所看到的是，只有那些已經擁有成熟的物聯網安全計劃的企業才采用微分段技術，或者將現有的項目擴展到物聯網領域。”

對于大多數企業來說，Amato認為：“簡單地將IT和物聯網分開是他們目前的最佳選擇。有時候，盡力而為就已經足夠好了。這很有用，我看到很多企業對此都很有興致。但是，在研究了使之全面工作所需付出的努力之后，真正為物聯網進行微分段的企業少之又少。”

Beaver說，對于構建物聯網基礎設施的企業來說，重要的是要考慮他們是否真的需要針對物聯網安全進行微分段。

Beaver說：“必須確定目前的風險等級和業務流程。每一項新技術或者新控制措施都會帶來意想不到的后果。與零信任模型相關的其他復雜因素會影響企業的安全項目，從而抵消任何可能的好處嗎？”

一個好的做法是徹底了解物聯網將怎樣影響企業中的所有網絡，以便確定保證數據安全傳輸的最佳方法。

Beaver說：“制定的安全標準和政策不僅是可執行的，而且實際上是強制執行的——涵蓋了物聯網。在控制上要聰明。如果你從基于風險的角度來看待這個問題，并誓言要盡量降低網絡復雜度，那就必須能夠控制好自己的物聯網環境。”

作者：Bob Violino目前在紐約，是Computerworld、CIO、CSO、InfoWorld和Network World的特約撰稿人。

編譯：Charles

原文網址：https://www.networkworld.com/article/3442753/iot-can-be-a-security-minefield-can-microsegmentation-help.html

責任編輯：周星如