長(zhǎng)揚(yáng)科技：零信任安全架構(gòu)在IT、OT和IOT領(lǐng)域的應(yīng)用

第6步：降低風(fēng)險(xiǎn)

IT有兩種方法來處理端點(diǎn)中已識(shí)別的風(fēng)險(xiǎn)。它們可以通過降低其訪問權(quán)限或關(guān)閉它所連接的交換機(jī)端口來有效地將端點(diǎn)從網(wǎng)絡(luò)中刪除。這些方法可能適用于有問題的打印機(jī)或電子郵件服務(wù)，可以使它們?cè)谛迯?fù)時(shí)暫時(shí)脫機(jī)，但在OT中顯然不是一個(gè)選項(xiàng)，因?yàn)闄C(jī)器不能簡(jiǎn)單地停在其軌道上。減輕工業(yè)環(huán)境中已識(shí)別的威脅需要IT和OT安全團(tuán)隊(duì)之間的密切合作。

雖然需要根據(jù)威脅的影響來評(píng)估對(duì)每個(gè)威脅的適當(dāng)響應(yīng)，但 IT 和 OT 團(tuán)隊(duì)?wèi)?yīng)事先制定一份行動(dòng)手冊(cè)，在發(fā)現(xiàn)漏洞時(shí)立即執(zhí)行。緩解決策可能超出了工具的能力，因此必須建立關(guān)鍵決策的指揮鏈。例如要將需要停止生產(chǎn)的情況以及相關(guān)責(zé)任人記錄在案。

SecureX提供了一種單一平臺(tái)的安全方法。它與關(guān)鍵安全工具集成，并在這些工具之間提供所需的編排，以執(zhí)行用戶定義的工作流。

3.2.2、思科零信任OT解決方案的分析

思科的零信任OT解決方案，結(jié)合了思科工業(yè)交換機(jī)、工業(yè)路由器等網(wǎng)絡(luò)設(shè)備，將Cyber Vision傳感器嵌入網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)了對(duì)端點(diǎn)和端點(diǎn)之間資源交互的實(shí)時(shí)跟蹤，并構(gòu)建了資產(chǎn)清單。傳感器將有關(guān)連接端點(diǎn)的數(shù)據(jù)發(fā)送到Cyber Vision中心。借鑒IEC 62443，在Cyber Vision中心，訪問策略將OT網(wǎng)絡(luò)中的區(qū)域和管道形式化 ，資產(chǎn)放置在區(qū)域內(nèi)，跨區(qū)域之間的通信通過管道連接。Cyber Vision可以直接與ISE集成，ISE可以利用資產(chǎn)詳細(xì)信息和分組來確定必須應(yīng)用的安全策略。在執(zhí)行策略之前，可以使用DNA中心的儀表板對(duì)安全策略進(jìn)行驗(yàn)證，該儀表板用于可視化ISE學(xué)習(xí)到的分組之間的交互。策略驗(yàn)證后，用戶可以在DNA中心使用矩陣定義安全策略。定義的策略發(fā)送給ISE，ISE依次配置工業(yè)交換機(jī)和路由器，對(duì)網(wǎng)絡(luò)設(shè)備上的每個(gè)端口強(qiáng)制執(zhí)行策略限制。應(yīng)用安全策略對(duì)網(wǎng)絡(luò)進(jìn)行分段，保護(hù)每個(gè)分區(qū)，分區(qū)之間的通信通過管道嚴(yán)格管控。Cyber Vision不斷評(píng)估連接端點(diǎn)的安全狀況，自動(dòng)計(jì)算每個(gè)端點(diǎn)的風(fēng)險(xiǎn)評(píng)分，以幫助安全管理員主動(dòng)限制對(duì)工業(yè)過程的威脅。最后，利用SecureX進(jìn)行安全策略編排，類似于SOAR，降低OT環(huán)境中的風(fēng)險(xiǎn)。

思科的零信任OT解決方案，利用網(wǎng)絡(luò)設(shè)備作為安全分區(qū)的邊界，分區(qū)之間的通信通過管道嚴(yán)格管控，網(wǎng)絡(luò)設(shè)備上配置傳感器，學(xué)習(xí)端點(diǎn)和端點(diǎn)之間的交互，便于自適應(yīng)安全策略的生成和用戶的驗(yàn)證。這種方案設(shè)計(jì)很巧妙，可以理解為基于網(wǎng)絡(luò)設(shè)備的微隔離技術(shù)，而非IT領(lǐng)域的基于端點(diǎn)的微隔離技術(shù)。

表5、思科零信任工控安全解決方案的優(yōu)劣勢(shì)分析

      4零信任成功應(yīng)用于IOT安全

物聯(lián)網(wǎng)應(yīng)用系統(tǒng)模型，包括三部分：服務(wù)端系統(tǒng)、終端系統(tǒng)和通信網(wǎng)絡(luò)。物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)主要集中在服務(wù)端、終端和通信網(wǎng)絡(luò)三個(gè)方面。

圖10、物聯(lián)網(wǎng)應(yīng)用系統(tǒng)模型

（引用自中國(guó)信通院《物聯(lián)網(wǎng)安全白皮書》）

1）物聯(lián)網(wǎng)服務(wù)端安全風(fēng)險(xiǎn)

1、服務(wù)端存儲(chǔ)大量用戶數(shù)據(jù)，易成為攻擊焦點(diǎn)；

2、服務(wù)端多數(shù)部署于云平臺(tái)之上，南北向業(yè)務(wù)API接口開放、應(yīng)用邏輯多樣，容易引入風(fēng)險(xiǎn)；

3、云平臺(tái)主要采用虛擬化和容器技術(shù)，東西向存在內(nèi)網(wǎng)滲透風(fēng)險(xiǎn)。

2）物聯(lián)網(wǎng)終端安全風(fēng)險(xiǎn)

1、終端自身安全風(fēng)險(xiǎn)，存在口令被破解、設(shè)備被入侵、惡意軟件感染等風(fēng)險(xiǎn)；

2、終端網(wǎng)絡(luò)接入風(fēng)險(xiǎn)，終端多處于邊緣側(cè)，存在設(shè)備假冒、非法設(shè)備接入等風(fēng)險(xiǎn)；

3、終端數(shù)據(jù)安全風(fēng)險(xiǎn)，存在隱私數(shù)據(jù)泄露、數(shù)據(jù)被竊取等風(fēng)險(xiǎn)；

4、終端生產(chǎn)安全風(fēng)險(xiǎn)，存在數(shù)據(jù)被篡改、服務(wù)中斷等風(fēng)險(xiǎn)。

3）物聯(lián)網(wǎng)通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

1、通信網(wǎng)絡(luò)未加密，存在數(shù)據(jù)被竊聽、數(shù)據(jù)被篡改等風(fēng)險(xiǎn)；

2、通信網(wǎng)絡(luò)非授權(quán)接入，存在非法接入、網(wǎng)絡(luò)劫持等風(fēng)險(xiǎn)；

3、通信網(wǎng)絡(luò)易受到拒絕服務(wù)攻擊等風(fēng)險(xiǎn)。

SDP技術(shù)用于解決南北向的安全問題，結(jié)合物聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu)，可以通過可信終端接入、可信鏈路傳輸、可信資源權(quán)限、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問控制等方式解決南北向的安全隱患。微隔離技術(shù)用于解決東西向的安全問題，可以解決物聯(lián)網(wǎng)云平臺(tái)內(nèi)部的東西向安全隱患。

國(guó)外安全企業(yè)已經(jīng)將零信任安全架構(gòu)成功地應(yīng)用于IOT安全。下表列舉了國(guó)外零信任IOT安全的典型企業(yè)，下面本節(jié)將重點(diǎn)分析典型案例。

表6、國(guó)外零信任IOT安全的典型企業(yè)

4.1、亞馬遜AWS的IOT安全

圖11、AWS IOT安架構(gòu)

AWS物聯(lián)網(wǎng)通過以下七條原則幫助用戶采用基于NIST 800-207的零信任架構(gòu)。

1）所有數(shù)據(jù)源和計(jì)算服務(wù)都是資源。

AWS將客戶的數(shù)據(jù)源和計(jì)算服務(wù)作為資源建模。AWS IoT Core和AWS IoT Greengrass是包含客戶資源的服務(wù)，物聯(lián)網(wǎng)設(shè)備需要安全調(diào)用這些服務(wù)。每個(gè)連接的設(shè)備必須具有與物聯(lián)網(wǎng)服務(wù)交互的憑據(jù)，所有進(jìn)出的流量都使用TLS安全傳輸。

2）無論網(wǎng)絡(luò)位置如何，所有通信都是安全的。

通過使用TLS認(rèn)證和授權(quán)API調(diào)用，設(shè)備和云服務(wù)之間的所有通信都受到保護(hù)。當(dāng)設(shè)備連接到其他設(shè)備或云服務(wù)時(shí)，它必須通過使用 X.509 證書、安全令牌和自定義授權(quán)人等主體進(jìn)行身份驗(yàn)證來建立信任。除了身份認(rèn)證外，零信任還需要在連接到AWS IoT Core后控制設(shè)備操作的最小訪問權(quán)限。

AWS提供設(shè)備軟件以允許物聯(lián)網(wǎng)設(shè)備安全地連接到云中的其他設(shè)備和服務(wù)。AWS IoT Greengrass 對(duì)本地和云通信的設(shè)備數(shù)據(jù)進(jìn)行身份驗(yàn)證和加密。FreeRTOS 支持 TLS 1.2 以實(shí)現(xiàn)安全通信，并支持 PKCS #11 以用于保護(hù)存儲(chǔ)憑據(jù)的加密元素。

3）在每個(gè)會(huì)話的基礎(chǔ)上授予對(duì)單個(gè)企業(yè)資源的訪問權(quán)限，并在授予訪問權(quán)限之前使用最小權(quán)限評(píng)估信任。

AWS物聯(lián)網(wǎng)服務(wù)和API調(diào)用基于每個(gè)會(huì)話授予對(duì)資源的訪問權(quán)限。物聯(lián)網(wǎng)設(shè)備必須通過 AWS IoT Core 進(jìn)行身份驗(yàn)證并獲得授權(quán)，然后才能執(zhí)行操作。每次設(shè)備連接到 AWS IoT Core 時(shí)，它都會(huì)出示其設(shè)備證書或自定義授權(quán)人以通過身份驗(yàn)證。在這個(gè)過程中，物聯(lián)網(wǎng)策略被強(qiáng)制檢查，設(shè)備是否被授權(quán)訪問它所請(qǐng)求的資源，并且該授權(quán)僅對(duì)當(dāng)前會(huì)話有效。下次設(shè)備連接時(shí)，它會(huì)執(zhí)行相同的步驟。

4）對(duì)資源的訪問由動(dòng)態(tài)策略確定，包括客戶端身份、應(yīng)用程序和服務(wù)以及請(qǐng)求資產(chǎn)的健康狀況，所有這些都可能包括其他行為和環(huán)境屬性。

零信任的核心原則是在進(jìn)行風(fēng)險(xiǎn)評(píng)估以及可接受行為獲得批準(zhǔn)之前，不應(yīng)授予任何設(shè)備訪問其他設(shè)備和應(yīng)用程序的權(quán)限。這一原則完全適用于物聯(lián)網(wǎng)設(shè)備，因?yàn)樗鼈儽举|(zhì)上具有有限、穩(wěn)定和可預(yù)測(cè)的行為特點(diǎn)，并且可以使用它們的行為來衡量設(shè)備的健康狀況。

一旦確定，每個(gè)物聯(lián)網(wǎng)設(shè)備都應(yīng)在被授予訪問網(wǎng)絡(luò)中其它設(shè)備和應(yīng)用程序的權(quán)限之前，根據(jù)基線行為進(jìn)行驗(yàn)證。可以使用AWS IoT Device Shadow服務(wù)檢測(cè)設(shè)備的狀態(tài)，并且可以使用AWS IoT Device Defender檢測(cè)設(shè)備異常。AWS IoT Device Defender使用規(guī)則檢測(cè)和機(jī)器學(xué)習(xí)檢測(cè)功能來確定設(shè)備的正常行為以及與基線的任何潛在偏差。當(dāng)檢測(cè)到異常時(shí)，可以根據(jù)策略以有限的權(quán)限隔離設(shè)備，或者禁止它連接到AWS IoT Core。