5）任何資產(chǎn)都不是天生可信的。企業(yè)監(jiān)控和衡量所有自有和相關(guān)資產(chǎn)的完整性和安全狀況。企業(yè)應(yīng)在評估資源請求時評估資產(chǎn)的安全狀況。實(shí)施零信任的企業(yè)應(yīng)該建立一個持續(xù)的診斷和緩解系統(tǒng)來監(jiān)控、修補(bǔ)和修復(fù)設(shè)備和應(yīng)用程序的安全狀況。

AWS IoT Device Defender持續(xù)審計和監(jiān)控用戶的物聯(lián)網(wǎng)設(shè)備群，其可以采用的緩解措施如下：

將設(shè)備放置在具有有限權(quán)限的靜態(tài)對象組中；

撤銷權(quán)限；

隔離設(shè)備；

使用AWS IoT Jobs功能打補(bǔ)丁，并進(jìn)行無線更新，以保持設(shè)備健康和合規(guī)；

使用AWS IoT安全隧道功能遠(yuǎn)程連接到設(shè)備進(jìn)行服務(wù)或故障排除。

6）所有資源認(rèn)證和授權(quán)都是動態(tài)的，在允許訪問之前嚴(yán)格執(zhí)行。

默認(rèn)情況下，零信任會拒絕物聯(lián)網(wǎng)設(shè)備之間的訪問（包括任何API調(diào)用）。使用AWS物聯(lián)網(wǎng)，通過適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)授予訪問權(quán)限，其中考慮了設(shè)備的運(yùn)行狀況。零信任需要能夠跨IoT、IIoT、IT和云網(wǎng)絡(luò)，檢測和響應(yīng)威脅。

7）企業(yè)盡可能多地收集有關(guān)資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信的當(dāng)前狀態(tài)信息，用于改善其安全狀況。

使用 AWS IoT Device Defender，用戶可以使用物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)對安全狀況進(jìn)行持續(xù)改進(jìn)。例如，用戶可以打開AWS IoT Device Defender審計功能來獲取物聯(lián)網(wǎng)設(shè)備的安全基線。然后，用戶可以添加規(guī)則檢測或機(jī)器學(xué)習(xí)檢測功能來檢測連接設(shè)備中發(fā)現(xiàn)的異常情況，并根據(jù)檢測到的結(jié)果進(jìn)行改進(jìn)。

4.2、 Cyxtera Appgate的IOT安全

圖12、Appgate IOT安全架構(gòu)

Appgate 物聯(lián)網(wǎng)安全架構(gòu)相對來說比較簡單，Appgate采用物聯(lián)網(wǎng)連接器接入物聯(lián)網(wǎng)設(shè)備。Appgate物聯(lián)網(wǎng)連接器利用零信任的核心原則來保護(hù)非托管設(shè)備，限制橫向移動并減少組織的攻擊面。連接器提供了對設(shè)備連接到網(wǎng)絡(luò)的方式和時間以及它們可以連接哪些網(wǎng)絡(luò)資源的精細(xì)控制。連接器與Appgate SDP完全集成，Appgate SDP是一個統(tǒng)一安全平臺，在用戶設(shè)備、服務(wù)器和非托管設(shè)備上強(qiáng)制執(zhí)行一致的訪問策略。

Appgate連接器是連接物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)之間的網(wǎng)關(guān)。Appgate連接器向Appgate控制器發(fā)出訪問請求。控制器以身份驗(yàn)證質(zhì)詢進(jìn)行響應(yīng)，然后根據(jù)用戶、環(huán)境和位置評估訪問憑據(jù)并應(yīng)用訪問策略。Appgate為每個設(shè)備會話創(chuàng)建一個動態(tài)的“一段式”網(wǎng)絡(luò)。一旦建立連接，對資源的所有訪問都會從設(shè)備通過加密的網(wǎng)絡(luò)網(wǎng)關(guān)傳輸?shù)椒��?wù)器。所有訪問都通過LogServer記錄，確保有一個永久的、可審計的用戶訪問記錄。

4.3、 國外IOT零信任技術(shù)分析

當(dāng)前國外的IOT零信任技術(shù)分為多個流派，有以云平臺安全接入為核心的云平臺企業(yè)，有以現(xiàn)有網(wǎng)絡(luò)設(shè)備或安全設(shè)備快速改造為核心的傳統(tǒng)安全企業(yè)，還有以SDP技術(shù)統(tǒng)一南北向所有設(shè)備安全接入為核心的創(chuàng)新企業(yè)，詳細(xì)的企業(yè)和技術(shù)對比分析如下表所示。

表7、國外IOT零信任技術(shù)對比分析

5零信任+工業(yè)互聯(lián)網(wǎng)安全

上一節(jié)我們分析了零信任技術(shù)在物聯(lián)網(wǎng)安全領(lǐng)域的成功應(yīng)用，本節(jié)聚焦在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，如何應(yīng)用零信任技術(shù)解決企業(yè)的安全痛點(diǎn)？