1零信任安全簡(jiǎn)介

云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)安全邊界逐漸瓦解，內(nèi)外部威脅愈演愈烈，傳統(tǒng)的邊界安全難以應(yīng)對(duì)，零信任安全應(yīng)運(yùn)而生。

零信任安全代表了新一代網(wǎng)絡(luò)安全防護(hù)理念，并非指某種單一的安全技術(shù)或產(chǎn)品，其目標(biāo)是為了降低資源訪問(wèn)過(guò)程中的安全風(fēng)險(xiǎn)，防止在未經(jīng)授權(quán)情況下的資源訪問(wèn)，其關(guān)鍵是打破信任和網(wǎng)絡(luò)位置的默認(rèn)綁定關(guān)系。

圖1、NIST零信任安全框架圖

在零信任安全理念下，網(wǎng)絡(luò)位置不再?zèng)Q定訪問(wèn)權(quán)限，在訪問(wèn)被允許之前，所有訪問(wèn)主體都需要經(jīng)過(guò)身份認(rèn)證和授權(quán)。身份認(rèn)證不再僅僅針對(duì)用戶(hù)，還將對(duì)終端設(shè)備、應(yīng)用軟件等多種身份進(jìn)行多維度、關(guān)聯(lián)性的識(shí)別和認(rèn)證，并且在訪問(wèn)過(guò)程中可以根據(jù)需要，多次發(fā)起身份認(rèn)證。授權(quán)決策不再僅僅基于網(wǎng)絡(luò)位置、用戶(hù)角色或?qū)傩缘葌鹘y(tǒng)靜態(tài)訪問(wèn)控制模型，而是通過(guò)持續(xù)的安全監(jiān)測(cè)和信任評(píng)估，進(jìn)行動(dòng)態(tài)、細(xì)粒度的授權(quán)。

2零信任成功應(yīng)用于IT安全

圖2、IT數(shù)據(jù)中心的南北向和東西向流量

零信任安全架構(gòu)已經(jīng)成功地應(yīng)用到IT安全領(lǐng)域，成功解決了IT數(shù)據(jù)中心南北向和東西向安全防護(hù)的痛點(diǎn)。當(dāng)前零信任的落地技術(shù)主要有三個(gè)：軟件定義邊界(Software Defined Perimeter，簡(jiǎn)稱(chēng)SDP)、身份識(shí)別與訪問(wèn)管理(Identity and Access Management，簡(jiǎn)稱(chēng)IAM)和微隔離(Micro Segmentation，簡(jiǎn)稱(chēng)MSG)。SDP和IAM的技術(shù)結(jié)合，解決了企業(yè)遠(yuǎn)程安全辦公、遠(yuǎn)程安全運(yùn)維和遠(yuǎn)程安全研發(fā)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全問(wèn)題，也解決了數(shù)據(jù)中心南北向網(wǎng)絡(luò)隱身、身份認(rèn)證和訪問(wèn)控制的難題。MSG技術(shù)，解決了數(shù)據(jù)中心東西向流量可視化、訪問(wèn)控制和策略自適應(yīng)的難題。

表1、國(guó)外零信任SaaS的典型企業(yè)

SDP是由國(guó)際云安全聯(lián)盟CSA于2013年提出的基于零信任理念的新一代網(wǎng)絡(luò)安全技術(shù)架構(gòu)。SDP以預(yù)認(rèn)證和預(yù)授權(quán)作為它的兩個(gè)基本支柱。通過(guò)在單數(shù)據(jù)包到達(dá)目標(biāo)服務(wù)器之前對(duì)用戶(hù)和設(shè)備進(jìn)行身份驗(yàn)證和授權(quán)，SDP可以在網(wǎng)絡(luò)層上執(zhí)行最小權(quán)限原則，可以顯著地縮小攻擊面。

圖3、基于SDP的南北向安全防護(hù)

SDP架構(gòu)由客戶(hù)端、安全網(wǎng)關(guān)和控制中心三個(gè)主要組件組成。客戶(hù)端和安全網(wǎng)關(guān)之間的連接是通過(guò)控制中心與安全控制通道的信息交互來(lái)管理的。該結(jié)構(gòu)使得控制平面與數(shù)據(jù)平面保持分離，以便實(shí)現(xiàn)完全可擴(kuò)展的安全系統(tǒng)。此外，SDP架構(gòu)的所有組件都可以集群部署，用于擴(kuò)容或提高系統(tǒng)穩(wěn)定運(yùn)行時(shí)間。

微隔離的概念最早由VMware在發(fā)布NSX產(chǎn)品時(shí)正式提出。從2016年開(kāi)始，微隔離項(xiàng)目連續(xù)3年被評(píng)為全球十大安全項(xiàng)目之一，并在2018年的 《Hype Cycle for Threat-Facing Technologies》(威脅應(yīng)對(duì)技術(shù)成熟度曲線)中首次超過(guò)下一代防火墻(NGFW)。

圖4、微隔離技術(shù)的領(lǐng)先者illumio產(chǎn)品的東西向流量可視化

微隔離是在數(shù)據(jù)中心和云平臺(tái)中以創(chuàng)建安全區(qū)域的方式，隔離工作流，并對(duì)其進(jìn)行單獨(dú)保護(hù)，目的是讓網(wǎng)絡(luò)安全更具粒度化。微隔離是一種能夠識(shí)別和管理數(shù)據(jù)中心與云平臺(tái)內(nèi)部流量的隔離技術(shù)。對(duì)于微隔離，其核心是對(duì)全部東西向流量的可視化識(shí)別與訪問(wèn)控制。微隔離是一種典型的軟件定義安全結(jié)構(gòu)。它的策略是由一個(gè)統(tǒng)一的計(jì)算平臺(tái)來(lái)計(jì)算的，而且需要根據(jù)虛擬化環(huán)境的變化，做實(shí)時(shí)的自適應(yīng)策略重算。

當(dāng)前比較流行的SDP和微隔離技術(shù)，均是典型的軟件定義安全的技術(shù)。以零信任技術(shù)為核心的安全產(chǎn)品，正在越來(lái)越多地應(yīng)用到IT安全的各個(gè)領(lǐng)域。

3零信任是否適用于OT安全？

零信任安全架構(gòu)在IT安全領(lǐng)域取得成功后，是否適用于OT安全?在回答這個(gè)問(wèn)題之前，我們先分析下國(guó)內(nèi)外OT安全的當(dāng)前現(xiàn)狀和新探索。

3.1、國(guó)內(nèi)OT安全現(xiàn)狀及思考

國(guó)內(nèi)的OT安全市場(chǎng)當(dāng)前以白名單理念為主，產(chǎn)品和解決方案主要圍繞等保2.0，以“一個(gè)中心、三重防御”為思路，產(chǎn)品主要包括：工控主機(jī)衛(wèi)士、工業(yè)防火墻、工業(yè)網(wǎng)閘、工業(yè)監(jiān)測(cè)審計(jì)系統(tǒng)、統(tǒng)一安全管理平臺(tái)等。在國(guó)內(nèi)，零信任安全架構(gòu)尚未應(yīng)用到OT安全領(lǐng)域，假設(shè)在白名單產(chǎn)品的基礎(chǔ)上應(yīng)用零信任安全架構(gòu)，安全產(chǎn)品將獲得哪些提升?下表將探討零信任安全架構(gòu)如何應(yīng)用于OT安全產(chǎn)品。

表2、零信任安全架構(gòu)應(yīng)用于OT安全產(chǎn)品的思考

3.2、國(guó)外OT安全現(xiàn)狀及新探索

國(guó)外的OT安全市場(chǎng)當(dāng)前百家爭(zhēng)鳴，包括但不限于：專(zhuān)注白名單的工業(yè)防火墻，專(zhuān)注物理上單向傳輸?shù)墓I(yè)網(wǎng)閘，專(zhuān)注工業(yè)流量全面可視化的下一代防火墻，基于零信任架構(gòu)的工控安全解決方案等。

表3、國(guó)外OT安全的典型企業(yè)和產(chǎn)品

3.2.1、思科零信任OT解決方案

本文重點(diǎn)關(guān)注OT安全的新探索，思科基于零信任架構(gòu)的工控安全解決方案。

圖5、思科基于零信任架構(gòu)的工控安全解決方案

思科零信任工控安全解決方案的組件如下表所示，主要包括：思科工業(yè)交換機(jī)和路由器及運(yùn)行在上面的Cyber Vision傳感器、Cyber Vision中心、ISE身份服務(wù)引擎、Secure X安全編排引擎、思科工業(yè)防火墻、思科DNA中心。

表4、思科零信任工控安全解決方案的組件

OT網(wǎng)絡(luò)的零信任之路如下：

第1步：識(shí)別端點(diǎn)并建立初始信任

Cyber Vision傳感器嵌入網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器和網(wǎng)關(guān))，收集流經(jīng)工業(yè)基礎(chǔ)設(shè)施的數(shù)據(jù)包 。該傳感器結(jié)合使用被動(dòng)和主動(dòng)發(fā)現(xiàn)技術(shù)，利用工業(yè)協(xié)議的先進(jìn)知識(shí)，通過(guò)深度數(shù)據(jù)包檢測(cè)，對(duì)數(shù)據(jù)包有效載荷進(jìn)行解碼和分析。Cyber Vision能夠分析每個(gè)端點(diǎn)，詳細(xì)描述其與其他端點(diǎn)和資源的交互，并構(gòu)建資產(chǎn)清單。

圖6、Cyber Vision中心從網(wǎng)絡(luò)中收集數(shù)據(jù)

Cyber Vision傳感器易于在OT網(wǎng)絡(luò)中部署，因?yàn)樗鼈冊(cè)谒伎乒I(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上作為軟件運(yùn)行，不需要單獨(dú)的設(shè)備，但如果OT網(wǎng)絡(luò)由無(wú)法運(yùn)行傳感器的設(shè)備組成，則可以使用專(zhuān)用設(shè)備。傳感器將有關(guān)連接端點(diǎn)的數(shù)據(jù)發(fā)送到被稱(chēng)為Cyber Vision Center的中央儀表板中，該儀表板可以幫助用戶(hù)以類(lèi)似地圖的格式，可視化每個(gè)端點(diǎn)及其與其他端點(diǎn)的交互。該地圖視圖對(duì)于OT團(tuán)隊(duì)根據(jù)實(shí)際的工業(yè)過(guò)程邏輯對(duì)端點(diǎn)進(jìn)行分組特別有用，因此它可以根據(jù)不同的組與組之間的通信來(lái)構(gòu)建策略。

第2步：定義和驗(yàn)證訪問(wèn)策略

在網(wǎng)絡(luò)中定義有效的訪問(wèn)策略需要IT和OT團(tuán)隊(duì)之間的協(xié)作。

ISA99/IEC 62443工業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)將區(qū)域定義為具有類(lèi)似安全要求、清晰物理邊界和需要相互對(duì)話的設(shè)備組。例如，汽車(chē)工廠可能有一條焊接生產(chǎn)線和一條噴漆生產(chǎn)線。焊接設(shè)備沒(méi)有理由需要與油漆車(chē)間的設(shè)備交互。如果一個(gè)區(qū)域內(nèi)的設(shè)備受到感染，將每個(gè)設(shè)備放置在自己的區(qū)域內(nèi)可以限制任何損壞。如果不同區(qū)域的設(shè)備確實(shí)需要相互通信，則管道定義了允許的有限交互。訪問(wèn)策略將OT網(wǎng)絡(luò)中的區(qū)域和管道形式化。

Cyber Vision可以直接與ISE集成。一旦OT管理員在Cyber Vision中對(duì)資產(chǎn)進(jìn)行分組，該信息將自動(dòng)與ISE共享。ISE可以利用資產(chǎn)詳細(xì)信息和分組來(lái)確定必須應(yīng)用的安全策略。可以將端點(diǎn)分配到適當(dāng)?shù)膮^(qū)域，并使用可擴(kuò)展組標(biāo)簽標(biāo)記其通信，該標(biāo)簽使網(wǎng)絡(luò)設(shè)備能夠定義和實(shí)施適當(dāng)?shù)脑L問(wèn)策略。

第3步：驗(yàn)證合規(guī)性策略

在執(zhí)行策略之前，需要對(duì)其進(jìn)行驗(yàn)證。DNA Center提供了一個(gè)儀表板，用于可視化從ISE學(xué)習(xí)到的組之間的交互。DNA Center還為每個(gè)交互提供了詳細(xì)信息，如應(yīng)用程序、協(xié)議、端口號(hào)等。有了這些信息，用戶(hù)可以根據(jù)需要調(diào)整定義的策略，以確保它們不會(huì)妨礙任何合法的交互。

圖7、DNA中心提供組間流量的可視化映射

第4步：通過(guò)網(wǎng)絡(luò)分段加強(qiáng)信任

一旦策略得到驗(yàn)證，用戶(hù)可以使用易用的矩陣在DNA Center或ISE中編寫(xiě)它們，其中每個(gè)單元定義了源和目標(biāo)組之間允許的通信。在該矩陣中，同一區(qū)域內(nèi)的端點(diǎn)可以彼此自由交互，但不能與其他區(qū)域中的端點(diǎn)交互。例如，雖然制造車(chē)間區(qū)域中的端點(diǎn)可以相互通信，但它們不能與焊接車(chē)間區(qū)域中的端點(diǎn)通信。每個(gè)分區(qū)中的端點(diǎn)可以與制造執(zhí)行系統(tǒng)通信，但僅受管道定義的約束。

圖8、DNA中心使用矩陣定義策略

定義的策略現(xiàn)在發(fā)送給ISE，ISE依次配置工業(yè)交換機(jī)和路由器，以根據(jù)連接到該端口的端點(diǎn)的情況，對(duì)其每個(gè)端口強(qiáng)制執(zhí)行策略限制。應(yīng)用這些策略對(duì)網(wǎng)絡(luò)進(jìn)行分段，使每個(gè)分區(qū)都受到保護(hù)，分區(qū)之間的通信通過(guò)定義的管道得到嚴(yán)格控制。

定義、驗(yàn)證和強(qiáng)制執(zhí)行訪問(wèn)規(guī)則的過(guò)程使OT能夠控制其安全標(biāo)準(zhǔn)。一旦實(shí)現(xiàn)了這個(gè)過(guò)程，添加新的端點(diǎn)和根據(jù)需求變化修改策略就變得很容易了。例如，如果未來(lái)需要在生產(chǎn)車(chē)間和裝配線之間進(jìn)行某些通信，則可以在策略矩陣中定義新策略，并輕松地重新配置基礎(chǔ)設(shè)施。

第5步：不斷驗(yàn)證信任

Cyber Vision不斷評(píng)估連接端點(diǎn)的安全狀況。它會(huì)自動(dòng)計(jì)算每個(gè)端點(diǎn)的風(fēng)險(xiǎn)評(píng)分，以幫助安全管理員主動(dòng)限制對(duì)工業(yè)過(guò)程的威脅。風(fēng)險(xiǎn)評(píng)分是威脅的可能性及其潛在影響的乘積，其中可能性取決于資產(chǎn)類(lèi)型、漏洞和對(duì)外部 IP 地址的暴露，影響取決于資產(chǎn)類(lèi)型及其對(duì)工業(yè)過(guò)程的重要性。

匯總各個(gè)風(fēng)險(xiǎn)評(píng)分以評(píng)估工業(yè)區(qū)的安全狀況，并更容易確定糾正措施的優(yōu)先級(jí)，例如應(yīng)用漏洞補(bǔ)丁或安裝工業(yè)防火墻，從而確保工業(yè)端點(diǎn)的安全。

圖9、Cyber Vision根據(jù)其潛在影響和發(fā)生的可能性評(píng)估風(fēng)險(xiǎn)

但是，即使將風(fēng)險(xiǎn)保持在最低水平并且正確執(zhí)行了訪問(wèn)策略，后續(xù)攻擊也有可能突破區(qū)域，感染SCADA、PLC和HMI等控制系統(tǒng)。此類(lèi)感染可能導(dǎo)致這些控制器對(duì)工業(yè)設(shè)備的控制行為發(fā)生改變，導(dǎo)致生產(chǎn)質(zhì)量問(wèn)題、停產(chǎn)，甚至損壞機(jī)器和生產(chǎn)基礎(chǔ)設(shè)施。因此，必須持續(xù)監(jiān)控所有此類(lèi)控制器，以發(fā)現(xiàn)任何可能表明它們已被入侵的異常行為的跡象。Cyber Vision 分析所有工業(yè)通信內(nèi)容，并使用先進(jìn)的基線引擎跟蹤異常行為。

第6步：降低風(fēng)險(xiǎn)

IT有兩種方法來(lái)處理端點(diǎn)中已識(shí)別的風(fēng)險(xiǎn)。它們可以通過(guò)降低其訪問(wèn)權(quán)限或關(guān)閉它所連接的交換機(jī)端口來(lái)有效地將端點(diǎn)從網(wǎng)絡(luò)中刪除。這些方法可能適用于有問(wèn)題的打印機(jī)或電子郵件服務(wù)，可以使它們?cè)谛迯?fù)時(shí)暫時(shí)脫機(jī)，但在OT中顯然不是一個(gè)選項(xiàng)，因?yàn)闄C(jī)器不能簡(jiǎn)單地停在其軌道上。減輕工業(yè)環(huán)境中已識(shí)別的威脅需要IT和OT安全團(tuán)隊(duì)之間的密切合作。

雖然需要根據(jù)威脅的影響來(lái)評(píng)估對(duì)每個(gè)威脅的適當(dāng)響應(yīng)，但 IT 和 OT 團(tuán)隊(duì)?wèi)?yīng)事先制定一份行動(dòng)手冊(cè)，在發(fā)現(xiàn)漏洞時(shí)立即執(zhí)行。緩解決策可能超出了工具的能力，因此必須建立關(guān)鍵決策的指揮鏈。例如要將需要停止生產(chǎn)的情況以及相關(guān)責(zé)任人記錄在案。

SecureX提供了一種單一平臺(tái)的安全方法。它與關(guān)鍵安全工具集成，并在這些工具之間提供所需的編排，以執(zhí)行用戶(hù)定義的工作流。

3.2.2、思科零信任OT解決方案的分析

思科的零信任OT解決方案，結(jié)合了思科工業(yè)交換機(jī)、工業(yè)路由器等網(wǎng)絡(luò)設(shè)備，將Cyber Vision傳感器嵌入網(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)了對(duì)端點(diǎn)和端點(diǎn)之間資源交互的實(shí)時(shí)跟蹤，并構(gòu)建了資產(chǎn)清單。傳感器將有關(guān)連接端點(diǎn)的數(shù)據(jù)發(fā)送到Cyber Vision中心。借鑒IEC 62443，在Cyber Vision中心，訪問(wèn)策略將OT網(wǎng)絡(luò)中的區(qū)域和管道形式化 ，資產(chǎn)放置在區(qū)域內(nèi)，跨區(qū)域之間的通信通過(guò)管道連接。Cyber Vision可以直接與ISE集成，ISE可以利用資產(chǎn)詳細(xì)信息和分組來(lái)確定必須應(yīng)用的安全策略。在執(zhí)行策略之前，可以使用DNA中心的儀表板對(duì)安全策略進(jìn)行驗(yàn)證，該儀表板用于可視化ISE學(xué)習(xí)到的分組之間的交互。策略驗(yàn)證后，用戶(hù)可以在DNA中心使用矩陣定義安全策略。定義的策略發(fā)送給ISE，ISE依次配置工業(yè)交換機(jī)和路由器，對(duì)網(wǎng)絡(luò)設(shè)備上的每個(gè)端口強(qiáng)制執(zhí)行策略限制。應(yīng)用安全策略對(duì)網(wǎng)絡(luò)進(jìn)行分段，保護(hù)每個(gè)分區(qū)，分區(qū)之間的通信通過(guò)管道嚴(yán)格管控。Cyber Vision不斷評(píng)估連接端點(diǎn)的安全狀況，自動(dòng)計(jì)算每個(gè)端點(diǎn)的風(fēng)險(xiǎn)評(píng)分，以幫助安全管理員主動(dòng)限制對(duì)工業(yè)過(guò)程的威脅。最后，利用SecureX進(jìn)行安全策略編排，類(lèi)似于SOAR，降低OT環(huán)境中的風(fēng)險(xiǎn)。

思科的零信任OT解決方案，利用網(wǎng)絡(luò)設(shè)備作為安全分區(qū)的邊界，分區(qū)之間的通信通過(guò)管道嚴(yán)格管控，網(wǎng)絡(luò)設(shè)備上配置傳感器，學(xué)習(xí)端點(diǎn)和端點(diǎn)之間的交互，便于自適應(yīng)安全策略的生成和用戶(hù)的驗(yàn)證。這種方案設(shè)計(jì)很巧妙，可以理解為基于網(wǎng)絡(luò)設(shè)備的微隔離技術(shù)，而非IT領(lǐng)域的基于端點(diǎn)的微隔離技術(shù)。

表5、思科零信任工控安全解決方案的優(yōu)劣勢(shì)分析

4零信任成功應(yīng)用于IOT安全

物聯(lián)網(wǎng)應(yīng)用系統(tǒng)模型，包括三部分：服務(wù)端系統(tǒng)、終端系統(tǒng)和通信網(wǎng)絡(luò)。物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)主要集中在服務(wù)端、終端和通信網(wǎng)絡(luò)三個(gè)方面。

圖10、物聯(lián)網(wǎng)應(yīng)用系統(tǒng)模型

(引用自中國(guó)信通院《物聯(lián)網(wǎng)安全白皮書(shū)》)

1)物聯(lián)網(wǎng)服務(wù)端安全風(fēng)險(xiǎn)

1、服務(wù)端存儲(chǔ)大量用戶(hù)數(shù)據(jù)，易成為攻擊焦點(diǎn);

2、服務(wù)端多數(shù)部署于云平臺(tái)之上，南北向業(yè)務(wù)API接口開(kāi)放、應(yīng)用邏輯多樣，容易引入風(fēng)險(xiǎn);

3、云平臺(tái)主要采用虛擬化和容器技術(shù)，東西向存在內(nèi)網(wǎng)滲透風(fēng)險(xiǎn)。

2)物聯(lián)網(wǎng)終端安全風(fēng)險(xiǎn)

1、終端自身安全風(fēng)險(xiǎn)，存在口令被破解、設(shè)備被入侵、惡意軟件感染等風(fēng)險(xiǎn);

2、終端網(wǎng)絡(luò)接入風(fēng)險(xiǎn)，終端多處于邊緣側(cè)，存在設(shè)備假冒、非法設(shè)備接入等風(fēng)險(xiǎn);

3、終端數(shù)據(jù)安全風(fēng)險(xiǎn)，存在隱私數(shù)據(jù)泄露、數(shù)據(jù)被竊取等風(fēng)險(xiǎn);

4、終端生產(chǎn)安全風(fēng)險(xiǎn)，存在數(shù)據(jù)被篡改、服務(wù)中斷等風(fēng)險(xiǎn)。

3)物聯(lián)網(wǎng)通信網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

1、通信網(wǎng)絡(luò)未加密，存在數(shù)據(jù)被竊聽(tīng)、數(shù)據(jù)被篡改等風(fēng)險(xiǎn);

2、通信網(wǎng)絡(luò)非授權(quán)接入，存在非法接入、網(wǎng)絡(luò)劫持等風(fēng)險(xiǎn);

3、通信網(wǎng)絡(luò)易受到拒絕服務(wù)攻擊等風(fēng)險(xiǎn)。

SDP技術(shù)用于解決南北向的安全問(wèn)題，結(jié)合物聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu)，可以通過(guò)可信終端接入、可信鏈路傳輸、可信資源權(quán)限、持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制等方式解決南北向的安全隱患。微隔離技術(shù)用于解決東西向的安全問(wèn)題，可以解決物聯(lián)網(wǎng)云平臺(tái)內(nèi)部的東西向安全隱患。

國(guó)外安全企業(yè)已經(jīng)將零信任安全架構(gòu)成功地應(yīng)用于IOT安全。下表列舉了國(guó)外零信任IOT安全的典型企業(yè)，下面本節(jié)將重點(diǎn)分析典型案例。

表6、國(guó)外零信任IOT安全的典型企業(yè)

4.1、亞馬遜AWS的IOT安全

圖11、AWS IOT安架構(gòu)

AWS物聯(lián)網(wǎng)通過(guò)以下七條原則幫助用戶(hù)采用基于NIST 800-207的零信任架構(gòu)。

1)所有數(shù)據(jù)源和計(jì)算服務(wù)都是資源。

AWS將客戶(hù)的數(shù)據(jù)源和計(jì)算服務(wù)作為資源建模。AWS IoT Core和AWS IoT Greengrass是包含客戶(hù)資源的服務(wù)，物聯(lián)網(wǎng)設(shè)備需要安全調(diào)用這些服務(wù)。每個(gè)連接的設(shè)備必須具有與物聯(lián)網(wǎng)服務(wù)交互的憑據(jù)，所有進(jìn)出的流量都使用TLS安全傳輸。

2)無(wú)論網(wǎng)絡(luò)位置如何，所有通信都是安全的。

通過(guò)使用TLS認(rèn)證和授權(quán)API調(diào)用，設(shè)備和云服務(wù)之間的所有通信都受到保護(hù)。當(dāng)設(shè)備連接到其他設(shè)備或云服務(wù)時(shí)，它必須通過(guò)使用 X.509 證書(shū)、安全令牌和自定義授權(quán)人等主體進(jìn)行身份驗(yàn)證來(lái)建立信任。除了身份認(rèn)證外，零信任還需要在連接到AWS IoT Core后控制設(shè)備操作的最小訪問(wèn)權(quán)限。

AWS提供設(shè)備軟件以允許物聯(lián)網(wǎng)設(shè)備安全地連接到云中的其他設(shè)備和服務(wù)。AWS IoT Greengrass 對(duì)本地和云通信的設(shè)備數(shù)據(jù)進(jìn)行身份驗(yàn)證和加密。FreeRTOS 支持 TLS 1.2 以實(shí)現(xiàn)安全通信，并支持 PKCS #11 以用于保護(hù)存儲(chǔ)憑據(jù)的加密元素。

3)在每個(gè)會(huì)話的基礎(chǔ)上授予對(duì)單個(gè)企業(yè)資源的訪問(wèn)權(quán)限，并在授予訪問(wèn)權(quán)限之前使用最小權(quán)限評(píng)估信任。

AWS物聯(lián)網(wǎng)服務(wù)和API調(diào)用基于每個(gè)會(huì)話授予對(duì)資源的訪問(wèn)權(quán)限。物聯(lián)網(wǎng)設(shè)備必須通過(guò) AWS IoT Core 進(jìn)行身份驗(yàn)證并獲得授權(quán)，然后才能執(zhí)行操作。每次設(shè)備連接到 AWS IoT Core 時(shí)，它都會(huì)出示其設(shè)備證書(shū)或自定義授權(quán)人以通過(guò)身份驗(yàn)證。在這個(gè)過(guò)程中，物聯(lián)網(wǎng)策略被強(qiáng)制檢查，設(shè)備是否被授權(quán)訪問(wèn)它所請(qǐng)求的資源，并且該授權(quán)僅對(duì)當(dāng)前會(huì)話有效。下次設(shè)備連接時(shí)，它會(huì)執(zhí)行相同的步驟。

4)對(duì)資源的訪問(wèn)由動(dòng)態(tài)策略確定，包括客戶(hù)端身份、應(yīng)用程序和服務(wù)以及請(qǐng)求資產(chǎn)的健康狀況，所有這些都可能包括其他行為和環(huán)境屬性。

零信任的核心原則是在進(jìn)行風(fēng)險(xiǎn)評(píng)估以及可接受行為獲得批準(zhǔn)之前，不應(yīng)授予任何設(shè)備訪問(wèn)其他設(shè)備和應(yīng)用程序的權(quán)限。這一原則完全適用于物聯(lián)網(wǎng)設(shè)備，因?yàn)樗鼈儽举|(zhì)上具有有限、穩(wěn)定和可預(yù)測(cè)的行為特點(diǎn)，并且可以使用它們的行為來(lái)衡量設(shè)備的健康狀況。

一旦確定，每個(gè)物聯(lián)網(wǎng)設(shè)備都應(yīng)在被授予訪問(wèn)網(wǎng)絡(luò)中其它設(shè)備和應(yīng)用程序的權(quán)限之前，根據(jù)基線行為進(jìn)行驗(yàn)證。可以使用AWS IoT Device Shadow服務(wù)檢測(cè)設(shè)備的狀態(tài)，并且可以使用AWS IoT Device Defender檢測(cè)設(shè)備異常。AWS IoT Device Defender使用規(guī)則檢測(cè)和機(jī)器學(xué)習(xí)檢測(cè)功能來(lái)確定設(shè)備的正常行為以及與基線的任何潛在偏差。當(dāng)檢測(cè)到異常時(shí)，可以根據(jù)策略以有限的權(quán)限隔離設(shè)備，或者禁止它連接到AWS IoT Core。

5)任何資產(chǎn)都不是天生可信的。企業(yè)監(jiān)控和衡量所有自有和相關(guān)資產(chǎn)的完整性和安全狀況。企業(yè)應(yīng)在評(píng)估資源請(qǐng)求時(shí)評(píng)估資產(chǎn)的安全狀況。實(shí)施零信任的企業(yè)應(yīng)該建立一個(gè)持續(xù)的診斷和緩解系統(tǒng)來(lái)監(jiān)控、修補(bǔ)和修復(fù)設(shè)備和應(yīng)用程序的安全狀況。

AWS IoT Device Defender持續(xù)審計(jì)和監(jiān)控用戶(hù)的物聯(lián)網(wǎng)設(shè)備群，其可以采用的緩解措施如下：

將設(shè)備放置在具有有限權(quán)限的靜態(tài)對(duì)象組中;

撤銷(xiāo)權(quán)限;

隔離設(shè)備;

使用AWS IoT Jobs功能打補(bǔ)丁，并進(jìn)行無(wú)線更新，以保持設(shè)備健康和合規(guī);

使用AWS IoT安全隧道功能遠(yuǎn)程連接到設(shè)備進(jìn)行服務(wù)或故障排除。

6)所有資源認(rèn)證和授權(quán)都是動(dòng)態(tài)的，在允許訪問(wèn)之前嚴(yán)格執(zhí)行。

默認(rèn)情況下，零信任會(huì)拒絕物聯(lián)網(wǎng)設(shè)備之間的訪問(wèn)(包括任何API調(diào)用)。使用AWS物聯(lián)網(wǎng)，通過(guò)適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)授予訪問(wèn)權(quán)限，其中考慮了設(shè)備的運(yùn)行狀況。零信任需要能夠跨IoT、IIoT、IT和云網(wǎng)絡(luò)，檢測(cè)和響應(yīng)威脅。

7)企業(yè)盡可能多地收集有關(guān)資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信的當(dāng)前狀態(tài)信息，用于改善其安全狀況。

使用 AWS IoT Device Defender，用戶(hù)可以使用物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)對(duì)安全狀況進(jìn)行持續(xù)改進(jìn)。例如，用戶(hù)可以打開(kāi)AWS IoT Device Defender審計(jì)功能來(lái)獲取物聯(lián)網(wǎng)設(shè)備的安全基線。然后，用戶(hù)可以添加規(guī)則檢測(cè)或機(jī)器學(xué)習(xí)檢測(cè)功能來(lái)檢測(cè)連接設(shè)備中發(fā)現(xiàn)的異常情況，并根據(jù)檢測(cè)到的結(jié)果進(jìn)行改進(jìn)。

4.2、 Cyxtera Appgate的IOT安全

圖12、Appgate IOT安全架構(gòu)

Appgate 物聯(lián)網(wǎng)安全架構(gòu)相對(duì)來(lái)說(shuō)比較簡(jiǎn)單，Appgate采用物聯(lián)網(wǎng)連接器接入物聯(lián)網(wǎng)設(shè)備。Appgate物聯(lián)網(wǎng)連接器利用零信任的核心原則來(lái)保護(hù)非托管設(shè)備，限制橫向移動(dòng)并減少組織的攻擊面。連接器提供了對(duì)設(shè)備連接到網(wǎng)絡(luò)的方式和時(shí)間以及它們可以連接哪些網(wǎng)絡(luò)資源的精細(xì)控制。連接器與Appgate SDP完全集成，Appgate SDP是一個(gè)統(tǒng)一安全平臺(tái)，在用戶(hù)設(shè)備、服務(wù)器和非托管設(shè)備上強(qiáng)制執(zhí)行一致的訪問(wèn)策略。

Appgate連接器是連接物聯(lián)網(wǎng)設(shè)備和網(wǎng)絡(luò)之間的網(wǎng)關(guān)。Appgate連接器向Appgate控制器發(fā)出訪問(wèn)請(qǐng)求。控制器以身份驗(yàn)證質(zhì)詢(xún)進(jìn)行響應(yīng)，然后根據(jù)用戶(hù)、環(huán)境和位置評(píng)估訪問(wèn)憑據(jù)并應(yīng)用訪問(wèn)策略。Appgate為每個(gè)設(shè)備會(huì)話創(chuàng)建一個(gè)動(dòng)態(tài)的“一段式”網(wǎng)絡(luò)。一旦建立連接，對(duì)資源的所有訪問(wèn)都會(huì)從設(shè)備通過(guò)加密的網(wǎng)絡(luò)網(wǎng)關(guān)傳輸?shù)椒?wù)器。所有訪問(wèn)都通過(guò)LogServer記錄，確保有一個(gè)永久的、可審計(jì)的用戶(hù)訪問(wèn)記錄。

4.3、 國(guó)外IOT零信任技術(shù)分析

當(dāng)前國(guó)外的IOT零信任技術(shù)分為多個(gè)流派，有以云平臺(tái)安全接入為核心的云平臺(tái)企業(yè)，有以現(xiàn)有網(wǎng)絡(luò)設(shè)備或安全設(shè)備快速改造為核心的傳統(tǒng)安全企業(yè)，還有以SDP技術(shù)統(tǒng)一南北向所有設(shè)備安全接入為核心的創(chuàng)新企業(yè)，詳細(xì)的企業(yè)和技術(shù)對(duì)比分析如下表所示。

表7、國(guó)外IOT零信任技術(shù)對(duì)比分析

5零信任+工業(yè)互聯(lián)網(wǎng)安全

上一節(jié)我們分析了零信任技術(shù)在物聯(lián)網(wǎng)安全領(lǐng)域的成功應(yīng)用，本節(jié)聚焦在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域，如何應(yīng)用零信任技術(shù)解決企業(yè)的安全痛點(diǎn)?

5.1、零信任融入工業(yè)互聯(lián)網(wǎng)安全

當(dāng)前工業(yè)互聯(lián)網(wǎng)安全主要分為三個(gè)場(chǎng)景，工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全、工業(yè)互聯(lián)網(wǎng)邊緣側(cè)安全和工業(yè)互聯(lián)網(wǎng)平臺(tái)安全。

工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)安全，可以采用“一個(gè)中心、三重防御”的理念，應(yīng)用統(tǒng)一安全管理平臺(tái)、工控主機(jī)衛(wèi)士、工業(yè)防火墻和工業(yè)監(jiān)測(cè)審計(jì)系統(tǒng)等系統(tǒng)，采用白名單的策略實(shí)施安全防護(hù)，未來(lái)可升級(jí)為零信任安全架構(gòu)，在工業(yè)交換機(jī)、工業(yè)路由器和工業(yè)防火墻上引入零信任技術(shù)，實(shí)現(xiàn)分區(qū)之間的微隔離和動(dòng)態(tài)訪問(wèn)控制。

工業(yè)互聯(lián)網(wǎng)邊緣側(cè)和工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全，可采用零信任安全架構(gòu)，融入工業(yè)互聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu)，解決邊緣側(cè)終端安全接入、邊緣側(cè)訪問(wèn)控制、隧道加密、平臺(tái)側(cè)網(wǎng)絡(luò)隱身、平臺(tái)側(cè)動(dòng)態(tài)訪問(wèn)控制和持續(xù)信任評(píng)估等安全痛點(diǎn)。詳細(xì)的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)如下圖所示。

圖13、基于零信任的工業(yè)互聯(lián)網(wǎng)安全架構(gòu)圖

安全資源層：在邊緣側(cè)部署零信任邊緣網(wǎng)關(guān)，通過(guò)無(wú)線和有線接入物聯(lián)網(wǎng)設(shè)備，通過(guò)4G或5G將數(shù)據(jù)上送到云端，提供物聯(lián)網(wǎng)設(shè)備準(zhǔn)入控制、身份認(rèn)證、TLS通道加密等功能，同時(shí)提供邊緣防火墻功能，保護(hù)邊緣側(cè)的物聯(lián)網(wǎng)終端。邊緣網(wǎng)關(guān)，基于安全芯片的可信根，提供可信計(jì)算環(huán)境和本體安全防護(hù)。

安全服務(wù)層：在云端部署零信任安全網(wǎng)關(guān)和零信任控制器，實(shí)現(xiàn)網(wǎng)絡(luò)隱身。零信任安全網(wǎng)關(guān)，提供身份校驗(yàn)、通道加密、訪問(wèn)控制和數(shù)據(jù)轉(zhuǎn)發(fā)等功能。零信任控制器，提供身份認(rèn)證、訪問(wèn)授權(quán)、持續(xù)評(píng)估和動(dòng)態(tài)策略等功能。

安全運(yùn)營(yíng)層：在云端部署密碼服務(wù)平臺(tái)和安全管控平臺(tái)。密碼服務(wù)平臺(tái)提供基于PKI體系的證書(shū)和密鑰分發(fā)等功能，證書(shū)用于零信任邊緣網(wǎng)關(guān)等設(shè)備的TLS雙向認(rèn)證，需要定期更新。安全管控平臺(tái)提供資產(chǎn)可視化、攻擊面分析、威脅檢測(cè)和安全基線分析等功能，輔助零信任控制器，進(jìn)行動(dòng)態(tài)訪問(wèn)控制。

5.2、零信任融合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)重要的組成部分，那么零信任安全架構(gòu)是否可以結(jié)合標(biāo)識(shí)解析體系提升工業(yè)互聯(lián)網(wǎng)安全?在回答該問(wèn)題之前，本節(jié)先深入理解下工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系。

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)編碼是指能夠唯一識(shí)別機(jī)器、產(chǎn)品等物理資源以及算法、工序等虛擬資源的身份符號(hào);工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析是指能夠根據(jù)標(biāo)識(shí)編碼查詢(xún)目標(biāo)對(duì)象網(wǎng)絡(luò)位置或者相關(guān)信息的系統(tǒng)裝置，對(duì)機(jī)器和物品進(jìn)行唯一性的定位和信息查詢(xún)，是實(shí)現(xiàn)全球供應(yīng)鏈系統(tǒng)和企業(yè)生產(chǎn)系統(tǒng)的精準(zhǔn)對(duì)接、產(chǎn)品全生命周期管理和智能化服務(wù)的前提和基礎(chǔ)。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的基本業(yè)務(wù)流程如下圖所示。

圖14、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的基本業(yè)務(wù)流程

(引用自工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析白皮書(shū)》)

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析，主要解決的是設(shè)備可信身份的問(wèn)題，通過(guò)主動(dòng)標(biāo)識(shí)模組載體，為每一件產(chǎn)品分配一個(gè)數(shù)字身份證“工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)”。下表將結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的典型應(yīng)用場(chǎng)景，對(duì)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)和零信任技術(shù)融合的優(yōu)點(diǎn)進(jìn)行探討。

表8、工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)和零信任技術(shù)的融合分析

通過(guò)上述分析，我們認(rèn)為零信任安全架構(gòu)融合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系可以進(jìn)一步保障工業(yè)互聯(lián)網(wǎng)安全。

6小結(jié)

通過(guò)本文的探討，我們認(rèn)為零信任安全架構(gòu)可以成功地應(yīng)用于IT、OT和IOT的安全防護(hù)場(chǎng)景。

針對(duì)IT安全防護(hù)場(chǎng)景，企業(yè)數(shù)據(jù)中心的南北向可應(yīng)用SDP技術(shù)，東西向可應(yīng)用微隔離技術(shù)，企業(yè)統(tǒng)一身份認(rèn)證可應(yīng)用IAM技術(shù)，實(shí)現(xiàn)企業(yè)遠(yuǎn)程安全辦公、遠(yuǎn)程安全運(yùn)維和遠(yuǎn)程安全研發(fā)。

針對(duì)OT安全防護(hù)場(chǎng)景，考慮到OT的高可靠、高穩(wěn)定和高性能要求，可以將零信任安全架構(gòu)先應(yīng)用于分區(qū)邊界的微隔離。當(dāng)前流行的白名單理念是相對(duì)靜態(tài)的安全策略，一旦實(shí)施很少變動(dòng)，逐步融入零信任安全理念，可實(shí)現(xiàn)持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制，提升工控安全技術(shù)水平。

針對(duì)IOT安全防護(hù)場(chǎng)景，可結(jié)合物聯(lián)網(wǎng)云-管-邊-端的體系結(jié)構(gòu)，融入零信任安全架構(gòu)，同時(shí)結(jié)合工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析技術(shù)解決物聯(lián)網(wǎng)設(shè)備可信身份認(rèn)證的問(wèn)題，提升物聯(lián)網(wǎng)邊緣側(cè)、通信網(wǎng)絡(luò)和云平臺(tái)的安全防護(hù)。

長(zhǎng)揚(yáng)科技作為工業(yè)互聯(lián)網(wǎng)安全和工控網(wǎng)絡(luò)安全領(lǐng)域的第一批踐行者，自成立以來(lái)持續(xù)深耕工業(yè)互聯(lián)網(wǎng)安全、工控網(wǎng)絡(luò)安全和“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”領(lǐng)域，為中國(guó)數(shù)字化和高質(zhì)量發(fā)展提供專(zhuān)業(yè)可靠的安全基座。在技術(shù)創(chuàng)新方面，長(zhǎng)揚(yáng)科技已申請(qǐng)獲得專(zhuān)利、軟著120余項(xiàng)，自主研發(fā)了50余款產(chǎn)品，建立起一套以信創(chuàng)安全生態(tài)為底座安全，以工業(yè)安全靶場(chǎng)為能力提升手段，覆蓋工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)、工業(yè)網(wǎng)絡(luò)安全防護(hù)、工業(yè)視覺(jué)安全分析、零信任安全和數(shù)據(jù)安全的完整產(chǎn)品和服務(wù)體系。今年以來(lái)，長(zhǎng)揚(yáng)科技在零信任安全領(lǐng)域持續(xù)發(fā)力，基于 “以身份為基石、業(yè)務(wù)安全訪問(wèn)、持續(xù)信任評(píng)估、動(dòng)態(tài)訪問(wèn)控制” 四大關(guān)鍵能力，為企業(yè)網(wǎng)絡(luò)構(gòu)建無(wú)邊界的數(shù)據(jù)安全防護(hù)體系，為企業(yè)遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維和遠(yuǎn)程研發(fā)測(cè)試提供數(shù)據(jù)安全保障。此外，依托零信任架構(gòu)對(duì)應(yīng)云-管-邊-端的業(yè)務(wù)體系，構(gòu)建工業(yè)物聯(lián)網(wǎng)邊緣側(cè)安全智慧管理，強(qiáng)化對(duì)邊緣側(cè)的安全保護(hù)，有效防護(hù)潛在威脅。