微分段如何为物联网安全提供帮助
微分段旨在使网络安全性更加精细。下一代防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)等其他解决方案提供了一定程度的网络分段。但是通过微分段,可以将策略应用于单个工作负载,以提供更好的防御攻击。结果,与VLAN等产品相比,这些工具可提供更细粒度的流量分段。
软件定义网络(SDN)和网络虚拟化的出现,推动了微段技术的发展。通过使用与网络硬件分离的软件,与软件未与底层硬件分离相比,分段更容易实现。
由于与防火墙等外围产品相比,微分段技术能够更好地控制数据中心的流量,因此它可以阻止攻击者进入网络进行破坏。
微分段也有利于管理。研究机构IDC公司的物联网安全分析师Robyn Westervelt说:“如果可以正确地实现微分段,就可以在物联网设备和其他敏感资源之间增加一层安全性,而不会在防火墙上造成漏洞。但底层基础设施必须支持这种方法,可能需要安装新的、现代化的交换机、网关等。”
出于安全或隐私的原因将网络分成多个部分的概念并不新鲜。一段时间以来,企业一直在隔离一些关键或高风险资源。
Westervelt说,例如,网络分段在零售领域很普遍。许多商家将其支付环境与其他网络流量隔离开来,以减少支付卡行业数据安全标准(PCIDSS)的范围,该标准旨在确保企业接受、处理、存储或传输信用卡信息的一组安全标准维持安全的环境。
Westervelt说:“这并不是万无一失的,因为正如我们在零售商Target公司的数据泄露中所看到的那样,网络攻击者可以找到从一个系统跳到另一个系统的方法。这样做需要更多的技巧和资源;足以挫败许多出于经济动机的攻击者。但这是可以做到的。”
Westervelt表示,多年来,Target公司数据泄露的细节一直让人困惑。她说:“网络攻击者使用被窃取的凭证来访问Target公司用来支付其暖通空调供应商的承包商计费系统。网络攻击者在那里访问网络,并横向移动到POS(销售点)系统。”
Westervelt表示,微分段还可用于隔离虚拟环境中的关键应用程序工作负载。她说:“通过微分段这种方式,企业可以对关键工作负载设置更严格的控制,并密切监视访问和更改。”
微分段技术也被认为是工业控制系统环境中的最佳实践。Westervelt说:“企业可以使用工业防火墙和单向网关隔离分配给敏感过程的关键可编程逻辑控制器。”
在IT环境中,可以对具有全球互联网连接的新部署的运营技术(OT)进行分段,以防止网络攻击者将其用作生产系统的过渡平台或垫脚石。这就是微分段与物联网相关的地方。