將數據中心使用的微隔離技術 (MicroSegmentation) 作為 IoT 物聯網安全策略的一部分進行部署，可以實現對網絡系統更細粒度的控制，并實現更好的隔離。

[[287065]]

隨著等保 2.0 將物聯網和工控系統納入等級保護監管，處于起步階段的物聯網和工控安全將迎來快速發展。與此同時，隨著物聯網部署的快速增長，該領域面臨的安全威脅也越來越大。根據研究公司 Ponemon Institute 和風險管理服務公司 The Santa Fe Group 的報告，自2017 年以來，與 IoT 相關的數據泄露事件 “急劇” 增加。使問題進一步復雜化的是，大多數企業并不了解其環境中(包括)第三方供應商的每一個 IoT 設備或應用程序的安全性。Ponemon 的研究表明，許多組織沒有解決或管理物聯網風險的集中責任制，并且大多數人認為他們的數據將在未來 24 個月內遭到破壞。

IoT 安全風險對于醫療等行業而言尤為嚴峻，因為終端設備會通過網絡收集和共享大量敏感信息。研究公司 Vanson Bourne 調查了 232 個醫療行業用戶發現，82% 的受訪者在過去一年中遭遇過以物聯網為中心的網絡攻擊。醫療機構最常見的漏洞分布如下：網絡 (50%)，移動設備和隨附的應用程序 (45%)，以及物聯網設備 (42%)。

微隔離，更好的選擇

早在 2017 年，Gartner 就將微隔離技術 (Microsegmentation) 評為 11 大最值得關注的信息安全技術。

當攻擊者滲透進入企業系統獲得據點，通常都能在周邊系統自由拓展。微隔離技術能夠在虛擬數據中心中進行隔離劃分，防范攻擊者的內部游走，將攻擊導致的損失降至最低。

近年來推動微隔離技術發展的主要動力是軟件定義網絡 (SDN) 和網絡虛擬化的出現。通過使用與網絡硬件分離的軟件，與那些尚未與底層硬件分離的軟件相比，分段(隔離)更容易實現。

相比防火墻這種以邊界為中心的產品，微隔離技術大大提高了數據中心的流量控制能力，因此可以有效阻止攻擊者進入網絡進行破壞。

微隔離也有管理上的好處。IDC 的 IoT 安全分析師 Robyn Westervelt 表示：

如果可以正確實施微分段，則可以在 IoT 設備和其他敏感資源之間添加一層安全保護，而不會在防火墻上造成漏洞 。但是底層的基礎架構必須支持這種方法，并且可能需要安裝比較新的交換機、網關等。

對于工業物聯網來說，內部防火墻太貴太復雜

保護工業物聯網 (IIoT) 環境的一種方法是使用內部防火墻。這似乎是一個顯而易見的選擇，因為內部防火墻已成為所有安全保護的事實標準。但是，在工業物聯網環境中，由于成本和復雜性，防火墻可能是最差的選擇。

從歷史上看，內部防火墻被部署在流量沿 “南北” 方向移動的地方，并會通過單個入口/出口點，例如核心交換機。而且，連接的設備都是可知和可管理的。但在工業物聯網中，連接變得更加動態，流量可以 “東西向” 模式在設備之間流動，從而繞過防火墻所在的位置。這意味著安全團隊需要在每個可能的 IIoT 連接點部署內部防火墻，然后跨數百個(可能是數千個)防火墻管理策略和配置，從而造成幾乎無法控制的局面。

專門研究 IIoT 安全解決方案的 Tempered Networks 總裁兼首席執行官Jeff Hussey透露，他們的一個客戶對內部防火墻需求進行評估后，發現其成本高達 1 億美元，運營方面的挑戰同樣巨大。另外一個醫療企業嘗試使用防火墻規則、ACL、VLAN 和 VPN 的組合來保護其環境，但是發現無法承受 “高度復雜性帶來的運營開銷”。

國際控制系統網絡安全協會 (CS2AI) 的創始人兼董事長 Derek Harp 認為，隨著第三方不斷需要從內部系統訪問數據，隨著工業物聯網自身的不斷發展和開放，當前的IIoT環境變得越來越 “千瘡百孔”。IIoT 網絡安全團隊面臨的挑戰遠超傳統安全團隊。

對于工業物聯網，微隔離優于內部防火墻

工業物聯網安全專業人員應該使用微隔離，而不是內部防火墻。微隔離類似于 VLAN 和 ACL，但是環境隔離是在設備級別完成的，通過規則而不是在網絡層進行管理。使用 VLAN 和 ACL，需要將所有設備(包括 IIoT 端點)分配給 VLAN。如果端點移動，則需要重新配置網絡以適應。否則該設備將無法連接，或者與被破壞的設備、可能發生不良情況的設備位于同一網絡上。

幾年前的 Target 違規就是一個很好的例子，零售商的 HVAC 系統遭到破壞，這為銷售點 (PoS) 系統制造了后門。傳統的安全性在高度靜態的環境中非常有效，但是 IIoT 可以通過設備定期加入和離開網絡來實現高度動態。

工業物聯網是微隔離下一個優秀用例

微隔離的優點是可以在軟件中配置，并且在設備連接層上運行，是基于端點的策略。例如，可以創建一個微隔離規則，讓所有醫療設備都位于特定的段中，并且與其余連接的節點隔離。如果移動了醫療設備，則該策略將隨之而動，無需重新配置。如果 Target 一直在使用 IIoT 微隔離，并且 HVAC 空暖控制系統和 PoS 系統位于不同的微分段，那么黑客能做的最壞的事情無非就是讓商場室溫升高。

微隔離已經應用于數據中心，以保護在虛擬機和容器之間流動的橫向流量。網絡安全團隊現在應該尋求將該技術推廣和擴展到更多應用場景，保護工業物聯網端點就是一個優秀的用例。這將使企業能夠推進數字化轉型計劃，而不會給公司帶來風險。