Gartner預測，到2020年年底，全球將部署189億臺物聯網設備，在這龐大數字的背后，隨之而來的安全問題也愈發重要，一旦出現網絡攻擊事件，將有可能造成物聯網設備失控、采集到的信息被篡改，物聯網平臺中的敏感數據泄漏等嚴重后果。

[[351512]]

為了應對安全問題，在物聯網的早期，企業采取一種簡單的訪問策略，即提供一個物聯網VLAN，隔離網絡上的物聯網流量。但如今物聯網已經成熟，一些物聯網設備可能需要訪問敏感數據，而VLAN顯然是不夠的。

如今零信任網絡架構已逐漸成熟，似乎可以解決IoT的這種窘境。零信任訪問策略通常以身份為核心，而物聯網設備通常是非托管的，沒有關聯的用戶，在這里，物聯網對零信任計劃提出了一個挑戰。

企業若要制定針對單個IoT設備的用途及需求的零信任訪問策略，僅僅了解設備的品牌和型號是完全不夠的，還需要了解異構物聯網環境，要知道每個IoT設備的用途和需求。

1. IoT零信任訪問策略只被少數人采用

然而只有少數企業做到這一點。EMA的調查表明，現在大多數企業都沒有制定這種IoT訪問策略：

• 只有36%的企業正在制定針對用途和需求的零信任IoT訪問策略。
• 相反，有28%的企業采用降低粒度的方式是：創建通用的、最低級別的訪問權限，如物聯網VLAN。這種細分可能導致更高的安全風險，舉個例子，一是將數據推送到云端的IoT傳感器、二是從云端提取敏感數據的傳感器，這兩種傳感器在這種策略引擎中是不會被區分的，它根本不考慮不同的風險級別。
• 另有23%的企業認為IoT設備不可信，這種想法嚴重限制了他們的網絡訪問。這意味著IoT設備根本無法訪問敏感資產，企業可以通過物聯網實現的應用類型少之又少。
• 還有12%的企業完全不信任物聯網。在這種情況下，他們不得不使用像LoraWAN或LTE這樣的移動網絡服務來連接到云端，完全繞過企業網絡。

2. 復雜性是問題所在

為什么大多數的企業沒有實施IoT細粒度訪問策略?

是因為缺乏可見性嗎?然而，84%的企業表示，他們對物聯網傳感器等非托管設備有足夠的可見性，可以確定網絡訪問權限。

實際上，問題的癥結可能在于實現的復雜性。在大型企業中，設備類型太多導致無法完全分類，企業不可能花費大量的時間來定制IoT訪問權限，這太復雜了，對他們來說，構建粗略的訪問策略更為簡單粗暴。

3. 如何創建定制的IoT零信任訪問策略

IT領導層態度是成功的關鍵。

IT領導層的態度是成功創建零信任IoT的關鍵，領導的大力支持也意味著將會有一個正式的零信任網絡計劃、有專門用于實施的組織，有良好的預算等等。

相比之下，采取臨時零信任方法的企業，他們缺乏專用預算，只有在時間和資源允許的情況下才應用零信任原則，他們更有可能將所有物聯網設備視為不可信設備，只允許他們訪問低風險的網絡資產。

其他成功關鍵因素

為了支持細粒度IoT策略，企業需要靈活的零信任訪問和分段解決方案，這些解決方案能夠對物聯網進行分類，還能監控設備的行為，并支持自定義訪問策略。

EMA的研究發現，一些因素在創建策略時非常重要：

• IoT設備的安全狀態是最重要的變量，在授予訪問權限之前，零信任網絡要檢查防病毒和反惡意軟件的狀態。
• 設備漏洞和風險、設備所有者(例如，業務部門)、觀察到的網絡行為以及操作系統狀態都是IoT零信任訪問策略的次要變量。
• 設備品牌和型號、相關的應用程序是策略設計中最不重要的參數，僅少數組織會使用。
• 包含設備漏洞檢測和風險評估的策略往往會更成功。
• 網絡基礎架構團隊和信息安全團隊之間的協作，可以幫助制定這些IoT訪問策略。

如今，已有75%的企業正在支持企業網絡上的IoT連接，這個數字將繼續增加，設備也將變得更加多樣化，訪問要求隨之也會有所不同，未來，根據每個IoT設備的用途和需求定制的細粒度IoT訪問策略會更加重要，也將被越來越多的企業采用。

原文鏈接：

https://www.networkcomputing.com/network-security/zero-trust-access-policies-iot-must-be-granular