正如互联网改变了一切,一场被称为物联网(IoT)的新革命有望产生更大的颠覆。
主要是因为物联网传感器将无处不在地使用——在医院中监控医疗设备,在工厂中监控运营,在建筑物中控制温度和照明等。
来自这些传感器的数据将用于运营管理、预测性维护等。同时,所有这些应用程序通常都与企业的IT基础设施集成在一起。因此,它们正在引入各种新的安全挑战。
+也在网络世界:足球竞猜app软件使用物联网设备的DDoS攻击遵循“满洲候选”模式+
就像在当前的IT环境中一样,没有安全银弹可以保护物联网设备免受所有可能的网络威胁。
由于物联网将在不同地点为各种终端用户(包括企业、其客户和合作伙伴)生成数据,因此需要网络细分和基于分段的拓扑结构来防止大规模攻击。
例如,合作伙伴网络中的一个被破坏的部分不应该能够破坏企业网络。
在最近的一次事件中,法国虚拟主机提供商OVH也遭到了利用物联网设备进行的大规模DDoS攻击.据OVH称,攻击峰值达到近1 Tbps。被泄露的物联网设备主要是闭路监控摄像头和dvr。
改变架构以防止物联网设备劫持
为了减轻劫持物联网设备的大规模攻击的威胁,需要对分支和站点位置架构进行重要的更改。
用于合作伙伴使用的数据应该在企业网络的第一跳就卸载。目前,大多数合作伙伴网络连接都是通过DMZ路由的。这种反向传输给网络基础设施(路由器和交换机)带来不必要的压力。相反,可以通过在云或运营商托管设施中创建第三方安全合作伙伴DMZ,通过VPN本地卸载这些数据。在这种情况下,多方的vpn可以彼此对等,同时将这些dmz限制在几个地点。
该模型的一个主要优点是,第一跳在每个站点上卸载合作伙伴数据,而不是在将大量站点数据传递到合作伙伴网络之前通过公司DMZ进行反向处理。第二个好处是基于分段的拓扑。并不是所有的合作伙伴都需要对每个位置进行peer。例如,可以为合作伙伴提供在云中定义明确的落点对等和收集数据的灵活性。这类似于实现基于云的VPN。
在制造环境中,用于工业自动化的物联网设备不是关联用户,也没有加密功能。因此,为了保证数据的完整性和保密性,网络必须为物联网设备提供加密等安全服务。
Viptela
X86机器接收、分割和加密传感器数据,并通过虚拟DMZ安全地传输到internet上的供应商云。
如前所述,在当前的大多数部署中,传感器数据都是通过公司DMZ和网络进行回撤的。这就迫使IT部门为数据创建复杂的策略来遍历网络。
在图1中,一个白色x86机器上的分区P0有它自己的VPN,它管理到所有plc的连接。每个PLC的连接数据可以从网络的控制层编程。在这种情况下,PLC和控制元件之间传输的数据包含与制造公司相关的操作智能,也与工业设备供应商相关。
一个数据源(PLC控制器)必须在源上分离并交付给两个独立的组织。来自同一P0 PLC源的数据可以被边缘路由器放置在两个不同的vpn中,每个vpn具有不同的拓扑结构。制造公司使用的数据可以在本地处理,然后在工厂或公司数据中心回收。2020欧洲杯预赛与PLC供应商相关的数据可以在当地现场通过分析引擎进行处理,然后发送给合作伙伴使用。
这种架构最好使用一个从工厂连接到云位置,然后连接到合作伙伴的VPN进行部署。它可以通过企业或运营商管理的方式实现。
企业管理方法
使用这种方法,企业构建iDMZ VPN,并选择云位置,将数据放置在其中,以便合作伙伴处理。企业承担保护云点和工厂内部网络的责任。这需要建立一个完整的安全堆栈,以确保适当的保护措施到位。
Carrier-managed方法
在这里,运营商可以为企业工厂网络提供云VPN服务。运营商可以根据它们的足迹,宣布可以分布在全球各地的VPN drop地点。企业可以指定哪个合作伙伴从哪个VPN收集数据,在哪个位置。运营商可以提供所有的网络功能,作为一个完全托管的服务,包括安全。使用互联网作为安全传输,只有VPN对等连接位置对合作伙伴可见。
下面的图2说明了这种连接模型,它消除了构建动态、任意VPN的需要,并保护企业网络免受传输外部合作伙伴流量的负担。
Viptela
为了实现物联网的好处,企业必须从其设施中的传感器和设备中解锁智能。然而,他们需要合作伙伴的帮助来安全地分析大量数据,同时又不会给企业IT网络带来负担。创建任意的VPN分段拓扑,使用优化的数据控制和强加密,是企业与合作伙伴构建物联网生态系统的一种方法,可以保护数据完整性,而不会使其网络受到安全威胁。