3零信任是否適用于OT安全?
零信任安全架構在IT安全領域取得成功后,是否適用于OT安全?在回答這個問題之前,我們先分析下國內外OT安全的當前現狀和新探索。
3.1、國內OT安全現狀及思考
國內的OT安全市場當前以白名單理念為主,產品和解決方案主要圍繞等保2.0,以“一個中心、三重防御”為思路,產品主要包括:工控主機衛士、工業防火墻、工業網閘、工業監測審計系統、統一安全管理平臺等。在國內,零信任安全架構尚未應用到OT安全領域,假設在白名單產品的基礎上應用零信任安全架構,安全產品將獲得哪些提升?下表將探討零信任安全架構如何應用于OT安全產品。
表2、零信任安全架構應用于OT安全產品的思考
3.2、國外OT安全現狀及新探索
國外的OT安全市場當前百家爭鳴,包括但不限于:專注白名單的工業防火墻,專注物理上單向傳輸的工業網閘,專注工業流量全面可視化的下一代防火墻,基于零信任架構的工控安全解決方案等。
表3、國外OT安全的典型企業和產品
3.2.1、思科零信任OT解決方案
本文重點關注OT安全的新探索,思科基于零信任架構的工控安全解決方案。
圖5、思科基于零信任架構的工控安全解決方案
思科零信任工控安全解決方案的組件如下表所示,主要包括:思科工業交換機和路由器及運行在上面的Cyber Vision傳感器、Cyber Vision中心、ISE身份服務引擎、Secure X安全編排引擎、思科工業防火墻、思科DNA中心。
表4、思科零信任工控安全解決方案的組件
OT網絡的零信任之路如下:
第1步:識別端點并建立初始信任
Cyber Vision傳感器嵌入網絡設備(交換機、路由器和網關),收集流經工業基礎設施的數據包 。該傳感器結合使用被動和主動發現技術,利用工業協議的先進知識,通過深度數據包檢測,對數據包有效載荷進行解碼和分析。Cyber Vision能夠分析每個端點,詳細描述其與其他端點和資源的交互,并構建資產清單。
圖6、Cyber Vision中心從網絡中收集數據
Cyber Vision傳感器易于在OT網絡中部署,因為它們在思科工業網絡基礎設施上作為軟件運行,不需要單獨的設備,但如果OT網絡由無法運行傳感器的設備組成,則可以使用專用設備。傳感器將有關連接端點的數據發送到被稱為Cyber Vision Center的中央儀表板中,該儀表板可以幫助用戶以類似地圖的格式,可視化每個端點及其與其他端點的交互。該地圖視圖對于OT團隊根據實際的工業過程邏輯對端點進行分組特別有用,因此它可以根據不同的組與組之間的通信來構建策略。
