5)任何資產都不是天生可信的。企業監控和衡量所有自有和相關資產的完整性和安全狀況。企業應在評估資源請求時評估資產的安全狀況。實施零信任的企業應該建立一個持續的診斷和緩解系統來監控、修補和修復設備和應用程序的安全狀況。
AWS IoT Device Defender持續審計和監控用戶的物聯網設備群,其可以采用的緩解措施如下:
將設備放置在具有有限權限的靜態對象組中;
撤銷權限;
隔離設備;
使用AWS IoT Jobs功能打補丁,并進行無線更新,以保持設備健康和合規;
使用AWS IoT安全隧道功能遠程連接到設備進行服務或故障排除。
6)所有資源認證和授權都是動態的,在允許訪問之前嚴格執行。
默認情況下,零信任會拒絕物聯網設備之間的訪問(包括任何API調用)。使用AWS物聯網,通過適當的身份驗證和授權授予訪問權限,其中考慮了設備的運行狀況。零信任需要能夠跨IoT、IIoT、IT和云網絡,檢測和響應威脅。
7)企業盡可能多地收集有關資產、網絡基礎設施和通信的當前狀態信息,用于改善其安全狀況。
使用 AWS IoT Device Defender,用戶可以使用物聯網設備數據對安全狀況進行持續改進。例如,用戶可以打開AWS IoT Device Defender審計功能來獲取物聯網設備的安全基線。然后,用戶可以添加規則檢測或機器學習檢測功能來檢測連接設備中發現的異常情況,并根據檢測到的結果進行改進。
4.2、 Cyxtera Appgate的IOT安全
圖12、Appgate IOT安全架構
Appgate 物聯網安全架構相對來說比較簡單,Appgate采用物聯網連接器接入物聯網設備。Appgate物聯網連接器利用零信任的核心原則來保護非托管設備,限制橫向移動并減少組織的攻擊面。連接器提供了對設備連接到網絡的方式和時間以及它們可以連接哪些網絡資源的精細控制。連接器與Appgate SDP完全集成,Appgate SDP是一個統一安全平臺,在用戶設備、服務器和非托管設備上強制執行一致的訪問策略。
Appgate連接器是連接物聯網設備和網絡之間的網關。Appgate連接器向Appgate控制器發出訪問請求。控制器以身份驗證質詢進行響應,然后根據用戶、環境和位置評估訪問憑據并應用訪問策略。Appgate為每個設備會話創建一個動態的“一段式”網絡。一旦建立連接,對資源的所有訪問都會從設備通過加密的網絡網關傳輸到服務器。所有訪問都通過LogServer記錄,確保有一個永久的、可審計的用戶訪問記錄。
4.3、 國外IOT零信任技術分析
當前國外的IOT零信任技術分為多個流派,有以云平臺安全接入為核心的云平臺企業,有以現有網絡設備或安全設備快速改造為核心的傳統安全企業,還有以SDP技術統一南北向所有設備安全接入為核心的創新企業,詳細的企業和技術對比分析如下表所示。
表7、國外IOT零信任技術對比分析
5零信任+工業互聯網安全
上一節我們分析了零信任技術在物聯網安全領域的成功應用,本節聚焦在工業互聯網安全領域,如何應用零信任技術解決企業的安全痛點?
