5.1、零信任融入工業互聯網安全
當前工業互聯網安全主要分為三個場景,工業互聯網企業內網安全、工業互聯網邊緣側安全和工業互聯網平臺安全。
工業互聯網企業內網安全,可以采用“一個中心、三重防御”的理念,應用統一安全管理平臺、工控主機衛士、工業防火墻和工業監測審計系統等系統,采用白名單的策略實施安全防護,未來可升級為零信任安全架構,在工業交換機、工業路由器和工業防火墻上引入零信任技術,實現分區之間的微隔離和動態訪問控制。
工業互聯網邊緣側和工業互聯網平臺的安全,可采用零信任安全架構,融入工業互聯網云-管-邊-端的體系結構,解決邊緣側終端安全接入、邊緣側訪問控制、隧道加密、平臺側網絡隱身、平臺側動態訪問控制和持續信任評估等安全痛點。詳細的工業互聯網安全架構如下圖所示。
圖13、基于零信任的工業互聯網安全架構圖
安全資源層:在邊緣側部署零信任邊緣網關,通過無線和有線接入物聯網設備,通過4G或5G將數據上送到云端,提供物聯網設備準入控制、身份認證、TLS通道加密等功能,同時提供邊緣防火墻功能,保護邊緣側的物聯網終端。邊緣網關,基于安全芯片的可信根,提供可信計算環境和本體安全防護。
安全服務層:在云端部署零信任安全網關和零信任控制器,實現網絡隱身。零信任安全網關,提供身份校驗、通道加密、訪問控制和數據轉發等功能。零信任控制器,提供身份認證、訪問授權、持續評估和動態策略等功能。
安全運營層:在云端部署密碼服務平臺和安全管控平臺。密碼服務平臺提供基于PKI體系的證書和密鑰分發等功能,證書用于零信任邊緣網關等設備的TLS雙向認證,需要定期更新。安全管控平臺提供資產可視化、攻擊面分析、威脅檢測和安全基線分析等功能,輔助零信任控制器,進行動態訪問控制。
5.2、零信任融合工業互聯網標識
工業互聯網標識解析體系是工業互聯網網絡架構重要的組成部分,那么零信任安全架構是否可以結合標識解析體系提升工業互聯網安全?在回答該問題之前,本節先深入理解下工業互聯網標識解析體系。
工業互聯網標識編碼是指能夠唯一識別機器、產品等物理資源以及算法、工序等虛擬資源的身份符號;工業互聯網標識解析是指能夠根據標識編碼查詢目標對象網絡位置或者相關信息的系統裝置,對機器和物品進行唯一性的定位和信息查詢,是實現全球供應鏈系統和企業生產系統的精準對接、產品全生命周期管理和智能化服務的前提和基礎。工業互聯網標識解析的基本業務流程如下圖所示。
圖14、工業互聯網標識解析的基本業務流程
(引用自工業互聯網產業聯盟《工業互聯網標識解析白皮書》)
工業互聯網標識解析,主要解決的是設備可信身份的問題,通過主動標識模組載體,為每一件產品分配一個數字身份證“工業互聯網標識”。下表將結合工業互聯網標識解析的典型應用場景,對工業互聯網標識和零信任技術融合的優點進行探討。
表8、工業互聯網標識和零信任技術的融合分析
通過上述分析,我們認為零信任安全架構融合工業互聯網標識解析體系可以進一步保障工業互聯網安全。
6小結
通過本文的探討,我們認為零信任安全架構可以成功地應用于IT、OT和IOT的安全防護場景。
針對IT安全防護場景,企業數據中心的南北向可應用SDP技術,東西向可應用微隔離技術,企業統一身份認證可應用IAM技術,實現企業遠程安全辦公、遠程安全運維和遠程安全研發。
針對OT安全防護場景,考慮到OT的高可靠、高穩定和高性能要求,可以將零信任安全架構先應用于分區邊界的微隔離。當前流行的白名單理念是相對靜態的安全策略,一旦實施很少變動,逐步融入零信任安全理念,可實現持續信任評估和動態訪問控制,提升工控安全技術水平。
針對IOT安全防護場景,可結合物聯網云-管-邊-端的體系結構,融入零信任安全架構,同時結合工業互聯網標識解析技術解決物聯網設備可信身份認證的問題,提升物聯網邊緣側、通信網絡和云平臺的安全防護。
長揚科技作為工業互聯網安全和工控網絡安全領域的第一批踐行者,自成立以來持續深耕工業互聯網安全、工控網絡安全和“工業互聯網+安全生產”領域,為中國數字化和高質量發展提供專業可靠的安全基座。在技術創新方面,長揚科技已申請獲得專利、軟著120余項,自主研發了50余款產品,建立起一套以信創安全生態為底座安全,以工業安全靶場為能力提升手段,覆蓋工業網絡安全監測、工業網絡安全防護、工業視覺安全分析、零信任安全和數據安全的完整產品和服務體系。今年以來,長揚科技在零信任安全領域持續發力,基于 “以身份為基石、業務安全訪問、持續信任評估、動態訪問控制” 四大關鍵能力,為企業網絡構建無邊界的數據安全防護體系,為企業遠程辦公、遠程運維和遠程研發測試提供數據安全保障。此外,依托零信任架構對應云-管-邊-端的業務體系,構建工業物聯網邊緣側安全智慧管理,強化對邊緣側的安全保護,有效防護潛在威脅。
