如何在物联网设备的快速部署态势中保证网络安全性?

时间:2018-10-26 15:57:42

物联网(IoT)设备的快速部署态势正对当今不断发展的网络安全性产生重大而深远的影响。

自带设备(BYOD)是最近十余年来首轮最重要的物联网设备引入,且主要集中在移动手机与笔记本电脑等用户自有设备身上。

在此期间,员亦在努力将不安全及未受保护的设备引入主干封闭网络当中,而网络犯罪分子则很快利用这种新的攻击载体。

、人均联网设备数量即将多达7台

快速推进到今天,这个问题已经变得更为复杂。用户已经开始用智能手机取代功能机,其上能够运行的应用程序已经远远超过任何人的想象。与此同时,其它智能设备(包括可穿戴设备与平板电脑)仍在持续增长,部分专家估计到2020年人均联网设备数量将多达7台。

然而,最终用户设备仅仅只是员需要关注的冰山角。其它物联网(IoT)设备也在以前所未有的速度立足网络内部激增——从智能家电与库存追踪器,再到联网医疗与 OT 设备皆在其中。这种扩展已经成为大数据增长背后的关键性驱动因素,且贡献着可观的网络流量比例。

专家们认为,到2023年将有近320亿台物联网设备存在,并以43%的复合年增长率支持全球移动数据流量。

二、大多数IT安全架构尚未做好准备

由于大多数此类数据以需要在不同网络(包括多云环境)内的各类应用程序与事务之间往来移动的形式存在,因此我们需要对大部分数据进行加密。

除了数据量本身快速超越安全设备的消化能力之外,加密机制的介入也将带来新的复杂层。在检查 SSL 流量方面,全球范围内几乎所有已经部署的安全解决方案都很难应对由此带来的巨大压力。而且可以肯定的是,未来大多数边缘与内部安全设备都需要将此作为自身的主要功能。

对于在新兴数字市场中竞争的组织而言,安全事故无疑是不可接受的。更糟糕的是,用户总能找到绕过安全机制的方法并给网络体系带来致命软肋。

对于安全团队而言,放慢速度以充分应用安全检查与协议机制是种不可接受的处理思路。考虑紧张的安全预算,几乎不可能将安全设备升级至足以承载如此严苛的性能要求。

除了上述因素之外,组织还需要确保在不同网络域之间传输数据时,实施统的安全策略——这无疑进步增加了安全问题的复杂性,组织需要在各种网络生态中部署具备相同功能与特性的工具。

三、如何利用分段机制保护物联网?

实现这目标的关键策略,在于实施全面的分段策略。对于这样套行之有效的物联网(IoT)安全策略,需要执行以下三个基本步骤:

1、建立广泛的可见性:

大多数组织面临的最大,在于识别并追踪接入网络的所有物联网设备。网络访问控制允许组织以安全的方式对物联网设备进行身份验证与分类。立足访问点对设备进行实时发现与分类,IT团队将能够构建起风险概况,并可自动将物联网设备分配予适当的设备组与相关策略。

2、立足生产网络进行物联网分段:

旦网络确定了物联网设备,IT 团队接下来需要建立物联网攻击面控制机制。将物联网设备与相关通信分段为基于策略的组与安全网络区域可由网络自动授予及执行的基准物联网设备配置权限。

库存工具能够追踪这些设备,行为分析工具可以监控其行为,而应用内分段防火墙(ISFW)则使得组织不仅能够快速、动态地监控其行为,还能够检查跨越分段边界的应用程序及其它流量。

3、保护网络:

建立策略驱动型物联网组,而后将其与内部网络分段相结合,从而根据行为对设备策略进行多层监控、检查与实施——而无需考虑分布式企业级基础设施的具体部署位置。在此之后,集成的自动化安全框架使得在传统上相互隔离的安全设备能够在物联网流量经由网络时将各类威胁关联起来——甚至能够在跨越不同网络生态部署的设备之间进行关联。在此之后,这些集成工具能够自动将高级安全功能应用于切物联网设备或者网络中任何位置的异常流量,包括接入点、跨网段流量以及跨多云部署环境。

组织不应再将物联网设备视为业务体系中的孤立或者独立组成部分。物联网(IoT)设备及其相关数据能够与您的扩展网络中的其它设备与资源进行交互,包括各类端点设备、多云环境以及互联程度日益增长的 IT 与 OT 网络。

传统上的隔离型物联网安全解决方案不仅会增加开销并降低可见性,而且完全无法配合如今物联网设备所产生的大规模流量。为了充分对网络及物联网加以保护,组织需要跨越网络环境部署广泛的安全架构、强大的安全工具,以动态方式对物联网设备进行分段,同时以符合网络速度的水平检查加密流量。除此之外,组织还应实现不同安全解决方案之间的深度集成,从而关联威胁并自动立足分布式物联网网络中的任何位置对检测到的威胁加以响应。


本文相关词条概念解析:

网络

网络是由节点和连线构成,表示诸多对象及其相互联系。在数学上,网络是一种图,一般认为专指加权图。网络除了数学定义外,还有具体的物理含义,即网络是从某种相同类型的实际问题中抽象出来的模型。在计算机领域中,网络是信息传输、接收、共享的虚拟平台,通过它把各个点、面、体的信息联系到一起,从而实现这些资源的共享。网络是人类发展史来最重要的发明,提高了科技和人类社会的发展。在1999年之前,人们一般认为网络的结构都是随机的。但随着Barabasi和Watts在1999年分别发现了网络的无标度和小世界特性并分别在世界著名的《科学》和《自然》杂志上发表了他们的发现之后,人们才认识到网络的复杂性。网络会借助文字阅读、图片查看、影音播放、下载传输、游戏、聊天等软件工具从文字、图片、声音、视频等方面给人们带来极其丰富的生活和美好的享受。

分段

分段可以是武术套路术语,也可以是计算机网络术语等。即趟,是武术完整套路的组成部分,由若于个动作或组合动作组成。通常所说的分段,指套路中的一段,由向同一方向演练至折回处的所有动作构成一段。武术大多数拳种中的段(趟)都是双数。应用层向传输层传递大量数据。传输层必须将数据拆分成小的片段,更适合传送。

流量

流量:指单位时间内通过特定表面的流体(液体或气体)的量(体积或质量)。若以体积衡量流体的量,其流量称之为“体积流量”,这也是多数场合中,流量所指的涵义。在国际单位制(SI)中,体积流量的标准单位为立方米每秒(m3/s)。