安全与连接是一对相生相克的孪生兄弟,企业在数字化转型过程中需要掌握两者之间的平衡点。只有实现了安全和联结的平衡,才能在新的管理体系中做到高效安全兼顾。
互联网的发展打破了事物之间的物理间隔,把空间上不相关联的事物通过信息传递的方式连接起来,加速了世界的交流互动,并带来生产、生活方式的巨大转变。但事物之间的联系从来不是绝对的,安全是打破互联网无限连接的另一个力量。为了保证一定程度上业务、系统的安全,物理间隔和万物互联便相生相对。
物理隔离与安全考量
物理隔离(AirGap)这一概念在计算机领域本身已经过时,对物理隔离的一个定义是:为实现一个网络与其他任何网络的物理隔离而在一台或多台计算机上采用的网络安全措施。被隔离的网络由于不会连接到公共网络等不安全的网络,因此能够保证安全。在计算机系统与主企业环境和网络之间采取物理隔离正逐渐难以为继。物理隔离包含两个网络,它们之间被一道空气屏障隔开。物理隔离能够大幅提升网络安全,使数据和威胁无法从一个网络穿越到另一个网络。采用物理隔离的网络就如同一座岛屿,它安全可靠,并且与其他安全性较低、威胁较大的网络隔离。因此,物理隔离常被用于核能发电、高度机密的国防系统等风险极高或高度保密的环境。
但网络安全也需要顾及其他方面,它存在的意义是为了推动企业机构数字化转型目标的实现和管理网络风险。网络安全控制措施往往与IT系统的可用性存在内在冲突。网络安全控制措施越严格,网络的可用性和对业务的友好程度就越低。物理隔离会限制通信,因此无法满足企业对通信网络现代化、动态化和灵活性的要求。
目前依旧存在的一个最大误区是,关键基础设施企业机构仍在使用物理隔离。事实上,绝大多数工业运营技术(OT)环境其实已经不再使用物理隔离,而是与IT建立物理连接并通过防火墙进行逻辑隔离。事实上,IT和OT之间的连接比以往任何时候都更加紧密,然而物理隔离并不支持这种对业务至关重要的连接方式。
拥抱云环境的OT安全之道
如何通过改变OT内部文化去拥抱云环境?最好的办法就是基于风险以能够实现转型的业务成果为重点。OT内部有两种风险等级不同的主要数据类型:主控制系统数据和来自现场物联网(IoT)设备的遥测数据。
主控制系统数据能够控制或直接影响OT环境,因此具有较高风险。例如在配电领域,该数据被用来打开或关闭电源,与员工和重症监护病人的生命安全息息相关。
物联网遥测数据则是通过现场的物联网传感器提供实时操作环境视图,它无法控制关键基础设施,因此风险相对低得多。位于现场的物联网传感器通过采集温度、振动、压力或几乎任何可以测量的数据提供关于物理世界运行情况的实时视图。在云的加持下,这些数据将推动迄今为止尚未实现的重大业务成果。
这些数据源带来的风险截然不同,应基于风险对数据进行不同的处理。在可预见的未来,主控制系统的数据可能会保留在本地,而风险较低的物联网遥测数据可以在云端处理。实际上,云计算对物联网数据来讲是“必需品”,因为它们数量庞大且需要通过机器学习来提供洞察。
拥抱云可以给物联网遥测数据等低风险数据带来诸多好处。
1.增强决策的实时可见性
位于现场的物联网传感器会产生源源不断的数据流,为工业运营提供实时可见性。无论是监测成品缺陷还是配电网络的电压,丰富的实时数据可以增进企业机构对工业环境的了解和认识,从而做出更优的决策,提高运营效率。
2.通过预测性维护提高可用性
预测性维护是通过物联网遥测数据监测现场的物理资产,寻找资产故障即将发生的异常迹象。例如制造业可以通过了解关键生产机械即将出现故障的时间,提前进行修复,减少计划外的停机时间,提高工厂效率,实现运营系统产出最大化。
3.帮助客户优化成果
拥抱云将最终帮助提升工业运营的效率和可用性,通过降低成本和增加响应为客户带来流动效应。
4.提升网络安全性
拥抱云可以优化网络安全和OT系统的可用性。随着针对OT环境的网络威胁与日俱增,OT环境中的突发事件(或ColonialPipeline案例中的IT环境突发事件)会影响对业务至关重要的OT系统与服务的可用性。
通过云增强的网络安全系统能即时提高成熟度,以便最有效地保护关键运营环境。如果网络攻击者获得了OT访问权,那么他们的行为将变得无法预测和控制,可能会导致计划外的中断并给工业企业的运营带来不利影响。
新一代安全系统主要运用被称为“元数据”的网络和终端遥测数据。它们与物联网遥测数据一样具有较低的风险。通过云增强的网络安全系统能降低恶意活动发生的概率,确保关键OT系统的可用性。
采用SASE确保业务安全的方案
打破物理间隔,向新型安全系统转型是企业网络安全系统发展的大势所趋,而持续数年的疫情则大大加速了这个过程。随着远程工作人员激增,企业必须满足他们从家中访问业务服务、应用和数据,这就使企业争相改造网络,在维护安全的同时提供不间断的连接。
早在2018年,Gartner就提出了一种被称之为SASE(读作“sassy”)的新解决方案概念。SASE即安全访问服务边缘,采用通用云交付架构,可以提供网络和网络安全服务,帮助企业采用云和移动设备。SASE解决方案必须提供一致的安全服务,以及对所有类型云应用的访问[公有云、私有云和软件即服务(SaaS)],全部通过通用框架交付。通过取消多种单点产品并采用单一的云交付SASE解决方案,企业可以降低复杂性;快速部署和扩展远程工作人员和分支机构位置;无论用户在何处,都可以实施一致的安全功能,同时节省大量的技术、人力和财力资源。
高效SASE的四大原则
1.软件定义广域网
在传统的解决方案中,公司实施软件定义广域网(SD-WAN),以期将分支机构办公室接入公司网络,并提供本地互联网连接来替代昂贵的多协议标签交换(MPLS)连接。传统的SD-WAN解决方案面临许多挑战,因为它们依赖于采用传统的数据包路由模型,并迫使其适应云就绪的企业。此外,这些传统解决方案缺乏规模,需要附加分支机构服务(如网络和可视性),从而增加了成本和复杂性。而在SASE解决方案中,分支机构架构是完全云交付的。企业可以使分支机构服务(包括安全和网络)完全从云端交付,从而简化WAN管理并提高投资回报率(ROI)。
根据Gartner魔力象限的预测,到2024年,超过60%的软件定义广域网 (SD-WAN)客户将实施安全访问服务边缘(SASE)架构,而2020年这一比例约为35%。
2.零信任网络访问
零信任网络访问(ZTNA)要求希望连接到应用的用户在获得访问权限之前首先通过网关进行身份验证。据此,安全管理员可以识别用户并创建策略来限制访问,尽可能减少数据丢失并快速缓解可能出现的威胁。许多ZTNA产品基于软件定义外围(SDP)架构,不能执行内容检查,因此为每种应用提供的保护类型有所差异。在一致保护方面,企业必须基于ZTNA模型构建其他控制,并对所有应用中的所有流量执行检查。
SASE则基于ZTNA主要原则而构建,并且SASE解决方案的所有其他服务也都采用了这些原则。由于可以识别从各个地方接入的用户、设备和应用,因此策略创建和管理得以简化。SASE可以将网络服务整合成单一统一云框架,避免了连接网关的麻烦。
根据威瑞森通信公司所作2020年移动安全指数报告显示,许多公司没有对员工使用的应用进行规定,只有62%的公司禁止在其AUP中安装未经批准的应用。因此采用零信任访问模型构建的SASE解决方案保护应用安全服务势在必行。
3.云访问安全代理
许多企业借助云访问安全代理 (CASB)提供对数据所在位置(例如SaaS应用)的可视性,实施公司用户访问策略并保护他们的数据免遭黑客攻击。CASB则是基于云的安全策略实施点,可以为企业的SaaS提供商和员工提供网关,它为利益相关方管理所有应用类型的安全控制创建了一个单一平台。
SASE解决方案采用CASB让企业了解哪些SaaS应用正在使用中以及数据将会传输到哪里,无论用户位于何处都是如此。
4.防火墙即服务
根据Gartner魔力象限的预测,到2025年,30%的新分布式分支机构办公室防火墙部署将从2020年的不足5%转向防火墙即服务。随着各地远程用户和应用的爆炸式增长,各企业因为要管理数十到数百个防火墙而步履维艰。防火墙即服务(FWaaS)是一种将防火墙功能作为基于云的服务提供的部署方法,优秀的FWaaS产品将提供与新一代防火墙相同的功能。
SASE解决方案将FWaaS集成到了其统一平台中,能够提供与新一代防火墙相同的服务,但是以云交付服务形式提供。通过将FWaaS服务模式纳入SASE框架中,企业可以轻松地利用单一平台管理其部署。
结论
OT可以像IT一样通过拥抱云所实现的数字化转型来提升运营效率、优化洞察和决策,并提高关键工业系统的可用性,而这些只是各种益处中的一部分。
因此,采用SASE解决方案,OT可以克服一切文化障碍,将风险和业务价值作为云转型的驱动力。(文︱AlexNehmy 派拓网络亚太及日本地区工业4.0战略总监)