核心基础设施的物联网安全解决方案
发布时间:2022-08-23 15:08:28 所属栏目:安全 来源:互联网
导读:对于关键基础设施,安全是不可协商的。保护网络、系统和资产以实现不间断运营对于组织、城市和国家的安全至关重要。令人遗憾的是,网络犯罪分子可以渗透 93% 的公司网络 (betanews.com)。鉴于此,最好的保护措施是使其尽可能困难,鉴于处理受到良好保护的网
|
对于关键基础设施,安全是不可协商的。保护网络、系统和资产以实现不间断运营对于组织、城市和国家的安全至关重要。令人遗憾的是,网络犯罪分子可以渗透 93% 的公司网络 (betanews.com)。鉴于此,最好的保护措施是使其尽可能困难,鉴于处理受到良好保护的网络所需的时间和精力以及其他目标的普遍存在,迫使网络犯罪分子转移到其他目标。 与 2020 年相比, 2021 年企业每周遭受的网络攻击尝试 (darkreading.com) 增加了 50%。更令人担忧的是埃森哲的网络犯罪成本研究发现小型企业受到 43% 的网络攻击,但只有 14% 的企业可以自卫。在这个“连接”设备激增的时代,安全性至关重要,但与此同时,由于担心公众知道组织遭到破坏,因此对风险和解决方案都保持着震耳欲聋的沉默. 安全解决方案不再只是购买病毒扫描包,而是需要对不断增加的进出网络的设备组合进行日复一日的分析。以下是这些设备的列表以及通过 IoT 平台在绿地或棕地环境中集成它们的推荐安全性。 典型的建筑“边缘”解决方案 这些边缘解决方案通常由许多零件和零件组成,每个零件和零件都来自不同的制造商,而且通常是不同型号和不同代的设备。物联网桥设备通常用于收集这些数据并将其合理化为可用的形式,最重要的是,云中的存储桶用于基于结果的实时和历史分析。这从“边缘”的一般专用网络开始我们的故事。 边缘专用网络和 RTU– 从远端设备的本地协议收集信息的边缘网桥或远程终端单元 (RTU) 的环境。这通常可以包括传感器或系统在诸如 Modbus、BACnet、SNMP 等事物上进行通信。通常还有基于 TCP/IP 的设备,但这被认为是边缘的非公共网络,边缘网桥作为其数据收集器运行,同时也是 DHCP、DNS 和其他网络服务的服务提供商. 然而,无论你怎么看,它都是一个私有网络,以 Bridge 作为向云提供数据的唯一事实来源。对此的访问通常通过不直接在互联网上的专用网络进行保护,即使在需要蜂窝网络的情况下,这些网络也可以在蜂窝运营商上的专用 APN 上运行以限制流量。 专用网络应包含所有支持 TCP/IP 的远端设备、RTU 和云基础设施。大多数情况下,漏洞的外部攻击媒介来自用户界面 (UI),因为它很可能有一个开放的端口。 通过边缘桥接的标准物联网解决方案通常提供可配置的可信客户端,以允许访问内部设备 UI。这些可以放在具有已建立的双因素身份验证 (2FA) 方案的虚拟专用网络 (VPN) 后面。如果在不部署 VPN 的情况下绝对需要外部客户端,请确保至少使用以下方式部署您的 Web 服务器: 用于部署 SSL/TLS 加密的 SSL 证书,允许 HTTPS 到平台的 Web 服务器。 将防火墙配置和限制到所需的端口,理想情况下,IP 白名单。 路由器和防火墙配置以使用自动 IP 地址禁止来解决暴力攻击。 供应商可能会提供多个边缘 RTU,以便根据特定要求进行简单安装。对于多站点关键设施解决方案,该架构通常在每个站点都有一个边缘 RTU,该 RTU 将上游连接到 VM 上解决方案的云实例。如果您使用这种类型的解决方案,边缘 RTU 和云 VM 都应该驻留在同一个专用网络中。任何物联网解决方案都应允许其软件在专有硬件和客户提供的硬件上运行。这为客户提供了可扩展性和灵活性,而不会出现长期供应商锁定问题。 注意:边缘设备通常需要升级。强烈建议升级,因为它们通常包括安全增强功能。最好在需要人工干预的定期维护间隔执行升级,或者,如果不可能,手动打开然后关闭端口以允许升级。这确实需要代表运营商付出更多努力,但在无法提供内部升级服务时,这被视为设备安全性的最安全的边缘设备升级方式。 关键设施监控软件(CFMS) 是一种基于云和边缘的解决方案,可实现远程边缘设备信息的监控、数据聚合、数据打包、诊断和远程控制。它还支持从单个或集中位置进行远程多站点管理——连接到数据库(内部或外部)以允许长期存储远端数据。如前所述,它们通常充当边缘现场物联网设备和内部网络之间的仲裁者和防火墙,设备数据存储和远程操作发生在内部网络。 尽管这些设备位于内部网络上,但由于它们充当其他协议和内部 TCP/IP 网络之间的中介,因此对于希望访问网络的任何一方来说,它们都是一个重要的兴趣点: 在物联网平台的用户管理中使用强用户密码——最好是单点登录 (SSO) 集成。 根据您的供应商,云平台操作和命名约定可能会有所不同。云环境通常运行混合连接到其他供应商的其他云服务,这增加了安全性的复杂性。供应商的选择可能会产生巨大的安全影响,但更重要的是,谁管理该云服务起着关键作用。以下是云服务的标准建议: 仅将公共网络端口限制为所需的 CFMS 端口。 将专用网络端端口限制为“按需”。这在很大程度上取决于您的物联网解决方案。端口越少越好。 如果您决定部署独立的 CFMS 数据库而不是供应商提供的集成数据库,请确保数据库与供应商解决方案的 CFMS 运行时不在同一 VM 上,并使用虚拟私有云 (VPC) 与数据库以避免任何打开公共端口的要求。任何时候都不要让公共端口对数据库可用。 如果 CMFS 需要外部 Web 访问,请始终使用 SSL 证书和安全端口。 CFMS 数据库是从远端设备收集数据的位置。通常,这来自您的云提供商,并且来自边缘位置的所有数据在打包后都流向此处。它是您的分析源的唯一来源。不要将此与外部数据湖也连接到云提供商以允许自定义应用的数据存储的实例混淆。数据库是唯一的事实来源,CFMS 通常包含一个方便的 API,可通过 REST API 或 gRPC 访问该数据库。 对于可扩展的解决方案和较大的项目,请使用来自主要云提供商的托管服务数据库环境,这将允许您构建简单有效的 MySQL 托管数据库解决方案。在任何时候,这都应该在 CFMS 外部,允许通过标准 IT 手段进行通用数据可移植性和备份。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号