隨著企業(yè)內(nèi)部對(duì)數(shù)字化轉(zhuǎn)型的日益關(guān)注，很明顯，在過(guò)去幾年里，對(duì)物聯(lián)網(wǎng)等基礎(chǔ)技術(shù)的投資呈指數(shù)級(jí)增長(zhǎng)。物聯(lián)網(wǎng)正派過(guò)監(jiān)控、報(bào)告、警報(bào)、響應(yīng)和自動(dòng)化業(yè)務(wù)流程的新功用來(lái)推進(jìn)自動(dòng)化，進(jìn)而推進(jìn)數(shù)字產(chǎn)品、效勞方式和關(guān)鍵業(yè)務(wù)運(yùn)營(yíng)的轉(zhuǎn)型。

　　在整個(gè)2020年和2021年期間，對(duì)受新冠肺炎影響的關(guān)鍵行業(yè)轉(zhuǎn)型的關(guān)注增加，或者將這些變化視為進(jìn)入新市場(chǎng)的一個(gè)切入點(diǎn)，這導(dǎo)致需要調(diào)整現(xiàn)有產(chǎn)品或者重新思考模式并部署新的解決方案。快速進(jìn)入市場(chǎng)的壓力總是體現(xiàn)在客戶的咨詢中：“我如何才能加快產(chǎn)品上市的速度”。在面臨大量投資的特定垂直行業(yè)，如供應(yīng)鏈解決方案、遠(yuǎn)程監(jiān)控，當(dāng)然還有醫(yī)療解決方案，提出了這一問(wèn)題人越來(lái)越多。

　　越來(lái)越需要滿足消費(fèi)者或最終用戶近乎即時(shí)的需求，這通常會(huì)導(dǎo)致解決方案的某些元素被取消優(yōu)先級(jí)或成為事后的想法，物聯(lián)網(wǎng)安全傳統(tǒng)上就是這樣。然而，隨著新的和即將推出的監(jiān)管框架要求物聯(lián)網(wǎng)設(shè)備以最低安全級(jí)別進(jìn)行部署，再加上IT和OT網(wǎng)絡(luò)的融合，安全已迅速成為每個(gè)人的首要問(wèn)題。

　　安全是每個(gè)行業(yè)的一大話題，但在物聯(lián)網(wǎng)中，它的范圍從

　　▲設(shè)備安全原則

　　▲設(shè)備憑據(jù)和身份管理

　　▲應(yīng)用程序安全

　　▲網(wǎng)絡(luò)安全和應(yīng)用數(shù)據(jù)傳輸

　　▲數(shù)據(jù)存儲(chǔ)安全

　　▲云和IT安全

　　在本文中，我將介紹零信任網(wǎng)絡(luò)的概念以及安全部署設(shè)備的操作管理。

　　什么是零信任？

　　在過(guò)去五年中，零信任已成為一種基本的網(wǎng)絡(luò)安全概念，它指導(dǎo)著組織在保護(hù)其網(wǎng)絡(luò)、設(shè)備和用戶時(shí)所使用的方法。過(guò)去，網(wǎng)絡(luò)是通過(guò)一個(gè)加固的防火墻進(jìn)行安全保護(hù)的，保護(hù)網(wǎng)絡(luò)免受外部變量的影響。連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備被假定為經(jīng)過(guò)驗(yàn)證、保護(hù)和信任的。然而，隨著在傳統(tǒng)IT網(wǎng)絡(luò)之外部署連網(wǎng)的物聯(lián)網(wǎng)設(shè)備，以及越來(lái)越多的用戶從辦公室之外訪問(wèn)數(shù)據(jù)，內(nèi)部網(wǎng)絡(luò)的邊界已經(jīng)被拉長(zhǎng)，這種方法很快成為一種安全負(fù)擔(dān)。

　　零信任方法消除了任何安全假設(shè)，取而代之的是“從不信任，總是驗(yàn)證”原則。這意味著將網(wǎng)絡(luò)上的所有人和一切都視為潛在惡意，并且不應(yīng)授予對(duì)該設(shè)備或連接的隱式信任。零信任在企業(yè)IT領(lǐng)域獲得了良好的發(fā)展勢(shì)頭，但大多數(shù)企業(yè)難以在物聯(lián)網(wǎng)設(shè)備上實(shí)現(xiàn)這一點(diǎn)。基本前提是了解每一個(gè)連接的用戶和設(shè)備以及他們?cè)噲D訪問(wèn)的每一點(diǎn)數(shù)據(jù)，對(duì)于筆記本電腦和手機(jī)等硬件來(lái)說(shuō)，這更簡(jiǎn)單，但問(wèn)題是您如何將這種方法應(yīng)用于連接的物聯(lián)網(wǎng)設(shè)備？

　　連網(wǎng)設(shè)備：設(shè)計(jì)安全

　　使用零信任模型保護(hù)物聯(lián)網(wǎng)解決方案首先要考慮一些傳統(tǒng)的安全因素，以確保已連網(wǎng)設(shè)備的身份及其擁有的訪問(wèn)權(quán)限已得到管理。英國(guó)政府規(guī)定的設(shè)計(jì)安全原則是:

　　▲安全性應(yīng)該從一開(kāi)始就內(nèi)置在產(chǎn)品中

　　▲應(yīng)該增加安全措施來(lái)解決問(wèn)題的根本原因

　　▲安全本身從來(lái)都不是目標(biāo)，它是一個(gè)過(guò)程——而且必須在產(chǎn)品的整個(gè)生命周期中持續(xù)下去

　　▲安全永遠(yuǎn)不應(yīng)該損害可用性——產(chǎn)品需要足夠安全，然后最大限度地提高可用性

　　▲安全性應(yīng)該不斷進(jìn)化以應(yīng)對(duì)和擊敗最新的威脅

　　本質(zhì)上，確保使用基于證書的身份來(lái)部署設(shè)備，再加上遠(yuǎn)程更新設(shè)備固件或應(yīng)用程序堆棧的能力，這為設(shè)備安全奠定了基礎(chǔ)。

　　以零信任方式管理物聯(lián)網(wǎng)設(shè)備的四個(gè)關(guān)鍵步驟

　　1、設(shè)備的獨(dú)特性會(huì)改變攻擊向量

　　了解連網(wǎng)設(shè)備的用途和功能。這可能是一項(xiàng)非常艱巨的任務(wù)，因?yàn)橛写罅吭O(shè)備，每個(gè)設(shè)備都有自己的用例、風(fēng)險(xiǎn)和技術(shù)限制。考慮到電池供電的智能電表或工業(yè)泵與聯(lián)網(wǎng)汽車或邊緣網(wǎng)關(guān)，這些解決方案中的每一個(gè)硬件功能都將大不相同，但所有解決方案都可以作為網(wǎng)絡(luò)上的平等公民進(jìn)行通信。

　　關(guān)鍵要求是可靠地發(fā)現(xiàn)和分類網(wǎng)絡(luò)上的設(shè)備。解決方案應(yīng)提供有關(guān)其身份、目的、功能、位置和標(biāo)準(zhǔn)行為的關(guān)鍵信息。自動(dòng)化這一點(diǎn)至關(guān)重要，因此設(shè)備最初可以使用受信任的身份進(jìn)行部署，然后立即對(duì)其進(jìn)行分段和配置，以供其規(guī)范使用。

　　2、識(shí)別有風(fēng)險(xiǎn)的設(shè)備

　　一旦創(chuàng)建了核心設(shè)備可見(jiàn)性，現(xiàn)在是了解和識(shí)別設(shè)備操作風(fēng)險(xiǎn)概況的時(shí)候了。這包括了解存在已知漏洞、硬件問(wèn)題、過(guò)時(shí)的身份驗(yàn)證方法或訪問(wèn)憑據(jù)的設(shè)備。從這里，設(shè)備狀態(tài)的信息可以與用例的風(fēng)險(xiǎn)狀況相平衡，因此可以采取正確的糾正措施。

　　此信息可用于識(shí)別和解決一臺(tái)設(shè)備的安全問(wèn)題，但企業(yè)可能希望使用此信息來(lái)推動(dòng)其網(wǎng)絡(luò)內(nèi)的安全策略，以動(dòng)態(tài)、自動(dòng)地降低總體風(fēng)險(xiǎn)。例如，當(dāng)固件發(fā)布時(shí)，每個(gè)高風(fēng)險(xiǎn)設(shè)備必須立即通過(guò)無(wú)線方式將固件更新到最新版本。

　　3、了解網(wǎng)絡(luò)行為

　　既然已經(jīng)了解了設(shè)備，并且采取行動(dòng)的工具已經(jīng)到位，那么我們需要評(píng)估和了解網(wǎng)絡(luò)行為以及每個(gè)設(shè)備的通信需求。眾所周知，物聯(lián)網(wǎng)設(shè)備應(yīng)該具有相當(dāng)可預(yù)測(cè)的通信行為，例如以特定的時(shí)間間隔進(jìn)行連接，向已知的IP地址發(fā)送已知數(shù)量的數(shù)據(jù)，以及使用已知協(xié)議和端口來(lái)實(shí)現(xiàn)這一點(diǎn)。

　　4、自動(dòng)隔離設(shè)備

　　通過(guò)上述策略，可以創(chuàng)建安全的設(shè)備，這些設(shè)備帶有用于管理現(xiàn)場(chǎng)行為的工具，再加上一個(gè)用于管理和了解設(shè)備行為的框架，不過(guò)，嚴(yán)格使用和執(zhí)行這些信息是關(guān)鍵。

　　應(yīng)使用最新的已知信息集持續(xù)創(chuàng)建、更新和管理安全策略，然后在整個(gè)連網(wǎng)設(shè)備網(wǎng)絡(luò)中實(shí)施這些策略。這可以通過(guò)為網(wǎng)絡(luò)上的用例創(chuàng)建策略來(lái)實(shí)現(xiàn)，如果設(shè)備不符合此策略，則使用這些策略來(lái)隔離設(shè)備。這提供了只有符合這些政策的資產(chǎn)才能達(dá)到的信任級(jí)別，這意味著了解風(fēng)險(xiǎn)隔離資產(chǎn)的資產(chǎn)清單，并采取行動(dòng)將其納入政策。

　　市場(chǎng)在變化

　　2020年末，Pelion和GSMA發(fā)起了一項(xiàng)針對(duì)企業(yè)安全性的調(diào)查。調(diào)查報(bào)告的一個(gè)關(guān)鍵要點(diǎn)是，絕大多數(shù)受訪者明確表示，他們已經(jīng)改變了安全實(shí)踐。市場(chǎng)正在發(fā)生變化，以確保每個(gè)行業(yè)中影響我們生活的產(chǎn)品都具有基本的安全水平。現(xiàn)在，大多數(shù)組織都在為其基礎(chǔ)設(shè)施制定安全第一的策略，因此重要的是要記住，不僅各種設(shè)備的初始構(gòu)建必須是安全的，而且這些設(shè)備的整個(gè)生命周期管理也必須是安全的。

　　總的來(lái)說(shuō)，大多數(shù)組織今天使用的安全措施最初是為一個(gè)由已知和可信資產(chǎn)組成的更傳統(tǒng)IT網(wǎng)絡(luò)而設(shè)計(jì)的。由于網(wǎng)絡(luò)的邊緣正在迅速變化，以包括連接的物聯(lián)網(wǎng)設(shè)備，因此必須從安全角度重新評(píng)估網(wǎng)絡(luò)環(huán)境。零信任使企業(yè)能夠在大量資產(chǎn)和各種用例中實(shí)施一致的安全配置文件，這有助于最大限度地降低設(shè)備風(fēng)險(xiǎn)，并有助于提高對(duì)網(wǎng)絡(luò)的信任。