1. 如何構建網路才能保證IoT設備安全
改變網路架構以防止IoT設備被劫持
為了減少大規模攻擊劫持物聯網設備,分支和站點位置的網路架構需要進行重要更改。
首先,用於企業合作夥伴消費的數據應在企業網路的第一跳處卸載下來。
今天,大多數合作夥伴的網路通過DMZ路由與企業網路連接,這種回程給網路基礎設施(路由器和交換機)帶來了不必要的壓力。相反,可以通過在雲中或運營商託管設施中創建第三方安全合作夥伴DMZ,通過VPN本地卸載此數據。這樣,多方的VPN可以彼此對等,同時將這些DMZ限制到特定的幾個位置。
該方式的一個主要優點是第一跳在每個站點就可以卸載合作夥伴網路上的數據,而不是通過公司DMZ回傳大量站點數據,然後將其傳遞到合作夥伴網路。
第二個好處是基於分段的拓撲。並不是所有的合作夥伴網路的數據都需要在相同地點同步進行傳輸,例如,可以向合作夥伴提供在雲中的,針對明確的下降點處對等靈活地收集其數據,這類似於實施基於雲的VPN。
在製造環境中,用於工業自動化的IoT設備並不會關聯用戶,也不具有加密功能。因此,為了保持數據完整性和機密性,網路必須為IoT設備提供安全服務,例如為這些設備進行加密。▲X86機器接收、分段和加密感測器數據,並通過虛擬DMZ安全地傳輸到互聯網上的雲供應商
如前所述,在大多數當前部署中,感測器數據通過公司DMZ和網路進行回程,這迫使IT部門為數據創建復雜的策略以遍歷網路。在上圖中,白盒x86機器上的分區P0有自己的VPN,其管理與所有PLC的連接。每個PLC的連接數據可以從網路中的控制層編程。在這種情況下,在PLC和控制元件之間傳輸的數據包含與製造業公司、工業設備提供商相關的智能操作。
一個數據源(PLC控制器)必須在源處拆分並交付給兩個獨立的組織。來自相同P0
PLC源的數據可以由邊緣路由器放置在兩個不同的VPN中,並且每個都具有單獨的拓撲。製造業公司消耗的數據可以在本地進行處理,然後在車間回傳到企業數據中心。與PLC供應商相關的數據可由分析引擎在本地現場處理,然後發送給合作夥伴供其使用。
這種架構最好在工廠連接到雲的位置部署,然後連接到合作夥伴網路上的VPN,它可以以企業或運營商管理的方式實現。
改變企業管理方法
使用這種方法,企業構建iDMZ VPN並選擇被合作夥伴網路丟棄的雲數據丟棄進行處理。企業承擔保護雲點和內部工廠網路的責任。這需要建立一個完整的安全堆棧,以確保採取適當的保護措施。
改變運營商管理方法
運營商可以將雲VPN作為服務提供給企業工廠網路。
運營商可以宣布VPN丟棄位置,根據其覆蓋區域,可以分布在全球范圍內。企業可以指定哪個合作夥伴從哪個位置的VPN收集數據。
運營商可以提供所有網路功能作為完全管理的服務,包括安全性——使用互聯網作為安全傳輸,合作夥伴只能看到VPN對等位置。
為了實現物聯網的優勢,企業必須從其設施中的感測器和設備中解鎖智能。
然而,他們需要合作夥伴的幫助來安全地分析大量數據,這樣才不會對公司IT網路造成負擔。創建使用優化的數據轉向和強加密的任意VPN分段拓撲結構是企業與合作夥伴建立IoT生態系統的一種方式,它可以保護數據完整性,不會將其網路暴露給安全威脅。