IoT（物联网）有望为企业带来很多好处，例如，企业更深入地了解资产和成品的性能，改进制造过程，更好为客户提供服务等。然而，与物联网相关的烦人的安全问题仍然让企业万分担忧，在某些情况下，可能会阻碍企业继续推进项目。至少能缓解一些物联网安全风险的可行方案是微分段技术，专家称，这一网络概念有助于让物联网环境受控。

采用微分段技术，企业可以在其数据中心和云环境中创建安全区域，使工作负载相互隔离，并分别进行保护。在物联网环境中，微分段技术可以让企业更好地控制设备之间越来越多的横向数据流，而不再是仅采用以周界防护为主的安全工具。

对于企业来说，将微分段技术应用于物联网可能还为时过早，但业内观察人士认为，物联网的部署有可能促使企业采用微分段技术，以实现比传统防火墙更精细、更简单的保护措施。

物联网带来新的安全风险

物联网安全风险可能包括很多威胁，例如，联网设备本身、支持物联网的软件以及实现所有连接的网络等。

随着物联网部署的增长，安全威胁也在增加。据研究公司Ponemon研究所和风险管理服务公司圣达菲集团（Santa Fe Group）的报告，自2017年以来，与物联网相关的数据泄露事件“急剧”增加。让问题更复杂的是，很多企业并不清楚其环境中以及第三方供应商提供的哪些物联网设备是不安全的。Ponemon的研究表明，很多企业没有集中的责任机制来应对或者管理物联网风险，大部分企业担心他们的数据在未来24个月内会被泄露。

对于医疗等行业来说，物联网安全风险可能尤其严重，因为设备通过网络收集和共享了大量的敏感信息。在研究公司Vanson Bourne调查的232家医疗机构中，82%的机构在过去一年中经历过以物联网为目标的网络攻击。当被问及在医疗机构中最突出的漏洞是什么时，网络被提及的频率最高（50%），其次是移动设备和相应的应用程序（45%），以及物联网设备（42%）。

微分段技术怎样提升物联网安全？

微分段的设计是为了使网络安全更加精细化。下一代防火墙、虚拟局域网（VLAN）和访问控制列表（ACL）等其他解决方案在一定程度上也进行了网络分段。但是，采用微分段技术，策略被应用于每个工作负载，能更好地防止攻击。结果，与VLAN等技术相比，这些工具能够对数据流进行更细粒度的分段。

软件定义网络（SDN）和网络虚拟化的出现，推动了微分段技术的发展。通过使用与网络硬件分离的软件，与软件未与底层硬件分离相比，微分段技术实现起来更容易。

与防火墙等以周界防护为主的技术相比，微分段技术能够更好地控制数据中心的数据流，因此它可以阻止攻击者进入网络进行破坏。

分段也有利于管理。研究公司IDC的物联网安全分析师Robyn Westervelt介绍说：“如果能正确地实现微分段，就可以在物联网设备和其他敏感资源之间增加一层安全防护，不会在防火墙上出现漏洞。但底层基础设施必须支持这种方法，可能需要安装新的、现代化的交换机和网关等。”

出于安全或者隐私的考虑，将网络分成多个部分的概念并不新鲜。一段时间以来，企业一直在隔离一些关键或者高风险的资源。

Westervelt说，例如，网络分段在零售业很常见。很多商家将其支付环境与其他网络数据流隔离开来，以便在合适的范围内应用支付卡行业数据安全标准（PCI DSS），这一套安全标准旨在为接受、处理、存储和传输信用卡信息的企业维护一个安全的环境。

Westervelt说：“这并非万无一失，因为正如我们在零售商Target的数据泄露事件中看到的，攻击者能够找到从一个系统跳到另一个系统的其他方法。然而，这需要丰富的经验和资源，足以让很多出于经济动机的攻击者望而止步。但还是有人能得手。” 

Westervelt介绍说，这些年来，一直不是非常清楚Target泄露事件的细节。她说：“攻击者利用被盗的证书，进入了Target公司用来向其暖通空调供应商支付费用的承包商计费系统。从那里，他们进入了网络，并横向移动到POS（销售点）系统。”

Westervelt说，微分段技术还可以用来隔离虚拟环境中的关键应用程序工作负载。她说：“这就是我在‘微分段’背景下所想到的。通过这种方式，你可以对关键工作负载设置更严格的控制措施，并密切监视对其进行的访问和更改。”

该技术也被认为是工业控制系统环境中的最佳实践。Westervelt说：“一家企业可以使用工业防火墙和单向网关隔离分配给敏感过程的关键可编程逻辑控制器。”

在IT环境中，可以对连接了互联网的新部署的运维技术（OT）进行分段，以防止攻击者将其作为进入生产系统的跳板或者垫脚石。这就是微分段与物联网相关联的地方。

Westervelt说：“这些OT技术包括现代建筑管理系统、太阳能电池板、电梯传感器以及包括灭火系统在内的物理安全机制。目前，还没有充分认识到这一领域的重要性，但我们看到一些大型银行和金融服务公司在数据中心设施中降低了与这些OT技术相关的风险。”

网络专家说，将微分段作为广泛的物联网安全策略的一部分而进行部署是非常有意义的。

独立信息安全顾问Kevin Beaver认为：“这种网络模型允许对网络系统进行更细粒度的控制，并在发现安全漏洞时，更好地进行隔离。这些优点不仅有助于提高安全可见性和控制能力，而且还有助于事件响应和取证。”

研究公司Gartner的主任分析师Jon Amato说，这项技术“可能是将物联网网络与IT系统分割开来的一种非常有效的方式。微分段技术创建‘虚拟分段’的能力非常有用，即使跨过多个物理位置，也能将各类设备彼此分开。”

Amato说，这也很符合美国国土安全部（DHS）等组织的物联网安全指南。国土安全部在其《物联网安全战略原则》报告中建议，企业应权衡联网的好处及其带来的风险。

报告称：“物联网用户，特别是在工业环境中，鉴于物联网设备的使用及其遭受破坏所带来的风险，应慎重考虑设备是否需要一直联网。物联网用户还可以通过小心谨慎地连接，并权衡物联网设备可能遭到破坏或者失效的风险，以及限制联网的成本，从而遏制网络连接可能带来的威胁。”

Amato说，微分段非常符合这个建议。他说：“仅仅创建一个物联网分段（我称之为物联网沼泽）还远远不够，还需要将这些设备彼此分割开来。而且，很多物联网设备缺乏基于主机的控制机制，因此只能通过微分段等外部化的解决方案来实现这一点。”

物联网安全微分段起步缓慢

Amato说，尽管很有优势，但迄今为止，似乎还没有广泛采用微分段技术来实现物联网安全。

Amato说：“我所看到的是，只有那些已经拥有成熟的物联网安全计划的企业才采用微分段技术，或者将现有的项目扩展到物联网领域。”

对于大多数企业来说，Amato认为：“简单地将IT和物联网分开是他们目前的最佳选择。有时候，尽力而为就已经足够好了。这很有用，我看到很多企业对此都很有兴致。但是，在研究了使之全面工作所需付出的努力之后，真正为物联网进行微分段的企业少之又少。”

Beaver说，对于构建物联网基础设施的企业来说，重要的是要考虑他们是否真的需要针对物联网安全进行微分段。

Beaver说：“必须确定目前的风险等级和业务流程。每一项新技术或者新控制措施都会带来意想不到的后果。与零信任模型相关的其他复杂因素会影响企业的安全项目，从而抵消任何可能的好处吗？”

一个好的做法是彻底了解物联网将怎样影响企业中的所有网络，以便确定保证数据安全传输的最佳方法。

Beaver说：“制定的安全标准和政策不仅是可执行的，而且实际上是强制执行的——涵盖了物联网。在控制上要聪明。如果你从基于风险的角度来看待这个问题，并誓言要尽量降低网络复杂度，那就必须能够控制好自己的物联网环境。”

作者：Bob Violino目前在纽约，是Computerworld、CIO、CSO、InfoWorld和Network World的特约撰稿人。

编译：Charles

原文网址：https://www.networkworld.com/article/3442753/iot-can-be-a-security-minefield-can-microsegmentation-help.html

责任编辑：周星如