長揚(yáng)科技：零信任安全架構(gòu)在IT、OT和IOT領(lǐng)域的應(yīng)用

3零信任是否適用于OT安全？

零信任安全架構(gòu)在IT安全領(lǐng)域取得成功后，是否適用于OT安全？在回答這個(gè)問題之前，我們先分析下國內(nèi)外OT安全的當(dāng)前現(xiàn)狀和新探索。

3.1、國內(nèi)OT安全現(xiàn)狀及思考

國內(nèi)的OT安全市場當(dāng)前以白名單理念為主，產(chǎn)品和解決方案主要圍繞等保2.0，以“一個(gè)中心、三重防御”為思路，產(chǎn)品主要包括：工控主機(jī)衛(wèi)士、工業(yè)防火墻、工業(yè)網(wǎng)閘、工業(yè)監(jiān)測審計(jì)系統(tǒng)、統(tǒng)一安全管理平臺等。在國內(nèi)，零信任安全架構(gòu)尚未應(yīng)用到OT安全領(lǐng)域，假設(shè)在白名單產(chǎn)品的基礎(chǔ)上應(yīng)用零信任安全架構(gòu)，安全產(chǎn)品將獲得哪些提升？下表將探討零信任安全架構(gòu)如何應(yīng)用于OT安全產(chǎn)品。

表2、零信任安全架構(gòu)應(yīng)用于OT安全產(chǎn)品的思考

3.2、國外OT安全現(xiàn)狀及新探索

國外的OT安全市場當(dāng)前百家爭鳴，包括但不限于：專注白名單的工業(yè)防火墻，專注物理上單向傳輸?shù)墓�業(yè)網(wǎng)閘，專注工業(yè)流量全面可視化的下一代防火墻，基于零信任架構(gòu)的工控安全解決方案等。

表3、國外OT安全的典型企業(yè)和產(chǎn)品

3.2.1、思科零信任OT解決方案

本文重點(diǎn)關(guān)注OT安全的新探索，思科基于零信任架構(gòu)的工控安全解決方案。

圖5、思科基于零信任架構(gòu)的工控安全解決方案

思科零信任工控安全解決方案的組件如下表所示，主要包括：思科工業(yè)交換機(jī)和路由器及運(yùn)行在上面的Cyber Vision傳感器、Cyber Vision中心、ISE身份服務(wù)引擎、Secure X安全編排引擎、思科工業(yè)防火墻、思科DNA中心。

表4、思科零信任工控安全解決方案的組件

OT網(wǎng)絡(luò)的零信任之路如下：

第1步：識別端點(diǎn)并建立初始信任

Cyber Vision傳感器嵌入網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器和網(wǎng)關(guān)），收集流經(jīng)工業(yè)基礎(chǔ)設(shè)施的數(shù)據(jù)包 。該傳感器結(jié)合使用被動(dòng)和主動(dòng)發(fā)現(xiàn)技術(shù)，利用工業(yè)協(xié)議的先進(jìn)知識，通過深度數(shù)據(jù)包檢測，對數(shù)據(jù)包有效載荷進(jìn)行解碼和分析。Cyber Vision能夠分析每個(gè)端點(diǎn)，詳細(xì)描述其與其他端點(diǎn)和資源的交互，并構(gòu)建資產(chǎn)清單。

圖6、Cyber Vision中心從網(wǎng)絡(luò)中收集數(shù)據(jù)

Cyber Vision傳感器易于在OT網(wǎng)絡(luò)中部署，因?yàn)樗鼈冊谒伎乒�業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施上作為軟件運(yùn)行，不需要單獨(dú)的設(shè)備，但如果OT網(wǎng)絡(luò)由無法運(yùn)行傳感器的設(shè)備組成，則可以使用專用設(shè)備。傳感器將有關(guān)連接端點(diǎn)的數(shù)據(jù)發(fā)送到被稱為Cyber Vision Center的中央儀表板中，該儀表板可以幫助用戶以類似地圖的格式，可視化每個(gè)端點(diǎn)及其與其他端點(diǎn)的交互。該地圖視圖對于OT團(tuán)隊(duì)根據(jù)實(shí)際的工業(yè)過程邏輯對端點(diǎn)進(jìn)行分組特別有用，因此它可以根據(jù)不同的組與組之間的通信來構(gòu)建策略。