隨著物聯網(IoT) 設備在企業設備中變得越來越普遍,管理設備訪問對于安全至關重要。物聯網防火墻將零信任安全策略應用于微觀和宏觀部分的物聯網基礎設施。下面,我們將討論什么是物聯網網絡防火墻和物聯網嵌入式防火墻以及各自的典型用例。
物聯網防火墻的工作原理
物聯網設備對組織的網絡構成重大安全風險。物聯網防火墻保護這些設備免受利用,可以通過以下兩種方式之一實施:
- IoT 網絡防火墻:IoT 網絡防火墻部署為網絡網關的一部分,允許對組織的 IoT 部署進行宏觀和微觀分段。物聯網網絡防火墻可以使用 VPN 來加密網關和遠程服務器之間的流量,這些服務器處理物聯網設備收集的數據。
- 物聯網嵌入式防火墻:物聯網嵌入式防火墻內置于物聯網設備的操作系統中。它們由物聯網設備制造商安裝,可以過濾到設備的流量,并可能充當 VPN 端點。
物聯網防火墻的重要性
物聯網設備因其安全性差而臭名昭著。一些常見的物聯網安全風險包括:
- 舊版操作系統:物聯網設備可能正在運行過時的操作系統版本。這使得它們很容易通過眾所周知的漏洞被利用。
- 缺乏內置安全性:大多數物聯網設備缺乏桌面系統上常見的內置防火墻和防病毒軟件。這使得攻擊者更容易利用這些系統并用惡意軟件感染它們。
- 補丁管理困難:您最后一次更新燈泡中的軟件是什么時候?修復功能和安全問題對于所有軟件的安全至關重要。然而,物聯網設備很少更新,因此容易受到攻擊。
- 弱密碼:物聯網設備通常在不更改默認密碼的情況下部署,并且可能具有用戶無法更改的硬編碼密碼。當這些密碼公之于眾時,攻擊者可以簡單地登錄易受攻擊的設備。
- 物理安全性差:許多物聯網設備(例如聯網攝像頭)旨在部署在公共和遠程位置。通過對設備的物理訪問,攻擊者可能能夠繞過并破壞設備的安全防御。
- 不安全的協議使用:雖然大多數互聯網流量避免使用 Telnet 等不安全協議,但物聯網設備并非如此。這些協議的使用使攻擊者更容易竊取登錄憑據并利用易受攻擊的協議。
這些安全問題使物聯網設備對其所有者和部署它們的網絡構成重大安全風險。物聯網防火墻通過使設備更難受到攻擊并限制受感染設備的影響來幫助管理這種風險。
物聯網架構不同
物聯網設備被部署在各個行業,但這些設備和架構并不是平等的。工業物聯網和消費物聯網通常部署在兩種截然不同的架構下。制造商通常使用Purdue 模型來細分其工業控制系統(ICS) 網絡。該模型將物聯網架構分為具有明確目的的多個層。物聯網網絡防火墻檢查和控制跨網絡邊界的流量。
- 4/5 級:企業層是企業 IT 網絡,企業資源規劃 (ERP) 系統在其中對制造運營進行高級管理。
- 3.5 級:非軍事區 (DMZ)將 IT 和 OT 環境分開,并包括旨在保護 OT 環境免受 IT 網絡攻擊的安全系統。
- 第 3 級:制造運營系統管理制造車間的工作流程。
- 2 級:在過程網絡中,操作員使用人機界面 (HMI) 訪問監控和數據采集(SCADA) 軟件來監控和管理物理過程。
- 級別 1:在控制網絡中,PLC(可編程邏輯控制器)和 RTU(遠程終端單元)等智能設備監控和操作物理設備。
- 0 級:在現場網絡中是執行制造操作的物理設備和傳感器。
相比之下,部署在更大、更多樣化地理區域的消費者物聯網設備可能在四層架構模型下運行:
- 傳感器層:物聯網設備收集數據進行處理。
- 網絡或數據采集層:來自一個或多個系統的數據由物聯網網關收集并安全地傳輸到處理系統。
- 數據預處理層:基于邊緣的物聯網設備執行預處理以減少發送到基于云的服務器的數據量。
- 云分析或應用層:云服務器分析數據并為用戶提供對分析和數據的訪問。
工業物聯網架構集成了消費者物聯網部署可能缺乏的安全層。物聯網網關和云防火墻可以控制訪問以提高消費物聯網設備的安全性。
哪些行業需要物聯網防火墻安全?
物聯網的采用正在全面增長,這使得物聯網安全對所有組織都很重要。但是,對于某些行業和公司而言,物聯網防火墻安全尤為重要,包括:
- 工業:高可用性和性能要求意味著 OT 系統通常運行舊軟件并且對內置安全解決方案的支持有限。隨著這些系統越來越多地連接到 IT 環境,物聯網防火墻安全對于阻止攻擊進入 OT 環境然后在組織內橫向移動至關重要。
- 醫療保健:醫療物聯網 (MIoT) 正在迅速發展,包括起搏器、掃描儀、健身追蹤器和類似的聯網設備。這些設備的安全性差使得物聯網防火墻必須阻止試圖利用這些易受攻擊的設備。
- 企業:除了行業特定的解決方案外,企業還部署了智能樓宇管理系統、網絡攝像頭和打印機等物聯網設備。并非所有設備都可能被 IT 團隊知道或管理,從而使它們容易受到利用。
- 設備制造商:物聯網設備獨特的部署場景使其難以使用傳統方法進行保護。通過在其設備上部署物聯網嵌入式防火墻,設備制造商可以提高這些設備的安全性和對企圖利用的彈性。