精彩回顾丨用ZTNA的思维进行OT安全建设
制造业从自动化到数字化、智能化,已经迈入工业互联网时代,此背景下的OT网络安全建设面临着全面的挑战。尤其当万物互联打破了传统的普渡模型分层限制,网络边界已经无法像过去那样内外清晰区分。正因如此,OT网络安全建设该何去何从?在Fortinet“垂直行业网络安全案例直播讲座”第二期中,Fortinet华南区技术总监玉文锋通过实际案例,展示了建设原则与方法。
工业互联网时代OT安全面临四大新挑战
首先,工业互联网的创新业务模式使得云计算、SaaS应用在智能化生产中被大量运用(如柔性生产、订单驱动、用户定制、生产即服务等),更有5G、WiFi6等新型的网络接入,打破了传统的普渡模型分层限制,形成了云管-IoT-监控深度集成的闭环体系,对OT网络安全建设带来新的挑战。
其次,制造业数字化转型的核心——IoT/IIoT迅速扩大了企业网络的攻击平面,也带来了巨大的安全挑战:例如,物联网设备被攻陷后可能导致威胁的横向移动、物联网设备身份验证泄露会造成未经授权的设备登录网络窃取数据,并导致勒索软件、DDoS攻击、欺诈邮件等威胁频发。
第三,边缘计算带来了网络安全性能挑战,边缘计算需要数据上行、指令下行、即时响应等,还需要对数据在边缘层进行即时分析,这种边缘交互,不但要对边缘层海量现场设备、数据进行编排,还要针对边缘层内的软硬件系统的全生命周期的运维管理,网络流量远超传统,网络安全处理能力相应受到严峻挑战。
最后,以灯塔工厂为代表的数字化创新带来的挑战,灯塔工厂大量使用新技术、IIoT设备与工业新协议、5G MES、5G机器视觉AI质量检测,以及更加智能化的昂贵机台越来越多,开放的新技术以及越来越多的设备对网络稳定性和网络安全有着更加苛刻的要求。
“一个原则”“全面能力”“一个方法”
一个原则
工业互联网时代,应对新的网络安全威胁形势,OT网络安全建设首先要遵循一个原则,即CIA倒置原则。从OT客户角度来看,生产的持续性、稳定性、不中断性是压倒一切的,这与信息安全领域“CIA”安全模型的优先顺序完全相反,IT网络安全对机密性有着较高的要求,而OT安全最在意的是可用性。
全面能力
其次是要打造全面的安全能力。工业互联网体系庞大,覆盖了IT/OT,相应的安全能力要覆盖从 IT网络到OT网络整个链条,从设备到网络到主机到数据到协议等全体系,需要借助普渡模型的层次化思维,建立起一个纵深防御体系。
一个方法
第三是采用零信任的方法。传统的“信任”理念网络安全思维已经无法应对工业互联网这种庞大、多变的体系,因其不但边缘难以定义,随时随地还会有新的“边缘”出现,一切变得“不可信”。只有基于零信任的方法进行细致的安全域以及普渡分层划分,借助安全身份认证的措施,把不可信的访问主体变成可信访问,才能扭转局面。
真实案例:基于零信任的OT安全建设
玉文锋通过实际案例分享了如何进行基于ZTNA的OT安全建设:
某新型智能制造企业IT/OT融合后的攻击面迅速扩大,新厂房车间的扩建、新生产线的建立、全新的机台设备引入、新的业务模式、生产管理系统……打通了IT与OT的边界,然而部分工业系统仍然具有高风险漏洞,但全网无工业安全防护设备。
同时,影子IT现象也让生产网存在“暗”流量问题,无法满足合规要求,生产网内流量无法可视化,出现异常故障排查非常困难,车间内终端存在线路错误的风险,还有VLAN运维难度大等问题,影响生产,威胁通过VPN向其他区域的工厂蔓延,造成更大范围的危害,但威胁移除的周期却难把控。
Fortinet为其构建基于ZTNA理念的OT网络安全方案。
首先,实现车间和人员的每终端隔离(ZTNA MSG),Fortinet的工业安全防火墙FortiGate+100多台的FortiSwitch不但实现了生产网开箱即用简易型的物联网NAC,能够识别接入设备,根据接入设备的类型/身份认证/标签等应用不同的策略,而且提供最强大最细腻的微隔离,杜绝了威胁的横向移动纵向传播,FortiSwitch安全交换机支持MRP协议,实现PCN网络的快速故障恢复。
另外,在微隔离之上通过在2.5层、3.5层部署工业防火墙识别工业协议流量,进行细颗粒度的协议消息识别(“信令级别”),包括消息和参数级别的策略控制。
第三,建立人员和设备的IAM系统,为生产车间的设备在FortiAuthenticator上建立账号,当设备接入网络时,根据FortiAuthenticator上账号信息(MAC地址)来认证设备并分类到不同的VLAN中,解决了大量的机台设备、IIoT设备接入的风险控制问题。
第四,实现用户的双因素认证,让用户远程接入、远程设备维护更安全。当用户离开办公园区,通过FortiToken实现多因素认证,有效避免账号泄密带来的风险。动态令牌技术实现随时随地安全登录,满足员工账号管理安全,为员工随时随地办公创造安全环境。
此外,Fortinet还为客户以FortiMail为核心建立邮件安全防护体系,有效过滤钓鱼、病毒、垃圾邮件,同时对关键业务邮件、供应商邮件采用了IBE-S/MIME模式加密。
最后,建立IT/OT融合的安全自动化运维系统,通过部署全面集成OT功能的FortiAnalyzer+ FortiSIEM平台,实现OT网络的可视化、OT UEBA和异常分析、IT/OT融合的安全自动化运营,缩短安全事件的闭环处理周期。