5.1、零信任融入工业互联网安全
当前工业互联网安全主要分为三个场景,工业互联网企业内网安全、工业互联网边缘侧安全和工业互联网平台安全。
工业互联网企业内网安全,可以采用“一个中心、三重防御”的理念,应用统一安全管理平台、工控主机卫士、工业防火墙和工业监测审计系统等系统,采用白名单的策略实施安全防护,未来可升级为零信任安全架构,在工业交换机、工业路由器和工业防火墙上引入零信任技术,实现分区之间的微隔离和动态访问控制。
工业互联网边缘侧和工业互联网平台的安全,可采用零信任安全架构,融入工业互联网云-管-边-端的体系结构,解决边缘侧终端安全接入、边缘侧访问控制、隧道加密、平台侧网络隐身、平台侧动态访问控制和持续信任评估等安全痛点。详细的工业互联网安全架构如下图所示。
图13、基于零信任的工业互联网安全架构图
安全资源层:在边缘侧部署零信任边缘网关,通过无线和有线接入物联网设备,通过4G或5G将数据上送到云端,提供物联网设备准入控制、身份认证、TLS通道加密等功能,同时提供边缘防火墙功能,保护边缘侧的物联网终端。边缘网关,基于安全芯片的可信根,提供可信计算环境和本体安全防护。
安全服务层:在云端部署零信任安全网关和零信任控制器,实现网络隐身。零信任安全网关,提供身份校验、通道加密、访问控制和数据转发等功能。零信任控制器,提供身份认证、访问授权、持续评估和动态策略等功能。
安全运营层:在云端部署密码服务平台和安全管控平台。密码服务平台提供基于PKI体系的证书和密钥分发等功能,证书用于零信任边缘网关等设备的TLS双向认证,需要定期更新。安全管控平台提供资产可视化、攻击面分析、威胁检测和安全基线分析等功能,辅助零信任控制器,进行动态访问控制。
5.2、零信任融合工业互联网标识
工业互联网标识解析体系是工业互联网网络架构重要的组成部分,那么零信任安全架构是否可以结合标识解析体系提升工业互联网安全?在回答该问题之前,本节先深入理解下工业互联网标识解析体系。
工业互联网标识编码是指能够唯一识别机器、产品等物理资源以及算法、工序等虚拟资源的身份符号;工业互联网标识解析是指能够根据标识编码查询目标对象网络位置或者相关信息的系统装置,对机器和物品进行唯一性的定位和信息查询,是实现全球供应链系统和企业生产系统的精准对接、产品全生命周期管理和智能化服务的前提和基础。工业互联网标识解析的基本业务流程如下图所示。
图14、工业互联网标识解析的基本业务流程
(引用自工业互联网产业联盟《工业互联网标识解析白皮书》)
工业互联网标识解析,主要解决的是设备可信身份的问题,通过主动标识模组载体,为每一件产品分配一个数字身份证“工业互联网标识”。下表将结合工业互联网标识解析的典型应用场景,对工业互联网标识和零信任技术融合的优点进行探讨。
表8、工业互联网标识和零信任技术的融合分析
通过上述分析,我们认为零信任安全架构融合工业互联网标识解析体系可以进一步保障工业互联网安全。
6小结
通过本文的探讨,我们认为零信任安全架构可以成功地应用于IT、OT和IOT的安全防护场景。
针对IT安全防护场景,企业数据中心的南北向可应用SDP技术,东西向可应用微隔离技术,企业统一身份认证可应用IAM技术,实现企业远程安全办公、远程安全运维和远程安全研发。
针对OT安全防护场景,考虑到OT的高可靠、高稳定和高性能要求,可以将零信任安全架构先应用于分区边界的微隔离。当前流行的白名单理念是相对静态的安全策略,一旦实施很少变动,逐步融入零信任安全理念,可实现持续信任评估和动态访问控制,提升工控安全技术水平。
针对IOT安全防护场景,可结合物联网云-管-边-端的体系结构,融入零信任安全架构,同时结合工业互联网标识解析技术解决物联网设备可信身份认证的问题,提升物联网边缘侧、通信网络和云平台的安全防护。
长扬科技作为工业互联网安全和工控网络安全领域的第一批践行者,自成立以来持续深耕工业互联网安全、工控网络安全和“工业互联网+安全生产”领域,为中国数字化和高质量发展提供专业可靠的安全基座。在技术创新方面,长扬科技已申请获得专利、软著120余项,自主研发了50余款产品,建立起一套以信创安全生态为底座安全,以工业安全靶场为能力提升手段,覆盖工业网络安全监测、工业网络安全防护、工业视觉安全分析、零信任安全和数据安全的完整产品和服务体系。今年以来,长扬科技在零信任安全领域持续发力,基于 “以身份为基石、业务安全访问、持续信任评估、动态访问控制” 四大关键能力,为企业网络构建无边界的数据安全防护体系,为企业远程办公、远程运维和远程研发测试提供数据安全保障。此外,依托零信任架构对应云-管-边-端的业务体系,构建工业物联网边缘侧安全智慧管理,强化对边缘侧的安全保护,有效防护潜在威胁。
