برای امنیت اينترنت اشيا صنعتي از تفکیک کردن یا قطعه بندی (segmentation) به جای دیوار آتش استفاده کنید.

از OCCC Wiki
پرش به: ناوبری، جستجو

مقدمه

فایروال ها سالهاست که برای تأمین امنیت دستگاههای داخلی یک استاندارد محسوب می شوند، اما اینترنت اشیاء صنعتي (IIoT) این فرآیند را تغییر خواهد داد.

در سطح دنيا در پنج سال گذشته اینترنت اشیاء (IoT) برای بخش های مختلف فناوری اطلاعات مورد توجه متخصصان شبکه و امنیت بوده است. این امر به ویژه در مورد IoT صنعتی (IIoT) نیز صادق می باشد. دستگاه های صنعتی متصل فرآیند های پیچیده ایی ندارند اما با این حال بیشتر افراد و متخصصان IT با آنها آشنایی ندارند زیرا توسط تیم های فناوری عملیاتی (OT) اداره می شوند. با این حال بیشتر مدیران مشاغل مختلف تمایل زیادی دارند OT و IT را با هم جمع كنند تا بینش بهتری از مجموعه داده های تلفیق شده داشته باشند.

در ادغام IT و OT و داشتن IIoT در مالکیت IT مزایای بسیاری وجود داشته و تأثیر عمیقی بر تیم امنیت سایبری خواهد گذاشت زیرا این فرآیند می تواند تهدیدات امنیتی جدیدی را معرفی می کند. هر نقطه پایانی متصل در صورت نقض شدن ، یک درب پشتی بر روی سیستم های دیگر ایجاد می کند.

فایروال های داخلی گزینه ای گران قیمت و پیچیده ای برای IIoT هستند.

در سیستم های صنعتی همیشه فایروال های داخلی در جایی مستقر می شدند که ترافیک در جهت "north-south" حرکت می کرد و از یک نقطه ورودی / خروجی مانند سوییچ core عبور می کرد. همچنین دستگاههای متصل، همگی توسط تکنولوژی های فناوری اطلاعات شناخته و مدیریت می شدند. با استفاده از IIoT اتصالات می توانند بسیار پویاتر بوده و ترافیک می تواند در یک الگوی "east-west" بین دستگاه ها جابجا شود. این بدان معناست که تیم های امنیتی باید در هر نقطه اتصال IIoT یک فایروال داخلی مستقر کرده و سپس سیاست ها و پیکربندی ها را در صد ها یا احتمالاً هزاران فایروال مدیریت کنند که در این صورت وضعیتی تقریباً غیرقابل کنترل ایجاد می شود.

پس از ارزیابی دقیق در مورد نیاز به همه فایروال های داخلی ، می توان تخمین زد که هزینه کل فایروال ها در یک واحد صنعتی بزرگ به صدها هزار دلار هم خواهد رسید. حتی اگر یک واحد صنعتی بتواند از عهده آن برآید، یک لایه دیگر از چالش های مرتبط با طرف عملیاتی هم وجود دارد. شبکه ها همچنان تکامل می یابند و معماری آنها گسترده تر می شود، بنابراین اشخاص ثالث بیشتری نیازمند دسترسی به داده های سیستم های داخلی خواهند شد که این مسئله می تواند محیط های IIoT فعلی را پرمخاطره تر کند. همچنین نفوذگران غیر مجاز در سطح مهارت پیشرفته تری ظاهر خواهند شد و به راحتی می توان مشکلات تیم های امنیت سایبری در مواجه با امنیت شبکه سنتی را درک کرد.

Micro-segmentation مقدم بر firewall های داخلی در IIoT

متخصصان امنیتی می توانند به جای استفاده از فایروال های داخلی از Micro-segmentation استفاده کنند. این تقسیم بندی شبیه به استفاده از VLANs و ACL است اما جداسازی محیطی در سطح دستگاه انجام می شود و به جای آن در لایه شبکه با قوانین مربوطه مدیریت می شود. با استفاده از VLAN ها و ACL ها، تمام دستگاه ها از جمله نقاط انتهایی IIoT باید به یک VLAN اختصاص داده شوند. اگر نقطه انتهایی تغییر کند، شبکه باید مجدداً تنظیم شود تا در آن جای بگیرد. اگر این کار انجام نشود دستگاه نمی تواند وصل شود یا در همان شبکه دستگاه هایی قرار دارد که ممکن است در صورت نقض شدن این فرآیند، از کار بیفتد.

بخش بندی کارکردها در لايه تجهيزات

مزیت تقسیم بندی این است که در لایه نرم افزاری انجام می شود و در لایه اتصال دستگاه کار می کند، بنابراین خط مشی ها از نقاط پایانی پیروی می کنند. به عنوان مثال: می توان قانونی را ایجاد کرد که کلیه وسایل پزشکی در یک بخش خاص قرار داشته باشند و از بقیه گره های متصل جدا شوند. اگر دستگاه پزشکی جابجا شود، خط مشی با آن پیش می رود و نیازی به پیکربندی مجدد موارد نیست. Micro-segmentation در مراکز داده برای تأمین ترافیک جانبی که بین ماشینهای مجازی و کانتینر ها جریان دارد استفاده شده است. اکنون تیم های امنیت سایبری باید به دنبال گسترش این فناوری به شبکه های گسترده تر باشند و اولین مورد استفاده برای اطمینان از آن، نقاط پایانی IIoT است. این امر باعث می شود تا مشاغل با برنامه های متحول شده دیجیتالی به پیش بروند بدون اینکه شرکت های خود را در معرض خطر قرار دهند.

                                                                             نیلوفر کریمی آذر دبير كارگروه اينترنت اشيا

منبع