技術丨思科零信任,助力製造業築牢安全屏障

原創 思科聯天下 思科聯天下

中國經濟正處於高質量發展的重要時期,通過積極促進數字技術與實體經濟深度融合,數字經濟發展成果顯著。製造業是實體經濟的基礎,其數字化轉型正朝著更深層次邁進,無論是研發、供應鏈,還是生產、營銷,數字化應用都已進入深水區。建設現代化產業體系,堅持把發展經濟的著力點放在實體經濟上,推進新型工業化,加快建設製造強國、質量強國、航天強國、交通強國、網絡強國、數字中國,這也為製造業提供了更加清晰的目標。通過採用創新的數字技術實現降低成本、提高質量、增加效益和保障安全的製造業核心業務價值,最終實現數字化轉型,是中國製造行業的共識。

越來越多的製造企業對網絡進行現代化升級,終端設備不斷增加的同時,企業也在使用越來越多樣的系統和應用來加快全數字化進程。局域網、無線網、廣域網,分散的網絡策略,多樣化的終端接入方式,不計其數的遠程連接,都讓企業網絡的規模和復雜性不斷增加,達到了網絡設計意圖始料未及的程度。當前,製造行業在信息安全上主要面臨三大風險:

一、層次不清晰,隔離不力;

二、系統安全漏洞未知,缺乏風險與威脅情報;

三、訪問控製手段粗放,難以有效控制和管理。

為什麼很多企業目前採用的安全措施還不是那麼有效?首先,在部署網絡安全時,大部分企業都會選擇多家廠商的安全產品或解決方案,這些產品之間的集成聯動沒有取得預期的效果;其次,企業的受攻擊面不斷擴大,安全防護的技術難度也在與日俱增,許多終端附近可能沒有專人來提供保護。 IT 永遠在 “救火式” 響應問題,企業投入大量成本,取得的效果卻難以言述。

思科大中華區副總裁,安全事業部總經理卜憲錄表示:


在安全方面,客戶很難一次性投資所有事情,因此,思科提出‘零信任之旅’的概念,這是一個很清晰的脈絡和旅程。借助思科零信任,企業可以一致地實施基於策略的控制;全面洞察整個環境中的所有用戶、設備、組件等;獲得有助於更好地檢測和應對威脅的詳細日誌、報告和警報;利用思科零信任安全框架提供更加安全的訪問,防止可視性方面的缺漏,並縮小受攻擊面。

圖片 思科零信任,打造製造企業安全屏障

企業面臨的網絡安全難關已經從數據安全上升到企業安全。思科強調企業安全無差別、無邊界、零信任、端到端,致力於在零信任的網絡架構基礎上做到端到端的安全性。

零信任是什麼?它是一種為網絡、應用和環境中的所有訪問全面提供安全保護的方法。這種方法有助於為來自用戶、最終用戶設備、API、物聯網、微服務、容器等的訪問提供保護。它可以保護員工、工作負載和工作場所。

零信任是一種安全策略,其核心理念是在組織網絡架構中避免一切默認的信任。與傳統方法的區別在於,零信任方法從不默認信任,會為每個訪問請求建立信任,確保只有正確的用戶和設備才可以訪問應用程序和網絡。

思科的零信任概念包括三個 W ,分別適合IT環境下三個主要角色,一是 Workload ,主要是在數據中心領域;二是 Workforce ,是指使用 IT 資源的參與者;三是 Workplace ,是指提供辦公的基礎環境。

零信任的基本概念是去除缺省信任,同時僅僅按照業務實際需求給予最低訪問權限。思科的零信任方案端到端覆蓋了任意場景的安全需求,同時通過打破缺省信任實現整個方案的零信任戰略。 Workforce 為用戶及其設備建立信任度,以訪問應用程序和資源。 Workplace 為所有用戶和設備,包括物聯網,建立對網絡的最小特權訪問控制。 Workload 基於風險評估、情景策略和經過驗證的業務需求,限制對工作負載的訪問。

隨著 IT 技術的不斷升級,用戶場景更加多變,設備類型也更加多樣化,應用虛擬化技術不斷迭代,以及業務安全的邊界越來越模糊,企業安全面臨更大的挑戰。思科的零信任安全通過 4 個 A 來實現,即任何用戶(Any User)、任何設備(Any Device)、任何應用(Any App)、任何地點(Any Where),都需要打破原有的默認信任機制,通過集成化的方案實現對 4 個 A 的端到端的安全認證和賦能,以此尋求證明用戶、設備、應用和行為的可信性。

4A 的目的是為了實現任何用戶都能夠實現可信的接入,包括物聯網在內,每個用戶都能夠可信地接入到網絡。同時,保證任何接入設備本身都是受保護的、安全的。再者,保證任何應用都是安全的,不管應用是在傳統數據中心還是在公有云中,都具備可視性並實現相應的安全保護。最後,用戶從任何地方接入網絡,不管應用部署在哪裡,都能夠實現一致性的安全策略,保證其合規性。

圖片 構築零信任的橋樑,思科助力企業實現智能製造

工業 4.0 和 IoT 等創新技術的發展給製造業網絡安全帶來了新的挑戰,OT 和 IT 已經變得密不可分。在製造業場景中,IT 和 OT 人員有不同的操作程序和角色分工,他們的關注點有很大的不同。 OT 人員的任務是建立和維護物聯網/ OT 網絡以及連接到這些網絡的設備。他們專注於安全性、可靠性和生產力。 IT 安全人員則專注於維護信息的保密性以及 IT 系統的完整性和可用性。二者最終目標都是為了確保組織的安全,將風險降到最低。

但是,製造業普遍存在 IT 和 OT 疏離的問題。分工不同導致二者之間出現巨大的認知鴻溝:IT 人員有技術知識,卻不了解 OT 運營方式;OT 人員對運營很清楚,但缺乏 IT 知識。另外,在某些製造場景中,企業的很多設備使用時間過長,非常老舊,IT 的方案並不能與之匹配;OT 的一些溝通協議,或是一些特殊設備,必須有更加適合 OT 的場景,同時又要滿足 IT 對 OT 的可視要求。企業顧此失彼,導致 IT 與 OT 無法很好地融合在一起。

針對這些問題,思科推出了 “ IT / OT 的融合方案” 。採用了專門針對工廠,適合 OT 的防火牆 ISA3000 ,能夠滿足特殊的 OT 場景的安全需求。思科 Cyber Vision 可以幫助管理員快速發現並定義 OT 資產,生成實時網絡通信視圖,讓 OT 工程師在任意位置都能夠清楚地看到他們的 OT 網絡在不同條件下的運行情況,更好地計劃安全和生產的連續性;同時,與 IT 網絡安全團隊合作,通過多系統集成將 OT 的背景、理解和知識帶給 IT 團隊,為實現整個企業網絡,包括任何用戶(Any User)、任何設備(Any Device)、任何應用(Any App)、任何地點(Any Where)在內的安全目標奠定堅實的基礎。

另外,思科的 ISE 系統幫助客戶進一步完成了 IT / OT 融合,將 IT 網絡及 OT 網絡的接入控制及可視統一起來。 Stealthwatch 流量分析系統將 IT/OT 流量統一呈現,方便管理回溯及異常問題發現。思科 Firepower 下一代防火牆用戶負責 IT / OT 的訪問隔離及策略控制,這些產品同時都與 Cyber Vision 系統深度集成,形成一體化的架構方案,讓任意 OT 設備的每個接入和每次訪問都十分清楚。通過這種方式,IT 和 OT 加強了溝通,他們之間的知識可以相互分享,最終為企業提供完美的解決方案。

零信任安全策略是一個長期的過程,思科以 “工業網絡零信任四步保護法” 保護企業資產。首先,資產發現,識別企業所有工業資產以構建正確的安全策略;其次,網絡分段,隔離網絡以建立安全域和可控訪問通道,以避免攻擊蔓延;再次,威脅檢測,檢測 IT 入侵和異常 OT 行為,以保持流程完整性。最後,IT / OT 集成 SOC ,全面了解安全事件以簡化調查和補救措施。

思科基於 3W 戰略為企業製定了具體的零信任方案,並在國內製造企業進行了實施。方案包含並覆蓋:零信任辦公、零信任靈活辦公、零信任數據中心,及零信任工廠四個部分。

思科的零信任方案為製造企業在各種應用和整個環境中,來自任意用戶、設備和位置的訪問提供完善的保護,員工、工作負載和工作場所都處於思科零信任安全框架的安全防護中。零信任辦公場景下,思科身份服務引擎(ISE)可實時調配有關網絡接入設備的策略,使移動用戶或遠程用戶能夠以可信合規的方式通過無線連接獲得與有線連接一致的服務訪問體驗。在混合辦公場景下,無論員工在任何場所,都可以通過安全專用通道連接公司的各種業務程序,實現靈活安全辦公。

思科在數據中心安全架構中,通過思科 Firepower 下一代防火牆與數據中心 ACI 方案相結合,利用微分段技術來完成數據中心安全區域及邊界的安全隔離,並通過思科專利技術防火牆集群技術,將思科防火牆更加高效的集成至數據中心 Fabric 網絡。同時,將集群應用在雙活數據中心場景,幫助用戶解決雙活數據中心場景中遇到的異步流量及策略一致性的問題。通過中長期分步實施網絡安全策略,思科助力製造企業向全域智能製造零信任穩步演進。

思科建議企業在執行零信任建設時可以從三點出發:

圖片
首先,企業從領導到執行側,認可零信任原則,避免由於信任導致的安全風險,可信是臨時的,針對必要訪問採取最小權限原則;
其次,制定企業自身的零信任安全戰略,分場景、分階段製定方案,逐漸向全域智能製造零信任演進;
最後,基於戰略進行方案細化並進行零信任能力建設,提高企業的信任驗證能力,授權的執行能力,可信狀態持續跟踪能力,權限動態變更能力以及事件回溯分析能力。
圖片

通過網絡及安全的逐漸演進,最終達到全域零信任狀態。

毫無疑問,企業正在加速上雲的步伐,無論是公有云、私有云,還是混合雲,加速向雲遷移正在推動著對雲原生技術和雲消費體驗需求的產生,安全防護必須無處不在。

正如卜憲錄所言:


安全沒有一體適用的萬全之策,零信任不僅僅是技術,還有關思維和過程。思科零信任的願景在於,讓網絡安全賦能 IT 轉型,當訪問無處不在,從任何設備連接到任何應用程序的所有用戶都能實現安全訪問。同時,思科在中國市場有一個重要使命,就是將思科先進的科技用開放的平台賦能給國內的生態合作夥伴,為不同行業的客戶提供最值得信賴的安全策略和無處不在的專業保障。