如何构建网络才能保证IoT设备安全
发布网友
共1个回答
热心网友
改变网络架构以防止IoT设备被劫持
为了减少大规模攻击劫持物联网设备,分支和站点位置的网络架构需要进行重要更改。
首先,用于企业合作伙伴消费的数据应在企业网络的第一跳处卸载下来。
今天,大多数合作伙伴的网络通过DMZ路由与企业网络连接,这种回程给网络基础设施(路由器和交换机)带来了不必要的压力。相反,可以通过在云中或运营商托管设施中创建第三方安全合作伙伴DMZ,通过VPN本地卸载此数据。这样,多方的VPN可以彼此对等,同时将这些DMZ*到特定的几个位置。
该方式的一个主要优点是第一跳在每个站点就可以卸载合作伙伴网络上的数据,而不是通过公司DMZ回传大量站点数据,然后将其传递到合作伙伴网络。
第二个好处是基于分段的拓扑。并不是所有的合作伙伴网络的数据都需要在相同地点同步进行传输,例如,可以向合作伙伴提供在云中的,针对明确的下降点处对等灵活地收集其数据,这类似于实施基于云的VPN。
在制造环境中,用于工业自动化的IoT设备并不会关联用户,也不具有加密功能。因此,为了保持数据完整性和机密性,网络必须为IoT设备提供安全服务,例如为这些设备进行加密。
▲X86机器接收、分段和加密传感器数据,并通过虚拟DMZ安全地传输到互联网上的云供应商
如前所述,在大多数当前部署中,传感器数据通过公司DMZ和网络进行回程,这迫使IT部门为数据创建复杂的策略以遍历网络。在上图中,白盒x86机器上的分区P0有自己的VPN,其管理与所有PLC的连接。每个PLC的连接数据可以从网络中的控制层编程。在这种情况下,在PLC和控制元件之间传输的数据包含与制造业公司、工业设备提供商相关的智能操作。
一个数据源(PLC控制器)必须在源处拆分并交付给两个的组织。来自相同P0
PLC源的数据可以由边缘路由器放置在两个不同的VPN中,并且每个都具有单独的拓扑。制造业公司消耗的数据可以在本地进行处理,然后在车间回传到企业数据中心。与PLC供应商相关的数据可由分析引擎在本地现场处理,然后发送给合作伙伴供其使用。
这种架构最好在工厂连接到云的位置部署,然后连接到合作伙伴网络上的VPN,它可以以企业或运营商管理的方式实现。
改变企业管理方法
使用这种方法,企业构建iDMZ VPN并选择被合作伙伴网络丢弃的云数据丢弃进行处理。企业承担保护云点和内部工厂网络的责任。这需要建立一个完整的安全堆栈,以确保采取适当的保护措施。
改变运营商管理方法
运营商可以将云VPN作为服务提供给企业工厂网络。
运营商可以宣布VPN丢弃位置,根据其覆盖区域,可以分布在全球范围内。企业可以指定哪个合作伙伴从哪个位置的VPN收集数据。
运营商可以提供所有网络功能作为完全管理的服务,包括安全性——使用互联网作为安全传输,合作伙伴只能看到VPN对等位置。
为了实现物联网的优势,企业必须从其设施中的传感器和设备中解锁智能。
然而,他们需要合作伙伴的帮助来安全地分析大量数据,这样才不会对公司IT网络造成负担。创建使用优化的数据转向和强加密的任意VPN分段拓扑结构是企业与合作伙伴建立IoT生态系统的一种方式,它可以保护数据完整性,不会将其网络暴露给安全威胁。
