隨著物聯(lián)網(wǎng)(IoT) 設(shè)備在企業(yè)設(shè)備中變得越來越普遍，管理設(shè)備訪問對于安全至關(guān)重要。物聯(lián)網(wǎng)防火墻將零信任安全策略應(yīng)用于微觀和宏觀部分的物聯(lián)網(wǎng)基礎(chǔ)設(shè)施。下面，我們將討論什么是物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻和物聯(lián)網(wǎng)嵌入式防火墻以及各自的典型用例。

物聯(lián)網(wǎng)防火墻的工作原理

物聯(lián)網(wǎng)設(shè)備對組織的網(wǎng)絡(luò)構(gòu)成重大安全風(fēng)險。物聯(lián)網(wǎng)防火墻保護這些設(shè)備免受利用，可以通過以下兩種方式之一實施：

• IoT 網(wǎng)絡(luò)防火墻：IoT 網(wǎng)絡(luò)防火墻部署為網(wǎng)絡(luò)網(wǎng)關(guān)的一部分，允許對組織的 IoT 部署進行宏觀和微觀分段。物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻可以使用 VPN 來加密網(wǎng)關(guān)和遠程服務(wù)器之間的流量，這些服務(wù)器處理物聯(lián)網(wǎng)設(shè)備收集的數(shù)據(jù)。
• 物聯(lián)網(wǎng)嵌入式防火墻：物聯(lián)網(wǎng)嵌入式防火墻內(nèi)置于物聯(lián)網(wǎng)設(shè)備的操作系統(tǒng)中。它們由物聯(lián)網(wǎng)設(shè)備制造商安裝，可以過濾到設(shè)備的流量，并可能充當(dāng) VPN 端點。

物聯(lián)網(wǎng)防火墻的重要性

物聯(lián)網(wǎng)設(shè)備因其安全性差而臭名昭著。一些常見的物聯(lián)網(wǎng)安全風(fēng)險包括：

• 舊版操作系統(tǒng)：物聯(lián)網(wǎng)設(shè)備可能正在運行過時的操作系統(tǒng)版本。這使得它們很容易通過眾所周知的漏洞被利用。
• 缺乏內(nèi)置安全性：大多數(shù)物聯(lián)網(wǎng)設(shè)備缺乏桌面系統(tǒng)上常見的內(nèi)置防火墻和防病毒軟件。這使得攻擊者更容易利用這些系統(tǒng)并用惡意軟件感染它們。
• 補丁管理困難：您最后一次更新燈泡中的軟件是什么時候？修復(fù)功能和安全問題對于所有軟件的安全至關(guān)重要。然而，物聯(lián)網(wǎng)設(shè)備很少更新，因此容易受到攻擊。
• 弱密碼：物聯(lián)網(wǎng)設(shè)備通常在不更改默認密碼的情況下部署，并且可能具有用戶無法更改的硬編碼密碼。當(dāng)這些密碼公之于眾時，攻擊者可以簡單地登錄易受攻擊的設(shè)備。
• 物理安全性差：許多物聯(lián)網(wǎng)設(shè)備（例如聯(lián)網(wǎng)攝像頭）旨在部署在公共和遠程位置。通過對設(shè)備的物理訪問，攻擊者可能能夠繞過并破壞設(shè)備的安全防御。
• 不安全的協(xié)議使用：雖然大多數(shù)互聯(lián)網(wǎng)流量避免使用 Telnet 等不安全協(xié)議，但物聯(lián)網(wǎng)設(shè)備并非如此。這些協(xié)議的使用使攻擊者更容易竊取登錄憑據(jù)并利用易受攻擊的協(xié)議。

這些安全問題使物聯(lián)網(wǎng)設(shè)備對其所有者和部署它們的網(wǎng)絡(luò)構(gòu)成重大安全風(fēng)險。物聯(lián)網(wǎng)防火墻通過使設(shè)備更難受到攻擊并限制受感染設(shè)備的影響來幫助管理這種風(fēng)險。

物聯(lián)網(wǎng)架構(gòu)不同

物聯(lián)網(wǎng)設(shè)備被部署在各個行業(yè)，但這些設(shè)備和架構(gòu)并不是平等的。工業(yè)物聯(lián)網(wǎng)和消費物聯(lián)網(wǎng)通常部署在兩種截然不同的架構(gòu)下。制造商通常使用Purdue 模型來細分其工業(yè)控制系統(tǒng)(ICS) 網(wǎng)絡(luò)。該模型將物聯(lián)網(wǎng)架構(gòu)分為具有明確目的的多個層。物聯(lián)網(wǎng)網(wǎng)絡(luò)防火墻檢查和控制跨網(wǎng)絡(luò)邊界的流量。

• 4/5 級：企業(yè)層是企業(yè) IT 網(wǎng)絡(luò)，企業(yè)資源規(guī)劃 (ERP) 系統(tǒng)在其中對制造運營進行高級管理。
• 3.5 級：非軍事區(qū) (DMZ)將 IT 和 OT 環(huán)境分開，并包括旨在保護 OT 環(huán)境免受 IT 網(wǎng)絡(luò)攻擊的安全系統(tǒng)。
• 第 3 級：制造運營系統(tǒng)管理制造車間的工作流程。
• 2 級：在過程網(wǎng)絡(luò)中，操作員使用人機界面 (HMI) 訪問監(jiān)控和數(shù)據(jù)采集(SCADA) 軟件來監(jiān)控和管理物理過程。
• 級別 1：在控制網(wǎng)絡(luò)中，PLC（可編程邏輯控制器）和 RTU（遠程終端單元）等智能設(shè)備監(jiān)控和操作物理設(shè)備。
• 0 級：在現(xiàn)場網(wǎng)絡(luò)中是執(zhí)行制造操作的物理設(shè)備和傳感器。

相比之下，部署在更大、更多樣化地理區(qū)域的消費者物聯(lián)網(wǎng)設(shè)備可能在四層架構(gòu)模型下運行：

• 傳感器層：物聯(lián)網(wǎng)設(shè)備收集數(shù)據(jù)進行處理。
• 網(wǎng)絡(luò)或數(shù)據(jù)采集層：來自一個或多個系統(tǒng)的數(shù)據(jù)由物聯(lián)網(wǎng)網(wǎng)關(guān)收集并安全地傳輸?shù)教幚硐到y(tǒng)。
• 數(shù)據(jù)預(yù)處理層：基于邊緣的物聯(lián)網(wǎng)設(shè)備執(zhí)行預(yù)處理以減少發(fā)送到基于云的服務(wù)器的數(shù)據(jù)量。
• 云分析或應(yīng)用層：云服務(wù)器分析數(shù)據(jù)并為用戶提供對分析和數(shù)據(jù)的訪問。

工業(yè)物聯(lián)網(wǎng)架構(gòu)集成了消費者物聯(lián)網(wǎng)部署可能缺乏的安全層。物聯(lián)網(wǎng)網(wǎng)關(guān)和云防火墻可以控制訪問以提高消費物聯(lián)網(wǎng)設(shè)備的安全性。

哪些行業(yè)需要物聯(lián)網(wǎng)防火墻安全？

物聯(lián)網(wǎng)的采用正在全面增長，這使得物聯(lián)網(wǎng)安全對所有組織都很重要。但是，對于某些行業(yè)和公司而言，物聯(lián)網(wǎng)防火墻安全尤為重要，包括：

• 工業(yè)：高可用性和性能要求意味著 OT 系統(tǒng)通常運行舊軟件并且對內(nèi)置安全解決方案的支持有限。隨著這些系統(tǒng)越來越多地連接到 IT 環(huán)境，物聯(lián)網(wǎng)防火墻安全對于阻止攻擊進入 OT 環(huán)境然后在組織內(nèi)橫向移動至關(guān)重要。
• 醫(yī)療保健：醫(yī)療物聯(lián)網(wǎng) (MIoT) 正在迅速發(fā)展，包括起搏器、掃描儀、健身追蹤器和類似的聯(lián)網(wǎng)設(shè)備。這些設(shè)備的安全性差使得物聯(lián)網(wǎng)防火墻必須阻止試圖利用這些易受攻擊的設(shè)備。
• 企業(yè)：除了行業(yè)特定的解決方案外，企業(yè)還部署了智能樓宇管理系統(tǒng)、網(wǎng)絡(luò)攝像頭和打印機等物聯(lián)網(wǎng)設(shè)備。并非所有設(shè)備都可能被 IT 團隊知道或管理，從而使它們?nèi)菀资艿嚼谩?/li>
• 設(shè)備制造商：物聯(lián)網(wǎng)設(shè)備獨特的部署場景使其難以使用傳統(tǒng)方法進行保護。通過在其設(shè)備上部署物聯(lián)網(wǎng)嵌入式防火墻，設(shè)備制造商可以提高這些設(shè)備的安全性和對企圖利用的彈性。