长扬科技：零信任安全架构在IT、OT和IOT领域的应用

在云计算、大数据、物联网、移动互联网时代，网络安全边界逐渐瓦解，内外部威胁加剧，传统的边境安全难以应对，零信任安全应运而生。零信任安全并不是指单一的安全技术或产品，而是代表了新一代网络安全保护的概念。其目的是降低访问资源时的安全风险，并防止未经授权的访问资源。

在零信任安全概念中，网络位置不再决定访问权限，所有访问实体都必须在访问权限被授予之前进行身份验证和授权。身份验证不再只是用户，而是对终端设备、应用软件等多个身份进行多维、相关的识别和认证，在访问过程中，必要时可以多次启动身份验证。基于传统的静态访问控制模型（如网络位置、用户角色、属性等）的权限决策将不再是通过持续的安全监控和信任评估动态的、细粒度的权限。零信任在IT安全领域的成功案例

IT数据中心南北、东西交通零信任安全架构已成功应用于IT安全领域，解决了IT数据中心南北、东西安全保护中存在的难题。目前有三种主要的零信任实现技术：软件定义边界（SDP）、身份和访问管理（IAM）和微分割（MSG）SDP与IAM技术的结合解决了企业远程安全办公、远程安全维护维护、远程安全研发中的网络安全和数据安全问题，解决了数据中心南北网络的隐身、认证和访问控制问题。MSG技术解决了数据中心的东西流量可视化、访问控制和政策适应方面的挑战。表1、海外零信任SaaS的代表性企业

SDP是基于2013年国际云安全联盟CSA提出的零信任概念的下一代网络安全技术架构。SDP将预认证和预授权作为其两个基本支柱。通过在单个数据包到达目标服务器之前对用户和设备进行身份验证和授权，SDP可以在网络层执行最小权限原则，大大减少攻击面。

基于SDP的南北安全保护SDP架构由三个主要组件组成：客户端、安全网关和控制中心。客户端和安全网关之间的连接通过控制中心和安全控制通道之间的信息交互来管理。这种结构使控制平面与数据平面分离，从而实现了完全可扩展的安全系统。此外，SDP体系结构的所有组件都可以集群，以扩展或提高系统的稳定运行时间。微隔离的概念最早是在VMware发布NSX产品时正式提出的。自2016年起连续3年，微隔离项目被评为世界十大安全项目之一，在2018年的Hype Cycle for Threat-Facing Technologies（威胁应对技术成熟度曲线）中首次超过了下一代防火墙（NGFW）

Illmio产品的东西向流量可视化微隔离旨在将数据中心和云平台中的工作流隔离开来，并通过创建安全区域的方式分别保护它们，从而使网络安全更加精细。微隔离是一种隔离技术，用于识别和管理数据中心和云平台中的流量。微隔离的核心是对东西方交通的视觉识别和出入控制。微隔离是一种典型的软件定义安全架构。策略由统一计算平台计算，需要实时、自适应的策略重新计算，以适应虚拟化环境的变化。SDP和微隔离技术是典型的软件定义安全技术。以零信任技术为核心的安全产品在IT安全的各个领域得到了越来越多的应用。零信任适用于OT安全吗？成功应用于IT安全的零信任安全架构是否适用于OT安全？在回答这个问题之前，先分析一下国内外OT安全的现状和新探索。3.1目前，国内OT安全现状和国内OT安全市场的思路都是基于白名单的概念，产品和解决方案主要围绕隔离2.0，以“一中心、三防”为理念，产品主要有工业主机防护、工业防火墙、工业网络门等。它包括工业监控审计系统、统一的安全管理平台等。在我国，零信任安全架构还没有应用到OT安全领域，假设零信任安全架构在白名单产品的基础上应用，安全产品会得到什么样的改进？下表描述了零信任安全架构如何应用于OT安全产品。零信任安全架构在OT安全产品中的应用思路

3.2包括但不限于白名单工业防火墙、专注于物理单向传输的工业网络网关、专注于工业流量全面可见性的下一代防火墙以及基于零信任架构的工业安全解决方案。表3海外OT安全的代表性企业和产品

3.2.1本文重点介绍OT安全的新探索，这是一种基于思科零信任架构的工业控制安全解决方案。

思科零信任工业安全解决方案的组件如下表所示。思科的工业交换机和路由器以及运行在其上的CyberVision传感器、CyberVision中心、ISE身份服务引擎、Secure X安全编排引擎、思科工业防火墙和思科DNA中心。表4思科零信任工业安全解决方案的组件

以下是OT网络实现零信任的途径：步骤1：确定端点并建立初始信任CyberVision传感器嵌入网络设备（交换机、路由器、网关）中，收集流经工业基础设施的数据包。该传感器结合了被动和主动发现技术，并利用工业协议的先进知识，通过深度数据包检测对数据包有效载荷进行解码和分析。CyberVision可以分析每个端点，详细描述它与其他端点和资源的交互，并构建资产清单。

CyberVision中心从网络收集数据CyberVision传感器在思科工业网络基础设施上作为软件运行，因此可以轻松部署到OT网络中。您不需要单独的设备，但如果您的OT网络由无法运行传感器的设备组成，则可以使用专用设备。传感器将连接端点的数据发送到一个名为CyberVision Center的中央仪表板，该仪表板有助于以类似地图的形式可视化每个端点及其与其他端点的交互。此地图视图对于OT团队根据实际工业流程的逻辑对端点进行分组，并根据不同组之间的通信构建策略特别有用。步骤2：定义和验证访问策略在网络中定义有效的访问策略需要IT和OT团队之间的协作。ISA99/IEC62443工业网络安全标准将区域定义为一组需要相似安全要求、明确的物理边界和相互通信的设备。例如，假设一个汽车工厂有一条焊接线和一条涂装线。焊接设备没有理由与油漆车间的设备相互作用。如果区域中的设备受到感染，则可以通过将每个设备放置在区域中来限制损坏。当不同区域的设备需要彼此通信时，管道定义了允许的交互限制。访问策略将OT网络中的区域和管道形式化。CyberVision可以直接与ISE集成。当OT管理员在CyberVision中对资产进行分组时，该信息将自动与ISE共享。ISE可以利用资产的详细信息和分组来确定应实施的安全策略。端点被分配到适当的区域，并且可以使用可扩展组标签标记流量，使网络设备能够定义和实现适当的访问策略。步骤3：验证合规性策略在运行策略之前，您需要验证策略。DNA中心提供了一个仪表板，用于可视化从ISE学习的组之间的交互。DNA中心还提供了每个交互的详细信息，包括应用程序、协议和端口号。这些信息允许用户根据需要调整已定义的策略，以确保它们不会干扰合法的交互。

图7.DNA中心提供组之间流量的可视化映射步骤4：通过网络分段增强信任一旦策略被验证，用户就可以在DNA中心或ISE中使用易于使用的矩阵描述它们，其中每个单元定义了源组和目标组之间可接受的通信。在此矩阵中，同一区域内的端点可以自由地相互作用，但不能与其他区域内的端点相互作用。例如，车间区域中的端点可以相互通信，但不能与焊接车间区域中的端点通信。每个区域中的端点可以与制造执行系统通信，但仅受管道定义的约束。

DNA中心使用矩阵定义策略定义的策略被发送到ISE，然后依次配置工业交换机和路由器，根据连接到端口的端点的情况，对每个端口应用策略限制。应用这些策略来对网络进行分段，以确保每个分区都受到保护，分区之间的通信通过定义的管道受到严格控制。定义、验证和强制执行访问规则的过程使OT能够控制安全标准。一旦实施了此过程，就可以轻松地添加新的端点，并根据不断变化的需求更改策略。例如，如果将来生产车间和装配线之间需要某种形式的通信，您可以在策略矩阵中定义新的策略，并轻松重新配置基础设施。第5步：持续验证信任CyberVision会持续评估连接端点的安全性。它会自动计算每个端点的风险评分，使安全管理员能够主动限制对工业流程的威胁。风险评分是威胁可能性及其潜在影响的乘积，其可能性取决于资产类型、漏洞和暴露于外部IP地址，而影响则取决于资产类型及其对工业流程的重要性。通过汇总单个风险评分来评估工业区域的安全状况，并更容易确定纠正措施的优先级，例如应用漏洞补丁或安装工业防火墙，从而确保工业端点的安全。

CyberVision会根据潜在影响和发生的可能性来评估风险，但即使风险最小化并正确执行访问策略，后续攻击仍可能进入该区域并感染SCADA、PLC和HMI等控制系统。这种感染会改变这些控制器在工业设备上的控制行为，并可能导致生产质量问题、生产中断，甚至对机器和生产基础设施的损坏。因此，所有这类控制器都必须不断地监控任何异常行为的迹象，这些迹象可能已被入侵。CyberVision分析所有工业通信，并使用先进的基线引擎跟踪异常行为。第6步：减轻风险有两种方法可以解决在端点中确定的风险。通过减少访问权限或关闭连接的交换机端口，您可以有效地从网络中删除端点。虽然这些方法适用于有问题的打印机和电子邮件服务，并且可以在修复过程中暂时脱机，但它们显然不是OT的选项。减轻工业环境中识别的威胁需要IT和OT安全团队之间的密切合作。虽然必须根据威胁的影响来评估对每个威胁的适当响应，但IT和OT团队必须提前制定行动手册，并在发现漏洞后立即采取行动。由于缓解决策可能超出工具的能力，因此必须建立一个关键决策的指挥链。例如，应记录停止生产的必要性和负责人。SecureX提供单一平台的安全性。它与关键的安全工具集成，并提供执行用户定义工作流所需的工具之间的协调。3.2.2思科零信任OT解决方案分析思科的零信任OT解决方案结合了思科工业交换机和工业路由器等网络设备，并将CyberVision传感器嵌入网络设备中，实时跟踪端点和端点之间的资源交互并构建资产库存。传感器将连接端点的数据发送到CyberVision中心。利用IEC62443，CyberVision Center将访问策略形式化OT网络中的区域和管道，资产位于区域中，区域之间的通信通过管道连接。CyberVision可以直接与ISE集成，并利用资产细节和分组来确定应实施的安全策略。在执行安全策略之前，您可以使用DNA中心的仪表板验证安全策略，该仪表板可以可视化ISE学习到的组之间的交互。策略验证后，用户可以在DNA中心使用矩阵来定义安全策略。定义的策略被发送到ISE，ISE依次配置工业交换机和路由器，并对网络设备上的每个端口实施策略限制。应用安全策略来对网络进行分段，保护每个分区，分区之间的通信通过管道进行严格控制。CyberVision可持续评估连接端点的安全状态，并自动计算每个端点的风险评分，从而使安全管理员能够主动限制对工业流程的威胁。最后，SecureX用于安全策略编排，类似于SOAR，以降低OT环境中的风险。思科的零信任OT解决方案利用网络设备作为安全分区的边界，分区之间的通信通过管道严格控制，网络设备上配置的传感器学习端点和端点之间的交互，从而促进自适应安全策略的生成和用户身份验证。该方案设计巧妙，可以理解为基于网络设备的微隔离，而不是IT领域中基于端点的微隔离。表5：思科零信任工业安全解决方案的优缺点分析

零信任已成功应用于物联网安全物联网应用系统模型，该模型由服务器端系统、终端系统和通信网络三部分组成。物联网安全风险主要集中在三个方面：服务、终端和通信网络。

图10、物联网应用系统模型（引自中国信息通信研究院《物联网安全白皮书》）1）物联网服务端的安全风险1、服务端存储大量用户数据，容易成为攻击的焦点。大多数服务器部署在云平台上，南北业务API接口开放，应用逻辑多样，容易引入风险。云平台主要采用虚拟化和容器技术，存在东西方内部网渗透的风险。2）物联网终端安全风险1、终端本身存在安全风险、密码破解、设备入侵、恶意软件感染等风险。终端网络接入风险：终端大多位于边缘端，存在设备假冒、非法设备接入等风险。存在终端数据安全风险、隐私数据泄露、数据盗窃等风险。4、存在终端生产安全风险、数据篡改、服务中断等风险。3）物联网通信网络安全风险1、通信网络未加密，存在数据窃听和篡改的风险。通信网络存在未经授权访问、非法访问、网络劫持等风险;通信网络易受到拒绝服务攻击。SDP技术用于解决南北安全问题，与物联网云管-边缘-端架构相结合，可通过可信终端接入、可信链路传输、可信资源权限、持续信任评估、动态访问控制等方式解决南北安全风险。微隔离技术将用于解决物联网云平台中的东西安全风险。国外的安全公司正在将零信任安全架构应用于物联网安全。下表显示了国外典型的零信任物联网安全公司，下一节将重点介绍典型案例。表6：典型的零信任IoT安全海外公司

4.1Amazon AWS IoT安全

AWS IoT透过以下七项原则协助您采用基于NIST800-207的零信任架构：所有数据源和计算服务都是资源。AWS将客户的数据源和计算服务建模为资源。AWS IoT Core和AWS IoT Greengrass是包含IoT设备需要安全调用的客户资源的服务。所有连接的设备都必须具有与物联网服务交互的凭据，并且所有进出流量都将使用TLS安全地传输。无论网络位于何处，所有通信都是安全的。设备和云服务之间的所有通信都使用TLS身份验证和身份验证API调用进行保护。当设备连接到其他设备或云服务时，必须通过使用X.509证书、安全令牌或自定义授权者等实体进行身份验证来建立信任。除身份验证外，零信任还需要最低限度的访问权限，以控制设备在连接到AWS IoT Core后的行为。AWS提供设备软件，使物联网设备能够安全地连接到云中的其他设备和服务。AWS IoT Greengrass可对现场和云通信中的设备数据进行身份验证和加密。FreeRTOS支持TLS1.2以实现安全通信，并支持PKCS#11以保护存储凭证的加密元素。3）允许每个会话访问单个企业资源，并在授予访问权限之前以最低权限评估信任。AWS IoT服务和API调用允许在每个会话中访问资源。IoT设备必须通过AWS IoT Core进行身份验证和授权，然后才能执行任何操作。每次您的设备连接到AWS IoT Core时，都会显示设备的证书或自定义身份验证者。在此过程中，物联网策略将被强制检查设备是否被授权访问其请求的资源，以及该权限是否仅在当前会话中有效。下次连接设备时，也会执行相同的步骤。对资源的访问由动态策略决定，包括客户端身份、应用程序和服务以及请求资产的健康状况。所有这些都可能涉及其他行为和环境属性。零信任的核心原则是，在风险评估完成并批准可接受的行为之前，不允许设备访问其他设备或应用程序。这一原则完全适用，因为物联网设备具有固有的有限、稳定和可预测的行为特征，这些行为可以用来衡量设备的健康状况。一旦确定，每个物联网设备必须根据基线行为进行验证，然后才能允许访问网络中的其他设备和应用程序。您可以使用AWS IoT Device Shadow服务检测设备状态，并使用AWS IoT Device Defender检测设备异常。AWS IoT Device Defender使用规则检测和机器学习检测功能来确定设备的正常行为以及偏离基线的潜在偏差。如果检测到异常情况，您可以根据策略使用有限权限隔离设备，或禁止与AWS IoT Core的连接。（5）资产本质上是不可靠的。公司监控和衡量其所有资产和相关资产的完整性和安全性。在评估资源请求时，必须评估资产的安全性。实施零信任的企业必须建立持续的诊断和缓解系统，以监控、修补和修复设备和应用程序的安全状态。AWS IoT Device Defender可持续审核和监控用户的IoT设备场，并可应用以下缓解措施：将设备置于具有有限权限的静态对象组中。撤销权限;隔离器;使用AWS IoT Jobs功能修补、无线更新，并保持设备的健康和合规性。使用AWS IoT安全隧道功能远程连接到设备以进行服务和故障排除。所有资源身份验证和授权都是动态的，并且在授予访问权限之前严格执行。默认情况下，零信任会拒绝物联网设备之间的访问（包括API调用）使用AWS IoT，访问是通过适当的身份验证和授权授予的，考虑到设备的健康状况。零信任需要能够检测和响应物联网、IIoT、IT和云网络中的威胁。企业将尽可能多地收集有关其资产、网络基础设施和通信状态的信息，以改善其安全状况。借助AWS IoT Device Defender，您可以使用IoT设备数据来持续提高安全性。例如，您可以打开AWS IoT Device Defender审核功能，以获取IoT设备的安全基准。用户可以添加规则检测和机器学习检测功能，以检测连接设备上发现的异常情况，并根据检测结果进行改进。4.2Cyxtera Appgate的物联网安全

Appgate IoT安全架构Appgate IoT安全架构相对简单，Appgate使用IoT连接器访问IoT设备。Appgate物联网连接器利用零信任的核心原则来保护未受管理的设备，限制横向移动并减少组织的攻击面。连接器对设备如何和何时连接到网络以及可以连接到哪些网络资源进行精细控制。连接器与Appgate SDP完全集成，为用户设备、服务器和非托管设备提供一致的访问策略。Appgate连接器是连接IoT设备和网络之间的网关。Appgate连接器向Appgate控制器发出访问请求。控制器响应身份验证挑战，评估访问凭据并根据用户、环境和位置应用访问策略。Appgate为每个设备会话创建一个动态的“一段”网络。一旦建立了连接，对资源的所有访问都将通过加密的网络网关从设备传输到服务器。所有访问都是通过LogServer记录的，并具有持久的、可审计的用户访问记录。4.3目前国外物联网零信任技术主要有：以云平台安全接入为核心的云平台企业;以现有网络设备和安全设备快速改造为核心的传统安全企业;以SDP技术为核心的南北方向所有设备安全接入为核心的创新企业。它被分成几种类型。表7国外物联网零信任技术比较分析

5零信任+工业互联网安全前一节分析了零信任技术在物联网安全领域的成功应用，本节重点介绍工业互联网安全领域，如何应用零信任技术解决企业安全痛点？5.1目前工业互联网安全主要分为三种场景：工业互联网企业内部网安全、工业互联网边缘安全和工业互联网平台安全。工业互联网企业内部网安全采用“一个中心、三重防御”的理念，应用综合安全管理平台、工业主机防护、工业防火墙、工业监控审核系统等系统，采用白名单策略实施安全防护。未来可以升级到零信任安全架构，在工业交换机、工业路由器和工业防火墙中引入零信任技术，实现分区之间的微隔离和动态访问控制。工业互联网边缘端和工业互联网平台安全采用零信任安全架构，可集成到工业互联网云管端端架构中，包括边缘端终端安全接入、边缘端访问控制、隧道加密等。解决了平台端网络隐身、平台端动态访问控制、持续信任评估等安全问题。以下是详细的工业互联网安全架构：

安全资源层：将零信任边缘网关部署到边缘端，通过无线和有线访问物联网设备，通过4G或5G将数据上传到云端，提供物联网设备访问控制、身份验证、TLS通道加密等功能，提供边缘防火墙功能，保护边缘端的物联网终端。边缘网关基于安全芯片的信任路由，提供可信的计算环境和本体安全保护。安全服务层：在云中部署零信任安全网关和零信任控制器，以实现网络隐身。零信任安全网关，提供身份验证、通道加密、访问控制和数据传输等功能。零信任控制器，提供身份验证、访问授权、持续评估和动态策略等功能。安全操作层：在云中部署加密服务平台和安全控制平台。加密服务平台提供基于PKI结构的证书和密钥分发等功能，证书用于零信任边缘网关等设备的TLS双向身份验证，需要定期更新。安全控制平台提供资产可视化、攻击面分析、威胁检测和安全基线分析等功能，以帮助零信任控制器进行动态访问控制。5.2由于工业互联网识别分析系统是工业互联网网络架构的重要组成部分，零信任安全架构能否与识别分析系统相结合，提高工业互联网安全性？在回答这个问题之前，本节将对工业互联网的识别系统进行深入的了解。工业互联网识别编码是指能够唯一识别机器、产品等物理资源和算法、流程等虚拟资源的识别符号。工业互联网身份解决方案是指能够根据识别码查询目标对象的网络位置和相关信息，对机器或物品进行独特定位和信息查询的系统设备，实现全球供应链系统与企业生产系统的精确对接。产品生命周期管理是实现智能服务的前提和基础。工业互联网身份解决方案的基本业务流程如下图所示。

图14、工业互联网识别分析的基本业务流程

（引自工业互联网产业联盟《工业互联网识别分析白皮书》）工业互联网识别分析主要解决了设备可信识别的问题，并通过有源识别模块载体为每一个产品分配数字身份证“工业互联网识别”。下表结合工业互联网身份分析的典型应用场景，探讨工业互联网身份与零信任技术融合的优势。表8.工业互联网标识与零信任技术的融合分析

通过以上分析，我们认为零信任安全架构和工业互联网识别分析系统可以进一步保障工业互联网安全。通过本文的讨论，我们认为零信任安全架构可以很好地应用于IT、OT和物联网安全场景。对于IT安全防护场景，企业数据中心南北方向可以应用SDP技术，东西方向可以应用微隔离技术，企业统一身份认证可以应用IAM技术，实现企业远程安全办公、远程安全维护、可以实现远程安全研发。在OT安全保护场景中，考虑到OT对高可靠性、高稳定性和高性能的要求，零信任安全架构可以应用于分区边界的微隔离。目前流行的白名单概念是一种相对静态的安全策略，一旦实施，几乎没有变化，逐步融入零信任安全概念，实现持续信任评估和动态访问控制，从而提高工业控制安全技术水平。对于物联网安全防护场景，物联网云管-边缘-端架构可以结合并集成到零信任安全架构中，结合工业互联网ID分析技术解决物联网设备可信身份认证问题，并将物联网边缘、通信网络等它可以为云平台提供更好的安全保护。作为工业互联网安全和工控网络安全的首批从业者，长杨科技自成立以来，深入挖掘了工业互联网安全、工控网络安全、“工业互联网+安全生产”等领域。它为中国的数字化和高质量发展提供了专业、可靠的安全基础。在技术创新方面，扬子科技已申请专利120余项，自主研发产品50余项，以新腾安全生态为基础，建立工业安全靶场作为能力提升手段，实现工业网络安全监控、工业网络安全防护、工业视觉安全分析、零信任安全等。建立了涵盖数据安全的完整产品和服务体系。今年以来，昌阳科技一直致力于零信任安全领域，基于“以身份为基础、业务安全访问、持续信任评估、动态访问控制”四大功能，构建企业网络无边界数据安全系统，实现企业远程办公、远程维护、远程维护等。它为远程研发测试提供了数据安全保障。此外，依托零信任架构，应对云-管-边缘-端业务系统，构建工业物联网边缘安全智能管理，增强边缘安全防护，有效防范潜在威胁。