【51CTO.com快譯】就在互聯(lián)網(wǎng)改變一切的同時，一場名為物聯(lián)網(wǎng)的新革命有望帶來還要大的顛覆。

[[178031]]

　　主要是由于物聯(lián)網(wǎng)傳感器將用在每個地方，用在醫(yī)院以監(jiān)測醫(yī)療設(shè)備，用在工廠以監(jiān)管生產(chǎn)運營 ，用在大樓以控制溫度和照明，不一而足。

　　來自這些傳感器的數(shù)據(jù)將用于生產(chǎn)運營管理、預(yù)測維護及更多方面。與此同時，所有這些應(yīng)用通常與企業(yè)的IT基礎(chǔ)設(shè)施整合起來。正因為如此，它們帶來了眾多新的安全挑戰(zhàn)。

　　就像在當前的IT環(huán)境那樣，沒有萬無一失的安全解決方案可以保護物聯(lián)網(wǎng)設(shè)備，避免每一種可能出現(xiàn)的網(wǎng)絡(luò)威脅。

　　由于物聯(lián)網(wǎng)會在不同的地方為眾多最終用戶(包括企業(yè)、客戶及合作伙伴)生成數(shù)據(jù)，需要網(wǎng)絡(luò)分段和基于網(wǎng)段的拓撲結(jié)構(gòu)來防范大規(guī)模攻擊。

　　比如說，合作伙伴網(wǎng)絡(luò)里面受危及的網(wǎng)段應(yīng)該無力危及企業(yè)網(wǎng)絡(luò)。

　　在最近的一次安全事件中，總部位于法國的主機托管提供商OVH成為了用物聯(lián)網(wǎng)設(shè)備發(fā)動的一次大規(guī)模DDoS攻擊的受害者。據(jù)OVH聲稱，攻擊在高峰時期的流量達到了近1 Tbps。中招的物聯(lián)網(wǎng)設(shè)備主要是閉路電視監(jiān)視攝像頭和數(shù)字錄像機。

　　改變架構(gòu)，防止物聯(lián)網(wǎng)設(shè)備被劫持

　　為了緩解劫持物聯(lián)網(wǎng)設(shè)備的大規(guī)模攻擊這種威脅，分支機構(gòu)和本地架構(gòu)都需要做一些重要的變化。

　　供合作伙伴使用的數(shù)據(jù)應(yīng)在來自企業(yè)網(wǎng)絡(luò)的第一跳(hop)處加以卸載。 如今，大多數(shù)合作伙伴網(wǎng)絡(luò)連接是通過非軍事區(qū)(DMZ)來實現(xiàn)路由的。這種回程傳輸(backhauling)給網(wǎng)絡(luò)基礎(chǔ)設(shè)施(路由器和交換機)帶來了不必要的壓力。相反，這些數(shù)據(jù)可以通過VPN在本地卸載，只要在云端或運營商的托管設(shè)施建立第三方安全合作伙伴DMZ。在這里，多個有關(guān)方的VPN可以彼此對接，同時將這些DMZ限制在少數(shù)幾個地方。

　　這種模式的一大優(yōu)勢是，第一跳在每個站點卸載合作伙伴數(shù)據(jù)，而不是在傳送到合作伙伴網(wǎng)絡(luò)之前，通過企業(yè)DMZ回程傳輸大量的站點數(shù)據(jù)。第二個好處是基于分段的拓撲結(jié)構(gòu)。不是所有的合作伙伴都需要在每個地方對接。比如說，可以為合作伙伴提供這種靈活性：自由地對接，并在云端明確定義的投放點收集數(shù)據(jù)。這類似實施基于云的VPN。

　　在制造生產(chǎn)環(huán)境下，用于工業(yè)自動化的物聯(lián)網(wǎng)設(shè)備不是關(guān)聯(lián)用戶，也沒有加密功能。因此，為了保持數(shù)據(jù)完整性和機密性，網(wǎng)絡(luò)必須為物聯(lián)網(wǎng)設(shè)備提供加密之類的安全服務(wù)。

　　X86機器接收、分段和加密傳感器數(shù)據(jù)，并通過虛擬DMZ安全地傳輸?shù)交ヂ?lián)網(wǎng)上的廠商。

　　如前所述，在大多數(shù)當前的部署環(huán)境下，傳感器數(shù)據(jù)通過企業(yè)DMZ和網(wǎng)絡(luò)來回程傳輸。這迫使IT部門為通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)制定復(fù)雜的策略。

　　在圖1中，x86白盒機器上的分區(qū)P0有自己的VPN，它管理連接至所有PLC的活動。每個PLC的連接數(shù)據(jù)可以從網(wǎng)絡(luò)中的控制層來編程。在這種場景下，PLC和控制元件之間傳輸?shù)臄?shù)據(jù)含有與生產(chǎn)廠商有關(guān)的操作信息，還含有與工業(yè)設(shè)備提供商有關(guān)的操作信息。

　　一個數(shù)據(jù)源 (PLC控制器)必須在源處加以劃分，提供給兩家獨立的企業(yè)組織。來自同一P0 PLC數(shù)據(jù)源的數(shù)據(jù)可以由邊緣路由器放在兩個不同的VPN，每個VPN都有不同的拓撲結(jié)構(gòu)。供生產(chǎn)廠商使用的數(shù)據(jù)可以在本地處理，然后在工廠車間回程傳輸，或者回程傳輸?shù)狡髽I(yè)數(shù)據(jù)中心。與PLC供應(yīng)商有關(guān)的數(shù)據(jù)在本地由分析引擎加以處理，然后發(fā)送給合作伙伴，供其使用。

　　這種架構(gòu)最好與從工廠連接到云端，然后連接到合作伙伴的VPN一起部署。這可以用企業(yè)管理的方法或運營商管理的方式來實現(xiàn)。

　　企業(yè)管理的方法

　　使用這種方法，企業(yè)構(gòu)建iDMZ VPN，并選擇投放數(shù)據(jù)讓合作伙伴處理的云位置。企業(yè)需要負責(zé)保護云端點和內(nèi)部工廠網(wǎng)絡(luò)。這就需要建立一套完整的安全架構(gòu)，確保落實了足夠到位的保護措施。

　　運營商管理的方法

　　這里，運營商可以將云VPN作為一項服務(wù)提供給企業(yè)工廠網(wǎng)絡(luò)。運營商可以宣布VPN投放點;根據(jù)分布位置，這些投放點可以分布在全球各地。企業(yè)可以指定哪個合作伙伴收集來自哪個地方哪個VPN的數(shù)據(jù)。運營商可以將所有的網(wǎng)絡(luò)功能作為完全托管的服務(wù)來提供，包括安全。使用互聯(lián)網(wǎng)作為安全傳輸機制，只有VPN對接地點對合作伙伴來說是可見的。

　　下面圖2 顯示了這種連接模式，因而不需要構(gòu)建動態(tài)、任意的VPN，并可以保護企業(yè)網(wǎng)絡(luò)，避免傳輸無關(guān)的合作伙伴流量帶來的負擔。

　　想獲得物聯(lián)網(wǎng)的好處，企業(yè)必須發(fā)掘其生產(chǎn)設(shè)施里面的傳感器和設(shè)備的寶貴信息。不過，它們需要合作伙伴的幫助，才能安全地分析大量數(shù)據(jù)，又不給企業(yè)IT網(wǎng)絡(luò)增添負擔。構(gòu)建任意的VPN分段拓撲結(jié)構(gòu)以便使用經(jīng)過優(yōu)化的數(shù)據(jù)導(dǎo)向和強加密，這是企業(yè)與合作伙伴共同打造物聯(lián)網(wǎng)生態(tài)系統(tǒng)的一種方法，從而在避免網(wǎng)絡(luò)暴露在安全威脅的前提下，保護數(shù)據(jù)的完整性。

　　原文標題：How to architect the network so IoT devices are secure

　　作者：Khalid Raza　　

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】