Gartner預(yù)測，到2020年年底，全球?qū)⒉渴?89億臺物聯(lián)網(wǎng)設(shè)備，在這龐大數(shù)字的背后，隨之而來的安全問題也愈發(fā)重要，一旦出現(xiàn)網(wǎng)絡(luò)攻擊事件，將有可能造成物聯(lián)網(wǎng)設(shè)備失控、采集到的信息被篡改，物聯(lián)網(wǎng)平臺中的敏感數(shù)據(jù)泄漏等嚴重后果。

[[351512]]

為了應(yīng)對安全問題，在物聯(lián)網(wǎng)的早期，企業(yè)采取一種簡單的訪問策略，即提供一個物聯(lián)網(wǎng)VLAN，隔離網(wǎng)絡(luò)上的物聯(lián)網(wǎng)流量。但如今物聯(lián)網(wǎng)已經(jīng)成熟，一些物聯(lián)網(wǎng)設(shè)備可能需要訪問敏感數(shù)據(jù)，而VLAN顯然是不夠的。

如今零信任網(wǎng)絡(luò)架構(gòu)已逐漸成熟，似乎可以解決IoT的這種窘境。零信任訪問策略通常以身份為核心，而物聯(lián)網(wǎng)設(shè)備通常是非托管的，沒有關(guān)聯(lián)的用戶，在這里，物聯(lián)網(wǎng)對零信任計劃提出了一個挑戰(zhàn)。

企業(yè)若要制定針對單個IoT設(shè)備的用途及需求的零信任訪問策略，僅僅了解設(shè)備的品牌和型號是完全不夠的，還需要了解異構(gòu)物聯(lián)網(wǎng)環(huán)境，要知道每個IoT設(shè)備的用途和需求。

1. IoT零信任訪問策略只被少數(shù)人采用

然而只有少數(shù)企業(yè)做到這一點。EMA的調(diào)查表明，現(xiàn)在大多數(shù)企業(yè)都沒有制定這種IoT訪問策略：

• 只有36%的企業(yè)正在制定針對用途和需求的零信任IoT訪問策略。
• 相反，有28%的企業(yè)采用降低粒度的方式是：創(chuàng)建通用的、最低級別的訪問權(quán)限，如物聯(lián)網(wǎng)VLAN。這種細分可能導致更高的安全風險，舉個例子，一是將數(shù)據(jù)推送到云端的IoT傳感器、二是從云端提取敏感數(shù)據(jù)的傳感器，這兩種傳感器在這種策略引擎中是不會被區(qū)分的，它根本不考慮不同的風險級別。
• 另有23%的企業(yè)認為IoT設(shè)備不可信，這種想法嚴重限制了他們的網(wǎng)絡(luò)訪問。這意味著IoT設(shè)備根本無法訪問敏感資產(chǎn)，企業(yè)可以通過物聯(lián)網(wǎng)實現(xiàn)的應(yīng)用類型少之又少。
• 還有12%的企業(yè)完全不信任物聯(lián)網(wǎng)。在這種情況下，他們不得不使用像LoraWAN或LTE這樣的移動網(wǎng)絡(luò)服務(wù)來連接到云端，完全繞過企業(yè)網(wǎng)絡(luò)。

2. 復(fù)雜性是問題所在

為什么大多數(shù)的企業(yè)沒有實施IoT細粒度訪問策略?

是因為缺乏可見性嗎?然而，84%的企業(yè)表示，他們對物聯(lián)網(wǎng)傳感器等非托管設(shè)備有足夠的可見性，可以確定網(wǎng)絡(luò)訪問權(quán)限。

實際上，問題的癥結(jié)可能在于實現(xiàn)的復(fù)雜性。在大型企業(yè)中，設(shè)備類型太多導致無法完全分類，企業(yè)不可能花費大量的時間來定制IoT訪問權(quán)限，這太復(fù)雜了，對他們來說，構(gòu)建粗略的訪問策略更為簡單粗暴。

3. 如何創(chuàng)建定制的IoT零信任訪問策略

IT領(lǐng)導層態(tài)度是成功的關(guān)鍵。

IT領(lǐng)導層的態(tài)度是成功創(chuàng)建零信任IoT的關(guān)鍵，領(lǐng)導的大力支持也意味著將會有一個正式的零信任網(wǎng)絡(luò)計劃、有專門用于實施的組織，有良好的預(yù)算等等。

相比之下，采取臨時零信任方法的企業(yè)，他們?nèi)狈Ｓ妙A(yù)算，只有在時間和資源允許的情況下才應(yīng)用零信任原則，他們更有可能將所有物聯(lián)網(wǎng)設(shè)備視為不可信設(shè)備，只允許他們訪問低風險的網(wǎng)絡(luò)資產(chǎn)。

其他成功關(guān)鍵因素

為了支持細粒度IoT策略，企業(yè)需要靈活的零信任訪問和分段解決方案，這些解決方案能夠?qū)ξ锫?lián)網(wǎng)進行分類，還能監(jiān)控設(shè)備的行為，并支持自定義訪問策略。

EMA的研究發(fā)現(xiàn)，一些因素在創(chuàng)建策略時非常重要：

• IoT設(shè)備的安全狀態(tài)是最重要的變量，在授予訪問權(quán)限之前，零信任網(wǎng)絡(luò)要檢查防病毒和反惡意軟件的狀態(tài)。
• 設(shè)備漏洞和風險、設(shè)備所有者(例如，業(yè)務(wù)部門)、觀察到的網(wǎng)絡(luò)行為以及操作系統(tǒng)狀態(tài)都是IoT零信任訪問策略的次要變量。
• 設(shè)備品牌和型號、相關(guān)的應(yīng)用程序是策略設(shè)計中最不重要的參數(shù)，僅少數(shù)組織會使用。
• 包含設(shè)備漏洞檢測和風險評估的策略往往會更成功。
• 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)團隊和信息安全團隊之間的協(xié)作，可以幫助制定這些IoT訪問策略。

如今，已有75%的企業(yè)正在支持企業(yè)網(wǎng)絡(luò)上的IoT連接，這個數(shù)字將繼續(xù)增加，設(shè)備也將變得更加多樣化，訪問要求隨之也會有所不同，未來，根據(jù)每個IoT設(shè)備的用途和需求定制的細粒度IoT訪問策略會更加重要，也將被越來越多的企業(yè)采用。

原文鏈接：

https://www.networkcomputing.com/network-security/zero-trust-access-policies-iot-must-be-granular