[[395872]]

圖片來源：https://pixabay.com/images/id-5382501/

隨著企業(yè)物聯(lián)網(wǎng)被證明是運(yùn)營(yíng)優(yōu)化和員工效率的游戲規(guī)則改變者，許多公司選擇進(jìn)軍物聯(lián)網(wǎng)，并將其傳統(tǒng)工作場(chǎng)所升級(jí)為智能辦公室。

在確保轉(zhuǎn)型富有成效和可持續(xù)的諸多努力中，針對(duì)網(wǎng)絡(luò)和系統(tǒng)安全的物聯(lián)網(wǎng)測(cè)試名列前茅。

零信任是一種安全模型，意味著在驗(yàn)證之前，默認(rèn)情況下不應(yīng)信任來自網(wǎng)絡(luò)內(nèi)部或外部的任何人或設(shè)備。它與傳統(tǒng)的“城堡和護(hù)城河”方法有很大的不同。

然而，對(duì)于一個(gè)擁有數(shù)百臺(tái)未受管理的連網(wǎng)設(shè)備的工作場(chǎng)所來說，通常缺乏足夠的內(nèi)置保護(hù)機(jī)制，這些保護(hù)機(jī)制對(duì)于防范內(nèi)部和外部威脅至關(guān)重要。更重要的是，這種安全機(jī)制可以更好地適應(yīng)不斷擴(kuò)展和發(fā)展的智能辦公室基礎(chǔ)設(shè)施，并減輕在向遠(yuǎn)程工作轉(zhuǎn)移中出現(xiàn)的漏洞。

下面是一個(gè)可操作的四步指南，可幫助企業(yè)所有者在其支持物聯(lián)網(wǎng)的工作場(chǎng)所中實(shí)施零信任模型。

第一步、獲得全面的基礎(chǔ)設(shè)施可見性

定義明確的保護(hù)范圍，即需要保護(hù)的設(shè)備、數(shù)據(jù)和軟件的范圍，是零信任體系架構(gòu)的基石。不幸的是，所謂的影子物聯(lián)網(wǎng)或無(wú)人監(jiān)管的連網(wǎng)資產(chǎn)是智能辦公環(huán)境的普遍困擾，其中充斥著從暖通空調(diào)和監(jiān)控?cái)z像頭到自動(dòng)售貨機(jī)和廚房電器的各種智能設(shè)備。

全面的物聯(lián)網(wǎng)設(shè)備管理流程可以讓公司獲得所需的對(duì)其連網(wǎng)環(huán)境的控制級(jí)別。首先，它從發(fā)現(xiàn)智能辦公室中的每個(gè)連網(wǎng)終端開始，并通過記錄設(shè)備的類型、IP地址、型號(hào)、供應(yīng)商、設(shè)置、安全控制、所有權(quán)和其他細(xì)節(jié)來創(chuàng)建一個(gè)統(tǒng)一的清單。

IT專家還應(yīng)該實(shí)時(shí)查看網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，以及終端如何與外部系統(tǒng)以及彼此之間進(jìn)行通信。最后但并非最不重要的一點(diǎn)是，為了保持相關(guān)性，設(shè)備庫(kù)存需要在基礎(chǔ)設(shè)施發(fā)生變化時(shí)進(jìn)行更新。

當(dāng)擁有完全可見且可控制的物聯(lián)網(wǎng)環(huán)境，并考慮了每個(gè)連網(wǎng)的設(shè)備、傳感器和端點(diǎn)以及它們的通信、配置和漏洞時(shí)，安全團(tuán)隊(duì)可以采取針對(duì)網(wǎng)絡(luò)細(xì)節(jié)和設(shè)備漏洞量身定制的保護(hù)措施，并簡(jiǎn)化設(shè)備更新和維護(hù)。

第二步、引入訪問控制和身份驗(yàn)證措施

在傳統(tǒng)的安全體系架構(gòu)中，受保護(hù)范圍內(nèi)的每個(gè)人都被認(rèn)為是可信的，并且可以不受限制地訪問網(wǎng)絡(luò)和設(shè)備。零信任模型用“從不信任，始終驗(yàn)證”原則來挑戰(zhàn)這種籠統(tǒng)的方法，該原則指出每個(gè)用戶都有其訪問權(quán)限的范圍，并且無(wú)論他們的級(jí)別有多高，都應(yīng)該始終確認(rèn)他們?cè)L問所需資源的憑據(jù)。

但是首先，您需要確保適當(dāng)?shù)娜藛T具有適當(dāng)?shù)脑L問權(quán)限?；诮巧脑L問控制(RBAC)，或授予每個(gè)人足夠的設(shè)備權(quán)限來執(zhí)行他們的工作任務(wù)，被證明是物聯(lián)網(wǎng)環(huán)境中最可持續(xù)的安排。隨著員工的來來往往和晉升，保持RBAC系統(tǒng)的最新狀態(tài)以防止安全性受損非常重要。

在實(shí)施訪問控制之后，您應(yīng)該繼續(xù)引入適當(dāng)?shù)挠脩羯矸蒡?yàn)證方法。盡管可以通過多因素身份驗(yàn)證和密碼(不是現(xiàn)成的憑據(jù))來限制對(duì)連網(wǎng)設(shè)備和軟件的虛擬訪問，但是在涉及設(shè)備的物理安全時(shí)，事情變得更加棘手。為了限制進(jìn)入裝有智能設(shè)備的房間，如會(huì)議室，您可以在門上安裝智能生物識(shí)別鎖。

第三步、分段網(wǎng)絡(luò)

零信任架構(gòu)的另一個(gè)關(guān)鍵特征是分段環(huán)境。在傳統(tǒng)的工作場(chǎng)所中，所有設(shè)備都運(yùn)行在一個(gè)單一的網(wǎng)絡(luò)中，當(dāng)連接到互聯(lián)網(wǎng)的端點(diǎn)數(shù)量較少時(shí)，這是一種合理且易于維護(hù)的設(shè)置。

然而，當(dāng)辦公場(chǎng)所配備大量智能設(shè)備時(shí)，清點(diǎn)如此龐大的基礎(chǔ)設(shè)施就成了一項(xiàng)繁重的工作，而安全故障被忽視的風(fēng)險(xiǎn)也隨之增加。除此之外，一個(gè)未分段的智能辦公室成為一個(gè)單一的攻擊面，其中一個(gè)漏洞足以破壞整個(gè)網(wǎng)絡(luò)。

為了保護(hù)您的工作場(chǎng)所免受這些風(fēng)險(xiǎn)，IT技術(shù)安全團(tuán)隊(duì)需要將單個(gè)網(wǎng)絡(luò)分成多個(gè)獨(dú)立的域。將物聯(lián)網(wǎng)設(shè)備和非物聯(lián)網(wǎng)設(shè)備分開，并將同一類型的端點(diǎn)分組在一起是一種既定的做法。此外，如果您的公司鼓勵(lì)BYOD趨勢(shì)或遠(yuǎn)程工作，您將需要為非公司設(shè)備提供專用網(wǎng)絡(luò)。