nulová důvěra (Zero Trust) a sítě OT

nulová důvěra (Zero Trust) je strategie zabezpečení pro navrhování a implementaci následujících sad principů zabezpečení:

Explicitní ověření	Použití přístupu s nejnižšími oprávněními	Předpokládat porušení zabezpečení
Vždy ověřovat a autorizovat na základě všech dostupných datových bodů.	Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat.	Minimalizujte poloměr výbuchu a segmentování přístupu. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.

Implementace principů nulová důvěra (Zero Trust) napříč sítěmi OT (Operational Technology), které vám pomůžou s problémy, jako jsou:

• Řízení vzdálených připojení k systémům OT, zabezpečení síťových přeskakujících příspěvků a zabránění laterálnímu pohybu v síti

• Kontrola a snížení propojení mezi závislými systémy, zjednodušení procesů identit, jako je například přihlašování dodavatelů k síti

• Vyhledání kritických bodů selhání ve vaší síti, identifikace problémů v konkrétních segmentech sítě a snížení zpoždění a kritických bodů šířky pásma

Jedinečná rizika a výzvy pro sítě OT

Síťové architektury OT se často liší od tradiční it infrastruktury. Systémy OT používají jedinečnou technologii s proprietárními protokoly a mohou mít stárnoucí platformy a omezené připojení a napájení. Sítě OT můžou mít také specifické bezpečnostní požadavky a jedinečné expozice fyzickým nebo místním útokům, například prostřednictvím externích dodavatelů, kteří se přihlašují k vaší síti.

Vzhledem k tomu, že systémy OT často podporují kritické síťové infrastruktury, jsou často navržené tak, aby upřednostnily fyzickou bezpečnost nebo dostupnost před zabezpečeným přístupem a monitorováním. Například vaše sítě OT můžou fungovat odděleně od jiných podnikových síťových přenosů, aby nedocházelo k výpadkům pravidelné údržby nebo ke zmírnění konkrétních problémů se zabezpečením.

S tím, jak se více sítí OT migruje do cloudových prostředí, může použití principů nulová důvěra (Zero Trust) představovat specifické výzvy. Příklad:

• Systémy OT nemusí být navržené pro více uživatelů a zásad přístupu na základě rolí a můžou mít pouze jednoduché procesy ověřování.
• Systémy OT nemusí mít k dispozici výpočetní výkon pro úplné použití zásad zabezpečeného přístupu a místo toho důvěřují veškerému provozu přijatému jako bezpečné.
• Stárnoucí technologie představují výzvy při zachování znalostí organizace, používání aktualizací a používání standardních analytických nástrojů zabezpečení k získání viditelnosti a řízení detekce hrozeb.

Ohrožení zabezpečení ve vašich důležitých systémech ale může vést k důsledkům z reálného světa nad rámec tradičních IT incidentů a nedodržení předpisů může ovlivnit schopnost vaší organizace dodržovat vládní a oborové předpisy.

Použití principů nulová důvěra (Zero Trust) pro sítě OT

V sítích OT můžete dál používat stejné principy nulová důvěra (Zero Trust) jako v tradičních IT sítích, ale podle potřeby některé logistické úpravy. Příklad:

• Ujistěte se, že jsou identifikovaná a spravovaná všechna připojení mezi sítěmi a zařízeními, což brání neznámým vzájemným závislostem mezi systémy a obsahující neočekávaný výpadek během postupů údržby.

  Vzhledem k tomu, že některé systémy OT nemusí podporovat všechny potřebné postupy zabezpečení, doporučujeme omezit připojení mezi sítěmi a zařízeními na omezený počet hostitelů přeskakování. Hostitelé přeskakování se pak dají použít ke spuštění vzdálených relací s jinými zařízeními.

  Ujistěte se, že hostitelé jumpů mají silnější bezpečnostní opatření a postupy ověřování, jako jsou vícefaktorové ověřování a systémy pro správu privilegovaného přístupu.

• Segmentujte síť, abyste omezili přístup k datům a zajistili, že veškerá komunikace mezi zařízeními a segmenty je šifrovaná a zabezpečená a brání laterálnímu pohybu mezi systémy. Ujistěte se například, že všechna zařízení, která přistupují k síti, jsou předem autorizovaná a zabezpečená podle zásad vaší organizace.

  Možná budete muset důvěřovat komunikaci v rámci celého průmyslového řízení a bezpečnostních informačních systémů (ICS a SIS). Síť ale můžete často dále segmentovat do menších oblastí, což usnadňuje monitorování zabezpečení a údržby.

• Vyhodnoťte signály, jako je umístění zařízení, stav a chování, pomocí dat o stavu k bráně přístupu nebo příznaku pro nápravu. Vyžadovat, aby zařízení byla pro přístup aktuální, a k získání viditelnosti a škálování obrany pomocí automatizovaných odpovědí využijte analýzy.

• Pokračujte v monitorování metrik zabezpečení, jako jsou autorizovaná zařízení a směrný plán síťového provozu, abyste zajistili, že vaše hraniční síť zachová integritu a změny v organizaci v průběhu času. Možná budete například muset upravit segmenty a zásady přístupu, protože se mění lidé, zařízení a systémy.

nulová důvěra (Zero Trust) s defenderem for IoT

Nasaďte síťové senzory Microsoft Defenderu pro IoT, které detekují zařízení a monitorují provoz v sítích OT. Defender for IoT vyhodnocuje ohrožení zabezpečení vašich zařízení a poskytuje kroky pro zmírnění rizik a nepřetržitě monitoruje zařízení za neobvyklé nebo neoprávněné chování.

Při nasazování síťových senzorů OT používejte lokality a zóny k segmentování sítě.

• Weby odrážejí mnoho zařízení seskupených podle konkrétní geografické polohy, například kanceláře na konkrétní adrese.
• Zóny odrážejí logický segment v lokalitě pro definování funkční oblasti, například konkrétní výrobní linky.

Přiřaďte každému senzoru OT konkrétní lokalitě a zóně, abyste zajistili, že každý senzor OT pokrývá určitou oblast sítě. Segmentace senzoru mezi weby a zónami pomáhá monitorovat veškerý provoz mezi segmenty a vynucovat zásady zabezpečení pro každou zónu.

Nezapomeňte přiřadit zásady přístupu na základě webu, abyste mohli poskytnout přístup k datům a aktivitám IoT v programu Defender s nejnižšími oprávněními.

Pokud má vaše rostoucí společnost například továrny a kanceláře v Paříži, Lagosu, Dubaji a Tianjinu, můžete síť segmentovat takto:

Site	Zóny
Kancelář v Paříži	- Přízemí (hosté) - Podlaha 1 (Prodej) - Podlaha 2 (executive)
Kancelář Lagos	- Přízemí (kanceláře) - Podlahy 1-2 (továrna)
Kancelář v Dubaji	- Přízemí (kongresové centrum) - Podlaha 1 (Prodej) - Podlaha 2 (kanceláře)
Kancelář tchien-tchien	- Přízemí (kanceláře) - Podlahy 1-2 (továrna)

Další kroky

Při připojování senzorů OT na webu Azure Portal můžete vytvářet weby a zóny a přiřazovat uživatelům Azure zásady přístupu na základě webu.

Pokud pracujete ve vzduchovém prostředí s místní konzolou pro správu, vytvořte lokalitu OT a zóny přímo v místní konzole pro správu.

Používejte integrované sešity Defenderu pro IoT a vytvářejte vlastní sešity pro monitorování hraniční sítě zabezpečení v průběhu času.

Další informace naleznete v tématu:

• Vytváření lokalit a zón při onboardingu senzoru OT
• Správa řízení přístupu na základě webu
• Monitorování sítě OT pomocí principů nulová důvěra (Zero Trust)

Další informace naleznete v tématu:

• Role a oprávnění uživatelů Azure pro Defender for IoT
• Centrum pokynů pro nulová důvěra (Zero Trust)
• Dokument white paper: nulová důvěra (Zero Trust) kyberbezpečnost internetu věcí