Zero Trust dan jaringan OT Anda
Zero Trust adalah strategi keamanan untuk merancang dan menerapkan serangkaian prinsip keamanan berikut:
| Memverifikasi secara eksplisit | Gunakan akses hak istimewa minimum | Menganggap pelanggaran |
|---|---|---|
| Selalu autentikasi dan otorisasi berdasarkan semua titik data yang tersedia. | Batasi akses pengguna dengan Just-In-Time dan Just-Enough-Access (JIT/JEA), kebijakan adaptif berbasis risiko, dan perlindungan data. | Minimalkan radius ledakan dan akses segmen. Verifikasi enkripsi menyeluruh dan gunakan analitik untuk mendapatkan visibilitas, mendorong deteksi ancaman, dan meningkatkan pertahanan. |
Terapkan prinsip Zero Trust di seluruh jaringan teknologi operasional (OT) Anda untuk membantu Anda dengan tantangan, seperti:
Mengontrol koneksi jarak jauh ke dalam sistem OT Anda, mengamankan pos lompat jaringan Anda, dan mencegah gerakan lateral di seluruh jaringan Anda
Meninjau dan mengurangi interkoneksi antara sistem dependen, menyederhanakan proses identitas, seperti untuk kontraktor yang masuk ke jaringan Anda
Menemukan satu titik kegagalan di jaringan Anda, mengidentifikasi masalah di segmen jaringan tertentu, dan mengurangi penundaan dan penyempitan bandwidth
Risiko dan tantangan unik untuk jaringan OT
Arsitektur jaringan OT sering berbeda dari infrastruktur TI tradisional. Sistem OT menggunakan teknologi unik dengan protokol kepemilikan, dan mungkin memiliki platform penuaan dan konektivitas dan daya terbatas. Jaringan OT juga mungkin memiliki persyaratan keamanan khusus dan paparan unik terhadap serangan fisik atau lokal, seperti melalui kontraktor eksternal yang masuk ke jaringan Anda.
Karena sistem OT sering mendukung infrastruktur jaringan penting, sistem sering dirancang untuk memprioritaskan keamanan fisik atau ketersediaan melalui akses dan pemantauan yang aman. Misalnya, jaringan OT Anda mungkin berfungsi secara terpisah dari lalu lintas jaringan perusahaan lainnya untuk menghindari waktu henti untuk pemeliharaan rutin atau untuk mengurangi masalah keamanan tertentu.
Karena lebih banyak jaringan OT bermigrasi ke lingkungan berbasis cloud, menerapkan prinsip Zero Trust dapat menghadirkan tantangan tertentu. Misalnya:
- Sistem OT mungkin tidak dirancang untuk beberapa pengguna dan kebijakan akses berbasis peran, dan mungkin hanya memiliki proses autentikasi sederhana.
- Sistem OT mungkin tidak memiliki daya pemrosesan yang tersedia untuk sepenuhnya menerapkan kebijakan akses yang aman, dan sebaliknya mempercayai semua lalu lintas yang diterima sebagai aman.
- Teknologi penuaan menghadirkan tantangan dalam mempertahankan pengetahuan organisasi, menerapkan pembaruan, dan menggunakan alat analitik keamanan standar untuk mendapatkan visibilitas dan mendorong deteksi ancaman.
Namun, kompromi keamanan dalam sistem penting misi Anda dapat menyebabkan konsekuensi dunia nyata di luar insiden IT tradisional, dan ketidakpatuhan dapat memengaruhi kemampuan organisasi Anda untuk sesuai dengan peraturan pemerintah dan industri.
Menerapkan prinsip Zero Trust ke jaringan OT
Terus terapkan prinsip Zero Trust yang sama di jaringan OT Anda seperti yang Anda lakukan di jaringan IT tradisional, tetapi dengan beberapa modifikasi logistik sesuai kebutuhan. Misalnya:
Pastikan bahwa semua koneksi antara jaringan dan perangkat diidentifikasi dan dikelola, mencegah interdependensi yang tidak diketahui antara sistem dan berisi waktu henti yang tidak terduga selama prosedur pemeliharaan.
Karena beberapa sistem OT mungkin tidak mendukung semua praktik keamanan yang Anda butuhkan, sebaiknya batasi koneksi antara jaringan dan perangkat ke sejumlah host lompat yang terbatas. Host jump kemudian dapat digunakan untuk memulai sesi jarak jauh dengan perangkat lain.
Pastikan jump host Anda memiliki langkah-langkah keamanan dan praktik autentikasi yang lebih kuat, seperti autentikasi multifaktor dan sistem manajemen akses istimewa.
Segmentasikan jaringan Anda untuk membatasi akses data, memastikan bahwa semua komunikasi antara perangkat dan segmen dienkripsi dan diamankan, dan mencegah pergerakan lateral antar sistem. Misalnya, pastikan bahwa semua perangkat yang mengakses jaringan telah diotorisasi sebelumnya dan diamankan sesuai dengan kebijakan organisasi Anda.
Anda mungkin perlu mempercayai komunikasi di seluruh sistem informasi kontrol industri dan keselamatan (ICS dan SIS). Namun, Anda sering dapat mensegmentasi jaringan Anda lebih jauh ke area yang lebih kecil, sehingga lebih mudah untuk memantau keamanan dan pemeliharaan.
Evaluasi sinyal seperti lokasi perangkat, kesehatan, dan perilaku, menggunakan data kesehatan untuk mengakses gerbang atau bendera untuk remediasi. Mengharuskan perangkat harus diperbarui untuk akses, dan menggunakan analitik untuk mendapatkan visibilitas dan menskalakan pertahanan dengan respons otomatis.
Terus pantau metrik keamanan, seperti perangkat resmi dan garis besar lalu lintas jaringan Anda, untuk memastikan bahwa perimeter keamanan Anda mempertahankan integritas dan perubahannya di organisasi Anda terjadi dari waktu ke waktu. Misalnya, Anda mungkin perlu mengubah segmen dan kebijakan akses saat orang, perangkat, dan sistem berubah.
Zero Trust dengan Defender untuk IoT
Sebarkan sensor jaringan Pertahanan Microsoft untuk IoT untuk mendeteksi perangkat dan memantau lalu lintas di seluruh jaringan OT Anda. Defender untuk IoT menilai perangkat Anda untuk kerentanan dan memberikan langkah-langkah mitigasi berbasis risiko, dan terus memantau perangkat Anda untuk perilaku anomali atau tidak sah.
Saat menyebarkan sensor jaringan OT, gunakan situs, dan zona untuk mengesegmentasi jaringan Anda.
- Situs mencerminkan banyak perangkat yang dikelompokkan berdasarkan lokasi geografis tertentu, seperti kantor di alamat tertentu.
- Zona mencerminkan segmen logis dalam situs untuk menentukan area fungsional, seperti lini produksi tertentu.
Tetapkan setiap sensor OT ke situs dan zona tertentu untuk memastikan bahwa setiap sensor OT mencakup area jaringan tertentu. Mengelompokan sensor di seluruh situs dan zona membantu Anda memantau lalu lintas apa pun yang melewati antar segmen dan menerapkan kebijakan keamanan untuk setiap zona.
Pastikan untuk menetapkan kebijakan akses berbasis situs sehingga Anda dapat memberikan akses dengan hak istimewa paling sedikit ke Defender untuk data dan aktivitas IoT.
Misalnya, jika perusahaan Anda yang berkembang memiliki pabrik dan kantor di Paris, Lagos, Dubai, dan Tianjin, Anda mungkin mengelompokan jaringan Anda sebagai berikut:
| Site | Zona |
|---|---|
| Kantor Paris | - Lantai dasar (Tamu) - Lantai 1 (Penjualan) - Lantai 2 (Eksekutif) |
| Kantor Lagos | - Lantai dasar (Kantor) - Lantai 1-2 (Pabrik) |
| Kantor Dubai | - Lantai dasar (Pusat konvensi) - Lantai 1 (Penjualan) - Lantai 2 (Kantor) |
| Kantor Tianjin | - Lantai dasar (Kantor) - Lantai 1-2 (Pabrik) |
Langkah berikutnya
Buat situs dan zona saat Anda onboard sensor OT di portal Azure, dan tetapkan kebijakan akses berbasis situs untuk pengguna Azure Anda.
Jika Anda bekerja di lingkungan yang terpasang di udara dengan konsol manajemen lokal, buat situs dan zona OT langsung di konsol manajemen lokal.
Gunakan buku kerja Defender for IoT bawaan dan buat buku kerja kustom Anda sendiri untuk memantau perimeter keamanan Anda dari waktu ke waktu.
Untuk informasi selengkapnya, lihat:
- Membuat situs dan zona saat onboarding sensor OT
- Mengelola kontrol akses berbasis situs
- Memantau jaringan OT Anda dengan prinsip Zero Trust
Untuk informasi selengkapnya, lihat: