Zero Trust i sieci OT
Zero Trust to strategia zabezpieczeń do projektowania i implementowania następujących zestawów zasad zabezpieczeń:
| Jawną weryfikację | Korzystanie z dostępu z najmniejszymi uprawnieniami | Zakładanie naruszeń zabezpieczeń |
|---|---|---|
| Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. | Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. | Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę. |
Zaimplementuj zasady Zero Trust w sieciach technologii operacyjnych (OT), aby pomóc w rozwiązywaniu problemów, takich jak:
Kontrolowanie zdalnych połączeń z systemami OT, zabezpieczanie wpisów przeskoków sieciowych i zapobieganie ruchowi poprzecznemu w sieci
Przeglądanie i zmniejszanie połączeń między systemami zależnymi, upraszczanie procesów tożsamości, takich jak w przypadku wykonawców logujących się do sieci
Znajdowanie pojedynczych punktów awarii w sieci, identyfikowanie problemów w określonych segmentach sieci oraz zmniejszanie opóźnień i wąskich gardeł przepustowości
Unikatowe zagrożenia i wyzwania związane z sieciami OT
Architektury sieci OT często różnią się od tradycyjnej infrastruktury IT. Systemy OT używają unikatowej technologii z zastrzeżonymi protokołami i mogą mieć starzejące się platformy oraz ograniczoną łączność i moc. Sieci OT mogą również mieć określone wymagania bezpieczeństwa i unikatowe narażenie na ataki fizyczne lub lokalne, takie jak za pośrednictwem zewnętrznych wykonawców logujący się do sieci.
Ponieważ systemy OT często obsługują krytyczne infrastruktury sieciowe, są one często projektowane w celu nadania priorytetów bezpieczeństwu fizycznemu lub dostępności za pośrednictwem bezpiecznego dostępu i monitorowania. Na przykład sieci OT mogą działać oddzielnie od innego ruchu sieciowego przedsiębiorstwa, aby uniknąć przestojów w celu regularnej konserwacji lub ograniczenia określonych problemów z zabezpieczeniami.
W miarę migracji większej liczby sieci OT do środowisk opartych na chmurze stosowanie zasad Zero Trust może stanowić konkretne wyzwania. Na przykład:
- Systemy OT mogą nie być zaprojektowane dla wielu użytkowników i zasad dostępu opartego na rolach i mogą mieć tylko proste procesy uwierzytelniania.
- Systemy OT mogą nie mieć dostępnej mocy obliczeniowej, aby w pełni zastosować zasady bezpiecznego dostępu, a zamiast tego ufać całemu ruchowi odebranemu jako bezpieczny.
- Starzejąca się technologia stwarza wyzwania związane z zachowaniem wiedzy organizacyjnej, stosowaniem aktualizacji i używaniem standardowych narzędzi do analizy zabezpieczeń w celu uzyskania widoczności i kierowania wykrywaniem zagrożeń.
Jednak naruszenie zabezpieczeń w systemach o znaczeniu krytycznym może prowadzić do rzeczywistych konsekwencji poza tradycyjnymi zdarzeniami IT, a niezgodność może mieć wpływ na zdolność organizacji do przestrzegania przepisów rządowych i branżowych.
Stosowanie zasad zero trust do sieci OT
Kontynuuj stosowanie tych samych zasad zero trust w sieciach OT, co w tradycyjnych sieciach IT, ale z pewnymi modyfikacjami logistycznymi zgodnie z potrzebami. Na przykład:
Upewnij się, że wszystkie połączenia między sieciami i urządzeniami są identyfikowane i zarządzane, uniemożliwiając nieznane współzależności między systemami i zawierające nieoczekiwane przestoje podczas procedur konserwacji.
Ponieważ niektóre systemy OT mogą nie obsługiwać wszystkich potrzebnych praktyk zabezpieczeń, zalecamy ograniczenie połączeń między sieciami i urządzeniami do ograniczonej liczby hostów przesiadkowych. Hosty szybkiego dostępu mogą następnie służyć do uruchamiania sesji zdalnych z innymi urządzeniami.
Upewnij się, że hosty szybkiego dostępu mają silniejsze środki zabezpieczeń i praktyki uwierzytelniania, takie jak uwierzytelnianie wieloskładnikowe i systemy zarządzania dostępem uprzywilejowanym.
Segmentuj sieć, aby ograniczyć dostęp do danych, zapewniając, że cała komunikacja między urządzeniami i segmentami jest szyfrowana i zabezpieczona, a także uniemożliwia ruch poprzeczny między systemami. Upewnij się na przykład, że wszystkie urządzenia, które uzyskują dostęp do sieci, są wstępnie autoryzowane i zabezpieczone zgodnie z zasadami organizacji.
Może być konieczne zaufanie do komunikacji w całym przemysłowym systemie kontroli i bezpieczeństwa (ICS i SIS). Jednak często można dalej podzielić sieć na mniejsze obszary, co ułatwia monitorowanie zabezpieczeń i konserwacji.
Ocenianie sygnałów, takich jak lokalizacja urządzenia, kondycja i zachowanie, używanie danych kondycji do stosowania bramy lub flagi dostępu do korygowania. Wymagaj, aby urządzenia musiały być aktualne w celu uzyskania dostępu, i korzystać z analizy w celu uzyskania widoczności i skalowania obrony za pomocą automatycznych odpowiedzi.
Kontynuuj monitorowanie metryk zabezpieczeń, takich jak autoryzowane urządzenia i punkt odniesienia ruchu sieciowego, aby upewnić się, że obwód zabezpieczeń zachowuje integralność i zmiany w organizacji w miarę upływu czasu. Na przykład może być konieczne zmodyfikowanie segmentów i zasad dostępu w miarę zmiany osób, urządzeń i systemów.
Zero Trust z usługą Defender dla IoT
Wdróż czujniki sieciowe usługi Microsoft Defender dla IoT, aby wykrywać urządzenia i monitorować ruch w sieciach OT. Usługa Defender for IoT ocenia urządzenia pod kątem luk w zabezpieczeniach i zapewnia kroki ograniczania ryzyka oraz stale monitoruje urządzenia pod kątem nietypowego lub nieautoryzowanego zachowania.
Podczas wdrażania czujników sieci OT należy używać lokacji i stref do segmentowania sieci.
- Witryny odzwierciedlają wiele urządzeń pogrupowanych według określonej lokalizacji geograficznej, takiej jak biuro pod określonym adresem.
- Strefy odzwierciedlają segment logiczny w obrębie lokacji w celu zdefiniowania obszaru funkcjonalnego, takiego jak określona linia produkcyjna.
Przypisz każdy czujnik OT do określonej lokacji i strefy, aby upewnić się, że każdy czujnik OT obejmuje określony obszar sieci. Segmentowanie czujnika między lokacjami i strefami ułatwia monitorowanie dowolnego ruchu przechodzącego między segmentami i wymuszanie zasad zabezpieczeń dla każdej strefy.
Pamiętaj, aby przypisać zasady dostępu oparte na witrynie, aby zapewnić dostęp do danych i działań usługi Defender for IoT z najniższymi uprawnieniami.
Jeśli na przykład twoja rozwijająca się firma ma fabryki i biura w Paryżu, Lagos, Dubaju i Tianjin, możesz podzielić sieć w następujący sposób:
| Site | Strefy |
|---|---|
| Biuro w Paryżu | - Parter (Goście) - Piętro 1 (Sprzedaż) - Piętro 2 (Executive) |
| Biuro Lagos | - Parter (biura) - Podłogi 1-2 (fabryka) |
| Biuro w Dubaju | - Parter (centrum konwencji) - Piętro 1 (Sprzedaż) - Piętro 2 (biura) |
| Biuro Tianjin | - Parter (biura) - Podłogi 1-2 (fabryka) |
Następne kroki
Tworzenie witryn i stref podczas dołączania czujników OT w witrynie Azure Portal i przypisywanie zasad dostępu opartych na witrynie do użytkowników platformy Azure.
Jeśli pracujesz w środowisku rozdmuchanym powietrzem z lokalną konsolą zarządzania, utwórz lokację OT i strefy bezpośrednio w lokalnej konsoli zarządzania.
Użyj wbudowanych skoroszytów usługi Defender dla IoT i utwórz własne niestandardowe skoroszyty, aby monitorować obwód zabezpieczeń w czasie.
Aby uzyskać więcej informacji, zobacz:
- Tworzenie lokacji i stref podczas dołączania czujnika OT
- Zarządzanie kontrolą dostępu opartą na lokacji
- Monitorowanie sieci OT za pomocą zasad zero trust
Aby uzyskać więcej informacji, zobacz: