Udostępnij za pośrednictwem


Zero Trust i sieci OT

Zero Trust to strategia zabezpieczeń do projektowania i implementowania następujących zestawów zasad zabezpieczeń:

Jawną weryfikację Korzystanie z dostępu z najmniejszymi uprawnieniami Zakładanie naruszeń zabezpieczeń
Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. Ogranicz dostęp użytkowników za pomocą zasad just in time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych. Zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.

Zaimplementuj zasady Zero Trust w sieciach technologii operacyjnych (OT), aby pomóc w rozwiązywaniu problemów, takich jak:

  • Kontrolowanie zdalnych połączeń z systemami OT, zabezpieczanie wpisów przeskoków sieciowych i zapobieganie ruchowi poprzecznemu w sieci

  • Przeglądanie i zmniejszanie połączeń między systemami zależnymi, upraszczanie procesów tożsamości, takich jak w przypadku wykonawców logujących się do sieci

  • Znajdowanie pojedynczych punktów awarii w sieci, identyfikowanie problemów w określonych segmentach sieci oraz zmniejszanie opóźnień i wąskich gardeł przepustowości

Unikatowe zagrożenia i wyzwania związane z sieciami OT

Architektury sieci OT często różnią się od tradycyjnej infrastruktury IT. Systemy OT używają unikatowej technologii z zastrzeżonymi protokołami i mogą mieć starzejące się platformy oraz ograniczoną łączność i moc. Sieci OT mogą również mieć określone wymagania bezpieczeństwa i unikatowe narażenie na ataki fizyczne lub lokalne, takie jak za pośrednictwem zewnętrznych wykonawców logujący się do sieci.

Ponieważ systemy OT często obsługują krytyczne infrastruktury sieciowe, są one często projektowane w celu nadania priorytetów bezpieczeństwu fizycznemu lub dostępności za pośrednictwem bezpiecznego dostępu i monitorowania. Na przykład sieci OT mogą działać oddzielnie od innego ruchu sieciowego przedsiębiorstwa, aby uniknąć przestojów w celu regularnej konserwacji lub ograniczenia określonych problemów z zabezpieczeniami.

W miarę migracji większej liczby sieci OT do środowisk opartych na chmurze stosowanie zasad Zero Trust może stanowić konkretne wyzwania. Na przykład:

  • Systemy OT mogą nie być zaprojektowane dla wielu użytkowników i zasad dostępu opartego na rolach i mogą mieć tylko proste procesy uwierzytelniania.
  • Systemy OT mogą nie mieć dostępnej mocy obliczeniowej, aby w pełni zastosować zasady bezpiecznego dostępu, a zamiast tego ufać całemu ruchowi odebranemu jako bezpieczny.
  • Starzejąca się technologia stwarza wyzwania związane z zachowaniem wiedzy organizacyjnej, stosowaniem aktualizacji i używaniem standardowych narzędzi do analizy zabezpieczeń w celu uzyskania widoczności i kierowania wykrywaniem zagrożeń.

Jednak naruszenie zabezpieczeń w systemach o znaczeniu krytycznym może prowadzić do rzeczywistych konsekwencji poza tradycyjnymi zdarzeniami IT, a niezgodność może mieć wpływ na zdolność organizacji do przestrzegania przepisów rządowych i branżowych.

Stosowanie zasad zero trust do sieci OT

Kontynuuj stosowanie tych samych zasad zero trust w sieciach OT, co w tradycyjnych sieciach IT, ale z pewnymi modyfikacjami logistycznymi zgodnie z potrzebami. Na przykład:

  • Upewnij się, że wszystkie połączenia między sieciami i urządzeniami są identyfikowane i zarządzane, uniemożliwiając nieznane współzależności między systemami i zawierające nieoczekiwane przestoje podczas procedur konserwacji.

    Ponieważ niektóre systemy OT mogą nie obsługiwać wszystkich potrzebnych praktyk zabezpieczeń, zalecamy ograniczenie połączeń między sieciami i urządzeniami do ograniczonej liczby hostów przesiadkowych. Hosty szybkiego dostępu mogą następnie służyć do uruchamiania sesji zdalnych z innymi urządzeniami.

    Upewnij się, że hosty szybkiego dostępu mają silniejsze środki zabezpieczeń i praktyki uwierzytelniania, takie jak uwierzytelnianie wieloskładnikowe i systemy zarządzania dostępem uprzywilejowanym.

  • Segmentuj sieć, aby ograniczyć dostęp do danych, zapewniając, że cała komunikacja między urządzeniami i segmentami jest szyfrowana i zabezpieczona, a także uniemożliwia ruch poprzeczny między systemami. Upewnij się na przykład, że wszystkie urządzenia, które uzyskują dostęp do sieci, są wstępnie autoryzowane i zabezpieczone zgodnie z zasadami organizacji.

    Może być konieczne zaufanie do komunikacji w całym przemysłowym systemie kontroli i bezpieczeństwa (ICS i SIS). Jednak często można dalej podzielić sieć na mniejsze obszary, co ułatwia monitorowanie zabezpieczeń i konserwacji.

  • Ocenianie sygnałów, takich jak lokalizacja urządzenia, kondycja i zachowanie, używanie danych kondycji do stosowania bramy lub flagi dostępu do korygowania. Wymagaj, aby urządzenia musiały być aktualne w celu uzyskania dostępu, i korzystać z analizy w celu uzyskania widoczności i skalowania obrony za pomocą automatycznych odpowiedzi.

  • Kontynuuj monitorowanie metryk zabezpieczeń, takich jak autoryzowane urządzenia i punkt odniesienia ruchu sieciowego, aby upewnić się, że obwód zabezpieczeń zachowuje integralność i zmiany w organizacji w miarę upływu czasu. Na przykład może być konieczne zmodyfikowanie segmentów i zasad dostępu w miarę zmiany osób, urządzeń i systemów.

Zero Trust z usługą Defender dla IoT

Wdróż czujniki sieciowe usługi Microsoft Defender dla IoT, aby wykrywać urządzenia i monitorować ruch w sieciach OT. Usługa Defender for IoT ocenia urządzenia pod kątem luk w zabezpieczeniach i zapewnia kroki ograniczania ryzyka oraz stale monitoruje urządzenia pod kątem nietypowego lub nieautoryzowanego zachowania.

Podczas wdrażania czujników sieci OT należy używać lokacji i stref do segmentowania sieci.

  • Witryny odzwierciedlają wiele urządzeń pogrupowanych według określonej lokalizacji geograficznej, takiej jak biuro pod określonym adresem.
  • Strefy odzwierciedlają segment logiczny w obrębie lokacji w celu zdefiniowania obszaru funkcjonalnego, takiego jak określona linia produkcyjna.

Przypisz każdy czujnik OT do określonej lokacji i strefy, aby upewnić się, że każdy czujnik OT obejmuje określony obszar sieci. Segmentowanie czujnika między lokacjami i strefami ułatwia monitorowanie dowolnego ruchu przechodzącego między segmentami i wymuszanie zasad zabezpieczeń dla każdej strefy.

Pamiętaj, aby przypisać zasady dostępu oparte na witrynie, aby zapewnić dostęp do danych i działań usługi Defender for IoT z najniższymi uprawnieniami.

Jeśli na przykład twoja rozwijająca się firma ma fabryki i biura w Paryżu, Lagos, Dubaju i Tianjin, możesz podzielić sieć w następujący sposób:

Site Strefy
Biuro w Paryżu - Parter (Goście)
- Piętro 1 (Sprzedaż)
- Piętro 2 (Executive)
Biuro Lagos - Parter (biura)
- Podłogi 1-2 (fabryka)
Biuro w Dubaju - Parter (centrum konwencji)
- Piętro 1 (Sprzedaż)
- Piętro 2 (biura)
Biuro Tianjin - Parter (biura)
- Podłogi 1-2 (fabryka)

Następne kroki

Tworzenie witryn i stref podczas dołączania czujników OT w witrynie Azure Portal i przypisywanie zasad dostępu opartych na witrynie do użytkowników platformy Azure.

Jeśli pracujesz w środowisku rozdmuchanym powietrzem z lokalną konsolą zarządzania, utwórz lokację OT i strefy bezpośrednio w lokalnej konsoli zarządzania.

Użyj wbudowanych skoroszytów usługi Defender dla IoT i utwórz własne niestandardowe skoroszyty, aby monitorować obwód zabezpieczeń w czasie.

Aby uzyskać więcej informacji, zobacz:

Aby uzyskać więcej informacji, zobacz: