零信任和 OT 網路
零信任是用於設計和實作下列安全性準則集合的安全性策略:
| 明確驗證 | 使用最低權限存取權 | 假設缺口 |
|---|---|---|
| 一律根據所有可用的資料點進行驗證及授權。 | 使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA)、風險型調適型原則以及資料保護來限制使用者存取權。 | 將爆炸半徑和區段存取權降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。 |
在作業技術 (OT) 網路中實作零信任準則可協助您應對各種挑戰,例如:
控制對 OT 系統的遠端連線、保護網路跳板機,以及防止跨網路橫向移動
檢閱和減少相依系統之間的相互連線、簡化身分識別程序,例如讓承包商登入您的網路
在您的網路中尋找單一失敗點、找出特定網路區段中的問題,以及減少延遲和頻寬瓶頸
OT 網路的獨特風險和挑戰
OT 網路架構通常與傳統 IT 基礎結構不同。 OT 系統會搭配使用獨特的技術與專屬的通訊協定,而且可能會有過時的平台和有限的連線能力和處理能力。 OT 網路也可能有特定的安全需求和獨特的實體或本機攻擊風險,例如透過外部承包商登入您的網路。
由於 OT 系統通常支援重要的網路基礎結構,因此通常會設計為讓實體安全或可用性的優先順序高於安全存取和監視。 例如,您的 OT 網路可能會與其他企業網路流量分開運作,以避免定期維護時停機或減輕特定的安全性問題。
隨著更多 OT 網路移轉至雲端式環境,套用零信任準則可能會出現特定挑戰。 例如:
- OT 系統可能不是針對多個使用者和角色型存取原則所設計,而且可能只有簡單的驗證程序。
- OT 系統可能沒有可完全套用安全存取原則的處理能力,因此反而會信任所接收的一切流量都是安全的。
- 過時的技術在保留組織知識、套用更新,以及使用標準安全性分析工具來取得可見度並推動威脅偵測方面出現了挑戰。
不過,任務關鍵系統中的安全性危害可能會導致超越傳統 IT 事件以外的真實世界後果,且不符合規範可能會影響組織符合政府和產業法規的能力。
將零信任準則套用至 OT 網路
請和傳統 IT 網路的做法一樣,繼續在 OT 網路中套用相同的零信任準則,但視需要進行一些邏輯上的修改。 例如:
確定有識別和管理網路與裝置之間的所有連線,防止系統之間有未知的相互依賴性,並在維護程序進行期間遏制任何非預期的停機。
由於某些 OT 系統可能不支援您需要的所有安全性做法,因此建議將網路與裝置之間的連線限製為一定數量的跳板機。 跳板機接著可用來啟動與其他裝置的遠端工作階段。
請確定跳板機有更強大的安全性措施和驗證做法,例如多重要素驗證和特殊權限存取管理系統。
分割網路以限制資料存取,確保裝置與區段之間的所有通訊都會加密並受到保護,以及防止系統之間的橫向移動。 例如,確定存取網路的所有裝置都已預先獲得授權,並根據組織的原則獲得保護。
您可能需要信任整個產業控制和安全資訊系統 (ICS 和 SIS) 之間的通訊。 不過,您通常可以將網路進一步分割成較小的區域,以便更輕鬆地監視安全性和維護。
使用健康情況資料評估裝置位置、健康情況和行為等訊號,以獲得存取權或旗標以進行補救。 要求裝置必須具有最新的存取權,並使用分析來取得可見度並透過自動化回應來和縮放防禦。
繼續監視安全性計量,例如已授權的裝置和網路流量基準,以確保您的安全界限會保持完整,而且組織會隨著時間進行變更。 例如,您可能需要在人員、裝置和系統發生變更時,修改您的區段和存取原則。
零信任與適用於 IoT 的 Defender
部署適用於 IoT 的 Microsoft Defender 網路感應器可偵測裝置並監視 OT 網路中的流量。 適用於 IoT 的 Defender 會評估裝置是否有弱點,並提供風險型風險降低步驟,並持續監視裝置中是否有異常或未經授權的行為。
在部署 OT 網路感應器時,請使用網站和區域來分割網路。
- 網站會反映依特定地理位置分組的許多裝置,例如特定地址的辦公室。
- 區域會反映網站內的邏輯區段,以定義功能區域,例如特定生產線。
將每個 OT 感應器指派給特定網站和區域,以確保每個 OT 感應器涵蓋網路的特定區域。 在網站和區域中區隔感應器,可協助您監視區段之間傳遞的任何流量,並針對每個區域強制執行安全原則。
請務必指派網站型存取原則,以便您可以為適用於 IoT 的 Defender 資料和活動提供最低特殊權限存取。
例如,如果您逐漸成長的公司在巴黎、拉哥斯、杜拜和天津設有工廠和辦公室,您可能會將網路細分如下:
| Site | 區域 |
|---|---|
| 巴黎辦公室 | - 地面樓 (來賓) - 1 樓 (銷售) - 2 樓 (行政) |
| 拉哥斯辦公室 | - 地面樓 (辦公室) - 1-2 樓 (工廠) |
| 杜拜辦公室 | - 地面樓 (會議中心) - 1 樓 (銷售) - 2 樓 (辦公室) |
| 天津辦公室 | - 地面樓 (辦公室) - 1-2 樓 (工廠) |
下一步
在 Azure 入口網站中將 OT 感應器上線時請建立網站和區域,並將網站型存取原則指派給 Azure 使用者。
如果您要使用內部部署管理主控台在實體隔離斷網的環境中工作,請直接在內部部署管理主控台上建立 OT 網站和區域。
請使用內建的適用於 IoT 的 Defender 活頁簿,並建立您自己的自訂活頁簿,以監視一段時間的安全界限。
如需詳細資訊,請參閱
如需詳細資訊,請參閱