Gartner預(yù)測(cè)，到2020年年底，全球?qū)⒉渴?89億臺(tái)物聯(lián)網(wǎng)設(shè)備，在這龐大數(shù)字的背后，隨之而來的安全問題也愈發(fā)重要，一旦出現(xiàn)網(wǎng)絡(luò)攻擊事件，將有可能造成物聯(lián)網(wǎng)設(shè)備失控、采集到的信息被篡改，物聯(lián)網(wǎng)平臺(tái)中的敏感數(shù)據(jù)泄漏等嚴(yán)重后果。

[[351512]]

為了應(yīng)對(duì)安全問題，在物聯(lián)網(wǎng)的早期，企業(yè)采取一種簡(jiǎn)單的訪問策略，即提供一個(gè)物聯(lián)網(wǎng)VLAN，隔離網(wǎng)絡(luò)上的物聯(lián)網(wǎng)流量。但如今物聯(lián)網(wǎng)已經(jīng)成熟，一些物聯(lián)網(wǎng)設(shè)備可能需要訪問敏感數(shù)據(jù)，而VLAN顯然是不夠的。

如今零信任網(wǎng)絡(luò)架構(gòu)已逐漸成熟，似乎可以解決IoT的這種窘境。零信任訪問策略通常以身份為核心，而物聯(lián)網(wǎng)設(shè)備通常是非托管的，沒有關(guān)聯(lián)的用戶，在這里，物聯(lián)網(wǎng)對(duì)零信任計(jì)劃提出了一個(gè)挑戰(zhàn)。

企業(yè)若要制定針對(duì)單個(gè)IoT設(shè)備的用途及需求的零信任訪問策略，僅僅了解設(shè)備的品牌和型號(hào)是完全不夠的，還需要了解異構(gòu)物聯(lián)網(wǎng)環(huán)境，要知道每個(gè)IoT設(shè)備的用途和需求。

1. IoT零信任訪問策略只被少數(shù)人采用

然而只有少數(shù)企業(yè)做到這一點(diǎn)。EMA的調(diào)查表明，現(xiàn)在大多數(shù)企業(yè)都沒有制定這種IoT訪問策略：

• 只有36%的企業(yè)正在制定針對(duì)用途和需求的零信任IoT訪問策略。
• 相反，有28%的企業(yè)采用降低粒度的方式是：創(chuàng)建通用的、最低級(jí)別的訪問權(quán)限，如物聯(lián)網(wǎng)VLAN。這種細(xì)分可能導(dǎo)致更高的安全風(fēng)險(xiǎn)，舉個(gè)例子，一是將數(shù)據(jù)推送到云端的IoT傳感器、二是從云端提取敏感數(shù)據(jù)的傳感器，這兩種傳感器在這種策略引擎中是不會(huì)被區(qū)分的，它根本不考慮不同的風(fēng)險(xiǎn)級(jí)別。
• 另有23%的企業(yè)認(rèn)為IoT設(shè)備不可信，這種想法嚴(yán)重限制了他們的網(wǎng)絡(luò)訪問。這意味著IoT設(shè)備根本無法訪問敏感資產(chǎn)，企業(yè)可以通過物聯(lián)網(wǎng)實(shí)現(xiàn)的應(yīng)用類型少之又少。
• 還有12%的企業(yè)完全不信任物聯(lián)網(wǎng)。在這種情況下，他們不得不使用像LoraWAN或LTE這樣的移動(dòng)網(wǎng)絡(luò)服務(wù)來連接到云端，完全繞過企業(yè)網(wǎng)絡(luò)。

2. 復(fù)雜性是問題所在

為什么大多數(shù)的企業(yè)沒有實(shí)施IoT細(xì)粒度訪問策略?

是因?yàn)槿狈梢娦詥?然而，84%的企業(yè)表示，他們對(duì)物聯(lián)網(wǎng)傳感器等非托管設(shè)備有足夠的可見性，可以確定網(wǎng)絡(luò)訪問權(quán)限。

實(shí)際上，問題的癥結(jié)可能在于實(shí)現(xiàn)的復(fù)雜性。在大型企業(yè)中，設(shè)備類型太多導(dǎo)致無法完全分類，企業(yè)不可能花費(fèi)大量的時(shí)間來定制IoT訪問權(quán)限，這太復(fù)雜了，對(duì)他們來說，構(gòu)建粗略的訪問策略更為簡(jiǎn)單粗暴。

3. 如何創(chuàng)建定制的IoT零信任訪問策略

IT領(lǐng)導(dǎo)層態(tài)度是成功的關(guān)鍵。

IT領(lǐng)導(dǎo)層的態(tài)度是成功創(chuàng)建零信任IoT的關(guān)鍵，領(lǐng)導(dǎo)的大力支持也意味著將會(huì)有一個(gè)正式的零信任網(wǎng)絡(luò)計(jì)劃、有專門用于實(shí)施的組織，有良好的預(yù)算等等。

相比之下，采取臨時(shí)零信任方法的企業(yè)，他們?nèi)狈Ｓ妙A(yù)算，只有在時(shí)間和資源允許的情況下才應(yīng)用零信任原則，他們更有可能將所有物聯(lián)網(wǎng)設(shè)備視為不可信設(shè)備，只允許他們?cè)L問低風(fēng)險(xiǎn)的網(wǎng)絡(luò)資產(chǎn)。

其他成功關(guān)鍵因素

為了支持細(xì)粒度IoT策略，企業(yè)需要靈活的零信任訪問和分段解決方案，這些解決方案能夠?qū)ξ锫?lián)網(wǎng)進(jìn)行分類，還能監(jiān)控設(shè)備的行為，并支持自定義訪問策略。

EMA的研究發(fā)現(xiàn)，一些因素在創(chuàng)建策略時(shí)非常重要：

• IoT設(shè)備的安全狀態(tài)是最重要的變量，在授予訪問權(quán)限之前，零信任網(wǎng)絡(luò)要檢查防病毒和反惡意軟件的狀態(tài)。
• 設(shè)備漏洞和風(fēng)險(xiǎn)、設(shè)備所有者(例如，業(yè)務(wù)部門)、觀察到的網(wǎng)絡(luò)行為以及操作系統(tǒng)狀態(tài)都是IoT零信任訪問策略的次要變量。
• 設(shè)備品牌和型號(hào)、相關(guān)的應(yīng)用程序是策略設(shè)計(jì)中最不重要的參數(shù)，僅少數(shù)組織會(huì)使用。
• 包含設(shè)備漏洞檢測(cè)和風(fēng)險(xiǎn)評(píng)估的策略往往會(huì)更成功。
• 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)團(tuán)隊(duì)和信息安全團(tuán)隊(duì)之間的協(xié)作，可以幫助制定這些IoT訪問策略。

如今，已有75%的企業(yè)正在支持企業(yè)網(wǎng)絡(luò)上的IoT連接，這個(gè)數(shù)字將繼續(xù)增加，設(shè)備也將變得更加多樣化，訪問要求隨之也會(huì)有所不同，未來，根據(jù)每個(gè)IoT設(shè)備的用途和需求定制的細(xì)粒度IoT訪問策略會(huì)更加重要，也將被越來越多的企業(yè)采用。

原文鏈接：

https://www.networkcomputing.com/network-security/zero-trust-access-policies-iot-must-be-granular