8 / 11 - 12

南港展覽二館

Resilience Matters

韌性決勝

資安新知 Cyber Insight

Aruba 動態分段方案讓企業更有信心推動 IoT 革命

    分享這篇文章:

Aruba 台灣區技術協理 陳清淵

物聯網 (IoT) 裝置其實挺讓人擔心的——我是指安全方面。儘管市場在銷售 IoT 裝置時宣稱它們為「智慧」裝置,但是大多數 IoT 裝置其實沒有那麼聰明,它們通常是針對特定任務而設計,且為了儘量降低製造成本、容易維護,大都採用最基礎的晶片,幾乎沒有內建其他安全功能。

然而,由本質上不算太安全的 IoT 裝置所驅動的數位潮流及工業革命,串聯了營運科技 (OT) 和 資訊科技 (IT) 設備,也引發了將 OT 與 IT 整合後所衍生的安全問題。例如 2015 年 12 月烏克蘭發生了電力網路受到駭客攻擊的世界首例,駭客對電廠員工進行網路釣魚,成功取得員工的登入權限,利用遠端登入軟體登入電廠系統,一個一個啟動斷路器截斷電力,造成數十萬戶大停電。其他如銀行 ATM、SWIFT 等封閉式網路系統遭駭的事件也多有所聞。

因此,保護 IoT 裝置的安全關鍵不是讓這些裝置更聰明,而是要讓負責連結所有有線、無線裝置的網路更智慧,在裝置本身無法自保之際,確保基礎架構能做出正確的保安決定。Aruba 的 IoT 網路安全對策,即是藉由以「統一原則、單一網路管理系統」為核心的動態分段 (Dynamic Segmentation) 解決方案,幫助客戶輕鬆管理及解決 OT 和 IT 整合運作的安全挑戰。

Aruba 動態分段方案包含了邊際交換器、網路行動控制器、安全原則認證管理軟體、企業內網路管理平台,在此介紹其中幾個關鍵性技術。第一個是協助 IT 人員對網路執行集中管理、統一存取原則的 Aruba ClearPass Policy Manager。由於 ClearPass Policy Manager 集中儲存了安全原則,因此可將使用者特性檔 (profile) 發布到整個有線和無線網路上,讓有線交換器利用 802.1X 或 MAC 驗證法對使用者進行驗證並提供存取權限,未授權的使用者隔離在網路驗證入口之外,進而阻檔未授權或可疑的 IoT 裝置連結請求,或防堵駭客從連網的 OT 裝置 (如銀行的 ATM) 接入公司的 IT 系統 (如銀行的後端核心系統)。

全面探索,所有 OT、IT 裝置無所遁形
第二個關鍵功能是全範圍的裝置可見度 (visibility)。具備機器學習功能的 Aruba ClearPass Device Insight 軟體,可以完全消除絕大部分混合裝置網路的盲點。除結合獨有的主動式探查方式 (NMAP、WMI、SNMP、SSH) 及被動式探查方法 (SPAN、DHCP、NetFlow/S-flow/IPFIX),探查並分類廣泛的裝置類型之外,它還透過深度封包檢測 (DPI) 功能,收集更多與裝置相關的背景和行為資訊,進一步辨識已連結網路卻難以偵測的其他裝置。這使得 ClearPass Device Insight 可以廣泛、精確地識別所有有線、無線的連網裝置——從傳統由 IT 管理的裝置,到原先偵測不到的 IoT 裝置如攝影機、醫療設備及其他不易偵測到的端點設備。

不過,有可見度但沒有適當的管控能力,還是會讓組織面臨安全與合規性的風險。而 ClearPass Device Insight 和 ClearPass Policy Manager 的整合,就形成了一個安全迴路、端到端、自動執行原則的存取控制環境。也就是說,由 ClearPass Device Insight 所探查到的裝置會依據指定的原則自動分配網路分段,如果被發現有惡意或不安全的行為模式時,該裝置會被安全原則認證管理軟體隔離甚至移出網路。

有效避免 IoT 裝置成為入侵破口
動態分段方案的第三個關鍵能力是由 Aruba 交換器所提供的 IoT 裝置流量導回管理技術以及內建在 Aruba 網路行動控制器 Mobility Controller 的狀態防火牆功能,容許 IoT 裝置的流量透過無線基地台或有線交換器傳回Aruba網路行動控制器,然後針對該裝置傳回的流量執行深度封包檢測,以確保該裝置不會成為駭客入侵攻擊的「媒介」;或者可以防堵該流量,確保不該湧入組織網路中的任何流量都被阻擋在網路邊緣 (edge),例如避免安全監視器成為 DDoS 的攻擊工具。

物聯網將創造新的效率和使用者體驗,這是無庸置疑的,但企業或組織是否能夠嚴密控制各式各樣連結網路的新裝置,卻是安全的關鍵。要確保維運順利、降低風險,絕對必須在 IoT 裝置連上有線和無線網路之前,先行辨識並驗證其角色。Aruba 的動態分段解決方案透過無縫整合的網路管理系統、原則管理和執行功能,讓企業能輕鬆處理有線、無線、以及從燈泡到血壓計的任何 IoT 裝置,確保它們能夠在網路中的正確位置進行溝通,而且只有正確的裝置才能進行溝通。

Aruba 動態分段方案確保整個網路環境更安全,比以往任何時候都更能夠抵禦即將到來的物聯網風暴——讓企業更有信心地推展物聯網相關的革命性計畫。
 

更多精彩的 Cyber Insight