中國經濟正處於高質量發展的重要時期,通過積極促進數字技術與實體經濟深度融合,數字經濟發展成果顯著。製造業是實體經濟的基礎,其數字化轉型正朝著更深層次邁進,無論是研發、供應鏈,還是生產、營銷,數字化應用都已進入深水區。建設現代化產業體系,堅持把發展經濟的著力點放在實體經濟上,推進新型工業化,加快建設製造強國、質量強國、航天強國、交通強國、網絡強國、數字中國,這也為製造業提供了更加清晰的目標。通過採用創新的數字技術實現降低成本、提高質量、增加效益和保障安全的製造業核心業務價值,最終實現數字化轉型,是中國製造行業的共識。
隨著 IT 技術的不斷升級,用戶場景更加多變,設備類型也更加多樣化,應用虛擬化技術不斷迭代,以及業務安全的邊界越來越模糊,企業安全面臨更大的挑戰。思科的零信任安全通過 4 個 A 來實現,即任何用戶(Any User)、任何設備(Any Device)、任何應用(Any App)、任何地點(Any Where),都需要打破原有的默認信任機制,通過集成化的方案實現對 4 個 A 的端到端的安全認證和賦能,以此尋求證明用戶、設備、應用和行為的可信性。
4A 的目的是為了實現任何用戶都能夠實現可信的接入,包括物聯網在內,每個用戶都能夠可信地接入到網絡。同時,保證任何接入設備本身都是受保護的、安全的。再者,保證任何應用都是安全的,不管應用是在傳統數據中心還是在公有云中,都具備可視性並實現相應的安全保護。最後,用戶從任何地方接入網絡,不管應用部署在哪裡,都能夠實現一致性的安全策略,保證其合規性。
構築零信任的橋樑,思科助力企業實現智能製造
工業 4.0 和 IoT 等創新技術的發展給製造業網絡安全帶來了新的挑戰,OT 和 IT 已經變得密不可分。在製造業場景中,IT 和 OT 人員有不同的操作程序和角色分工,他們的關注點有很大的不同。 OT 人員的任務是建立和維護物聯網/ OT 網絡以及連接到這些網絡的設備。他們專注於安全性、可靠性和生產力。 IT 安全人員則專注於維護信息的保密性以及 IT 系統的完整性和可用性。二者最終目標都是為了確保組織的安全,將風險降到最低。
但是,製造業普遍存在 IT 和 OT 疏離的問題。分工不同導致二者之間出現巨大的認知鴻溝:IT 人員有技術知識,卻不了解 OT 運營方式;OT 人員對運營很清楚,但缺乏 IT 知識。另外,在某些製造場景中,企業的很多設備使用時間過長,非常老舊,IT 的方案並不能與之匹配;OT 的一些溝通協議,或是一些特殊設備,必須有更加適合 OT 的場景,同時又要滿足 IT 對 OT 的可視要求。企業顧此失彼,導致 IT 與 OT 無法很好地融合在一起。
針對這些問題,思科推出了 “ IT / OT 的融合方案” 。採用了專門針對工廠,適合 OT 的防火牆 ISA3000 ,能夠滿足特殊的 OT 場景的安全需求。思科 Cyber Vision 可以幫助管理員快速發現並定義 OT 資產,生成實時網絡通信視圖,讓 OT 工程師在任意位置都能夠清楚地看到他們的 OT 網絡在不同條件下的運行情況,更好地計劃安全和生產的連續性;同時,與 IT 網絡安全團隊合作,通過多系統集成將 OT 的背景、理解和知識帶給 IT 團隊,為實現整個企業網絡,包括任何用戶(Any User)、任何設備(Any Device)、任何應用(Any App)、任何地點(Any Where)在內的安全目標奠定堅實的基礎。
另外,思科的 ISE 系統幫助客戶進一步完成了 IT / OT 融合,將 IT 網絡及 OT 網絡的接入控制及可視統一起來。 Stealthwatch 流量分析系統將 IT/OT 流量統一呈現,方便管理回溯及異常問題發現。思科 Firepower 下一代防火牆用戶負責 IT / OT 的訪問隔離及策略控制,這些產品同時都與 Cyber Vision 系統深度集成,形成一體化的架構方案,讓任意 OT 設備的每個接入和每次訪問都十分清楚。通過這種方式,IT 和 OT 加強了溝通,他們之間的知識可以相互分享,最終為企業提供完美的解決方案。
零信任安全策略是一個長期的過程,思科以 “工業網絡零信任四步保護法” 保護企業資產。首先,資產發現,識別企業所有工業資產以構建正確的安全策略;其次,網絡分段,隔離網絡以建立安全域和可控訪問通道,以避免攻擊蔓延;再次,威脅檢測,檢測 IT 入侵和異常 OT 行為,以保持流程完整性。最後,IT / OT 集成 SOC ,全面了解安全事件以簡化調查和補救措施。
思科基於 3W 戰略為企業製定了具體的零信任方案,並在國內製造企業進行了實施。方案包含並覆蓋:零信任辦公、零信任靈活辦公、零信任數據中心,及零信任工廠四個部分。
思科的零信任方案為製造企業在各種應用和整個環境中,來自任意用戶、設備和位置的訪問提供完善的保護,員工、工作負載和工作場所都處於思科零信任安全框架的安全防護中。零信任辦公場景下,思科身份服務引擎(ISE)可實時調配有關網絡接入設備的策略,使移動用戶或遠程用戶能夠以可信合規的方式通過無線連接獲得與有線連接一致的服務訪問體驗。在混合辦公場景下,無論員工在任何場所,都可以通過安全專用通道連接公司的各種業務程序,實現靈活安全辦公。
思科在數據中心安全架構中,通過思科 Firepower 下一代防火牆與數據中心 ACI 方案相結合,利用微分段技術來完成數據中心安全區域及邊界的安全隔離,並通過思科專利技術防火牆集群技術,將思科防火牆更加高效的集成至數據中心 Fabric 網絡。同時,將集群應用在雙活數據中心場景,幫助用戶解決雙活數據中心場景中遇到的異步流量及策略一致性的問題。通過中長期分步實施網絡安全策略,思科助力製造企業向全域智能製造零信任穩步演進。
思科建議企業在執行零信任建設時可以從三點出發:
首先,企業從領導到執行側,認可零信任原則,避免由於信任導致的安全風險,可信是臨時的,針對必要訪問採取最小權限原則;
其次,制定企業自身的零信任安全戰略,分場景、分階段製定方案,逐漸向全域智能製造零信任演進;
最後,基於戰略進行方案細化並進行零信任能力建設,提高企業的信任驗證能力,授權的執行能力,可信狀態持續跟踪能力,權限動態變更能力以及事件回溯分析能力。
通過網絡及安全的逐漸演進,最終達到全域零信任狀態。
毫無疑問,企業正在加速上雲的步伐,無論是公有云、私有云,還是混合雲,加速向雲遷移正在推動著對雲原生技術和雲消費體驗需求的產生,安全防護必須無處不在。