思科工业4.0安全方案分析

简单看了一些思科的工业4.0方案,随手记录一些信息并简单分析,仅供参考。

总体来说,思科为工业自动化行业做了深度的定制,方案行业属性很强。

思科认为,随着IT,OT,云、IOT技术的融合,必须实现OT和IT的融合,思科的工业4.0安全方案,就是基于IT和OT融合的基本思路构建的。

方案的几个关键组件

1、Cyber Vision Cisco Cyber Vision is a cyber security solution. It monitors industrial automation assets and applications. It brings OT/IT convergence Cisco Cyber Vision gives you full visibility into your industrial control system (ICS), including dynamic asset inventory and real-time monitoring of process data. You now have the information to build secure infrastructures and maintain system integrity.
不仅仅是网络设备,也包含对工业自动化资产和应用的安全监控,能够监控工业自动化协议,了解通信矩阵,实现工业自动化网络的可视化,洞察网络和资产威胁。 显然这不是传统的数据通信产品,而是个行业定制产品,专门为工业自动化IOT环境定制的,通过它实现OT和IT的融合。 从思科的利益看,希望通过强竞争力的网络设备建立和工业自动化环境的粘性,实现整体方案,在这个市场占据优势。 和IND相比,这是个安全产品,发现威胁去除威胁。 IDN是网络管理产品,可视化,troubleshooting。

2、Stealthwatch Cisco Stealthwatch provides enterprise-wide network visibility and applies advanced security analytics to detect and respond to threats in real time.
从描述上看,Stealthwatch是个正旺的大数据分析平台,可视化平台,实现网络可视化,高级安全分析,探测并实时响应威胁。

3、Industrial Network Director (IND) The Cisco IND provides operations-centric network management for industrial Ethernet networks.
从描述上看,是个管理系统,专门为工业以太网定制,不仅仅管理以太网交换机,也能看到交换机连接的工业设备,实现全面的可视化,利于troubleshooting。

4、Identity Service Engine(ISE) Cisco ISE is a security administration product that enables an OT-IT security administrative team to create and enforce access level security policies.
园区方案的控制器,更准确的来说是安全管理产品,基于身份服务等信息创建实施安全策略。

一些小功能亮点

这张图透露了思科针对工业自动化控制系统的行业定制,IND和 Cyber Vision都主动去感知网络里的IACS设备,只是方法略有不同,IDN是主动扫描方式,Cyber Vision是监听流量事件方式。
感知的价值,在于部署的自动化,避免手工配置。

数据面安全策略的实施

segmentation,是主要的安全策略,主要基于SGT,即带在报文中的扩展标签,这个标签就是分组的标识,所有的网络安全策略都基于此。

安全威胁的检测,主要基于stealthwatch,交换机的Netflow,Cyber Vision的探针(sensor)

下图是思科认为工业环境中的安全挑战,以及解决方案是如何解决这些挑战的

1、老旧的系统,这个对应方案没看到
2、不安全的设计(缺少隔离) 这个有对应方案,就是数据面的Segmentation,基于SGT标签的通信策略。
3、OT安全技能不足。这个对应的方案是IT和OT融合,Cyber vision和IND,都是OT和IT融合的工具
4、缺乏可视化,通过Cyber Vision ,IND、StealthWatch在不同层面实现了可视化
5、访问控制挑战, 通过ISE实现
6、改变控制,24/7/365操作, 对应的方案就是方案的自动化。
7、商业需求实时信息。 通过netflow,Cyber vision的sensor提供实时信息

总结一下这个方案的能力和特点
1、通过引入Cyber Vision,实现了对工业自动化设备的可视化,安全威胁感知。
2、通过引入IND,实现了对工业以太网和所连接的工业设备的全面可视化,提升trouble shooting能力。
3、上述两项实现了OT和IT的融合,不仅仅是网络方案,已经把工业设备的网络和安全属性管理起来了,因此形成了整体方案,不是瘸腿方案。
4、stealthwatch和ISE是传统园区解决方案的组件,分别实现了基于大数据的网络可视化安全威胁分析,ISE是策略控制器,基于身份的策略引擎,实现访问控制认证接入这些能力。
5、对工业自动化设备IACS设备的自动发现,免人工配置,比如自动扫描,主动监听等方式,这是大规模运营的关键
6、安全策略的实现,在数据面上,还是基于SGT,扩展组标签,应该是VXLAN头里的扩展,实现在同一VLAN内部的细粒度segmentation。

对思科工业4.0安全方案的进一步理解

1、解决方案的关键点,在于增强管控平面。一个解决方案的架构设计,来源于使用环境的需求和挑战,在工业自动化环境里,需求是越来越多的传感器,控制器接入了工业互联网,或者说是物联网。 其实从数据面的角度看,通信需求是互联网连接的一个很小的子集。物联网的数据面,很难出现挑战性的通信需求。 需求和挑战在控制面和管理面,如何保证安全,如果实现海量设备的自动化入网,实现海量设备的可视化,可视化之后才谈得上管理它,才能实现网络的安全性。 因此,工业物联网的关键需求,或者目标,是实现自动化,可视化,可管理的架构,在此基础上保证工业物联网的安全。

2、数据面的方案,只是互联网方案的小小子集,不值一提。数据面的方案其实很简单,只有SGT一个技术。整个解决方案的关键组件,都是管理和控制面的,Cyber Vision,Stealthwatch,IND,ISE。

3、OT和IT融合斯克没有能力实现,更多是IT的OT属性增强。思科标榜的解决方案的另一个关键点,是OT和IT的融合,这是从实际场景出发的需求,OT设备和IT设备在同一个生产环境,融合是自然的需求,所以思科的方案中看,不管是Cyber Vision还是IND,都体现了OT和IT融合的思路,Cyber Vision,是可以监控网络中所有工业自动化控制设备的,IND也是可以扫描连接的工业设备的。 不过,思科毕竟还是网络设备厂家,所谓的融合,也只是从网络的视角看,也就是说能看到工业终端的三层及以下信息,IP地址,MAC地址,辅助的类型和厂家信息等。这些终端的业务,并没有融合,比如西门子的工业控制设备,还是需要西门子的业务系统去控制,这是毫无疑问的。 所以,所谓的融合,只是L3以下的融合。或者说IT部分的辅助信息增强而已。

本文地址:https://blog.csdn.net/weijiahongsz/article/details/109639604

(0)
上一篇 2022年3月21日
下一篇 2022年3月21日

相关推荐