你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

零信任和 OT 网络

零信任是一种安全策略,用于设计和实现以下安全原则集:

显式验证 使用最低特权访问 假定数据泄露
始终根据所有可用的数据点进行身份验证和授权。 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。

通过在运营技术 (OT) 网络中实施零信任原则,可帮助你应对各种挑战,例如:

  • 控制 OT 系统的远程连接、保护网络跳板机以及防止跨网络横向移动

  • 审查并减少相关系统之间的互连,为多方(如承包商)简化登录组织网络的身份识别流程

  • 查找网络中的单一故障点,识别特定网段中的问题,以及减少延迟和带宽瓶颈

OT 网络面临的独特风险和挑战

OT 网络体系结构通常不同于传统的 IT 基础结构。 OT 系统使用了具有专有协议的独特技术,并且可能存在平台老化以及连接和能力受限等问题。 OT 网络还可能具有特定的安全要求,并且面临独特的物理或本地攻击风险(例如,通过外部承包商登录到网络)。

OT 系统通常支持关键网络基础结构,因此通常设计为将物理安全或可用性的优先级置于安全访问和监视之上。 例如,OT 网络可能与其他企业网络流量分开运行,以避免因定期维护而停机或缓解特定的安全问题。

随着越来越多的 OT 网络迁移到基于云的环境,应用零信任原则可能会带来特定的挑战。 例如:

  • OT 系统可能不适用于多个用户和基于角色的访问策略,并且可能只有简单的身份验证过程。
  • OT 系统可能没有足够的处理能力来完全应用安全访问策略,而是信任接收到的所有流量都是安全的。
  • 老化的技术会在保留组织知识、应用更新和使用标准安全分析工具来获取可见性并推动威胁检测方面带来挑战。

但是,任务关键型系统中的安全问题可能会导致超出传统 IT 事件的现实后果,而且不合规可能会影响组织遵守政府和行业法规的能力。

为 OT 网络应用零信任原则

你可以继续在 OT 网络中应用与传统 IT 网络中相同的零信任原则,但根据需要进行一些后勤修改。 例如:

  • 确保识别和管理网络与设备之间的所有连接,防止系统之间存在未知的相互依赖关系,并在维护过程中避免任何意外停机。

    由于某些 OT 系统可能无法支持你所需的所有安全做法,因此我们建议将网络与设备之间的连接限制在有限数量的跳板机上。 然后,可以使用跳板机启动与其他设备的远程会话。

    确保跳板机具有更强大的安全措施和身份验证做法,例如多重身份验证和特权访问管理系统。

  • 对网络进行分段以限制数据访问,确保设备与网段之间的所有通信都是加密且安全的,并防止系统之间的横向移动。 例如,确保访问网络的所有设备都已根据组织的策略进行预先授权和安全保护。

    你可能需要信任整个工业控制系统和安全信息系统 (ICS 和 SIS) 范围内的通信。 但是,你通常可将网络进一步细分为较小的区域,从而更轻松地监视安全性和维护过程。

  • 评估设备位置、运行状况和行为等信号,使用运行状况数据来限制访问或进行有助于实现修正的标记操作。 要求设备的访问权限必须是最新,使用分析来获得可见性,并通过自动响应来实现防御扩展。

  • 继续监视安全指标(例如授权设备和网络流量基线),以确保安全外围保持其完整性;同时监视组织随着时间的推移所发生的变化。 例如,随着人员、设备和系统的变化,你可能需要修改网段和访问策略。

借助 Defender for IoT 实现零信任

请部署 Microsoft Defender for IoT 网络传感器,以检测设备并监视 OT 网络上的流量。 Defender for IoT 会评估设备是否存在漏洞并提供基于风险的缓解措施,同时持续监视设备是否存在异常或未经授权的行为。

部署 OT 网络传感器时,请使用站点和区域来对你的网络进行分段。

  • 站点反映的是按特定地理位置分为一组的许多设备,例如位于特定地址的办事处。
  • 区域反映的是站点内用于定义功能区域(例如特定生产线)的逻辑分段。

请将每个 OT 传感器分配到特定的站点和区域,以确保每个 OT 传感器覆盖网络中的特定区域。 跨站点和区域划分传感器有助于监视网段之间传递的任何流量,并为每个区域强制实施安全策略。

请确保分配基于站点的访问策略,以便提供对 Defender for IoT 数据和活动的最低特权访问权限。

例如,如果贵公司不断发展,在巴黎、拉各斯、迪拜和天津设有工厂和办事处,则可以按如下方式对你的网络进行细分:

站点 区域
巴黎办事处 - 地面层(来宾)
- 1 层(销售)
- 2 层(行政)
拉各斯办事处 - 地面层(办公室)
- 1-2 层(工厂)
迪拜办事处 - 地面层(会议中心)
- 1 层(销售)
- 2 层(办公室)
天津办事处 - 地面层(办公室)
- 1-2 层(工厂)

后续步骤

当在 Azure 门户中载入 OT 传感器时创建站点和区域,并为 Azure 用户分配基于站点的访问策略。

如果你使用本地管理控制台在实体隔离环境中工作,请直接在本地管理控制台上创建 OT 站点和区域。

使用内置的 Defender for IoT 工作簿并创建自己的自定义工作簿,以在一段时间内监视安全外围。

有关详细信息,请参阅:

有关详细信息,请参阅: