藉由網路區隔限制及防堵安全威脅

藉由網路區隔限制及防堵安全威脅

開放而無區域畫分的網路對網路攻擊者來說,是一份天上掉下來的禮物。

一旦攻擊者發現並濫用最脆弱的漏洞,可能會演變成難以收拾的「走進糖果店的小孩(kid-in-a-candy-shop)」場景。他們也許可以更輕易地存取網路上大部分的資料,甚至是任何連上這個網路的裝置─從產品設計或配方,到機器控制、再到公司財務。

而不只是外部威脅會對無區域畫分的網路構成危害。若網路沒有設定任何界線或存取限制,內部威脅(無論是心懷不滿的員工或錯誤的系統變更之類的人為疏失)也可能對公司帶來重創。

這也是為什麼每一間公司都應該將網路區隔納入工業安全策略的原因。

網路區隔將您的網路拆分成多個較小的網路,並讓您可以建立多個信任區域。它可以幫助限制外部安全威脅的存取,並防堵他們所造成的破壞。

它也可以幫助提供給員工及商業合作伙伴只能存取所需資料、資產或應用程式的權限。

區隔的層級

虛擬區域網路或VLAN通常都與網路區隔有關。他們是存在於交換網路中的廣播網域。它們讓您可以有邏輯地區隔您的網路─例如依據功能、應用或組織─而非實體地區分。

VLAN可以藉由兩種方式來保全裝置及資料。第一,您可以透過與其他VLAN上的裝置進行通訊以封鎖特定VLAN上的裝置。第二,您可以使用具備安全及過濾功能的第三層交換器或路由器,以保護會橫跨不同VLAN溝通的裝置通訊。

不過,雖然VLAN是區隔中重要的一部分,它們也只是一種解決方案。您也應該使用其他橫跨您網路架構中不同層級的區隔方法。

例如,使用工業隔離區(IDMZ)。它在企業區及製造或工業區之間建立了圍籬。這個圍籬會終止這兩區之間的所有網路傳輸,但仍允許安全地共享資料。

其他可考慮使用的區隔方法包括存取控制清單(ACL)、防火牆、虛擬私人網路(VPN)、單向流量限制器(one-way traffic restrictors),以及入侵防禦與偵測服務(IPS/IDS)。

通盤考量

實行網路區隔時,必須思考如何在您的整個組織內應用它。

有些公司會在每個設備上建立專用防火牆。但這會形成安全「孤島」。若不同的廠區都有不同的防火牆,會讓一致的佈建或中央管理變得困難。

從公司的長期需求來考慮網路區隔也非常重要。

專用的安全解決方案經常會過於僵化─他們或許符合您目前的需求,但無法隨著您的業務一起靈活變化或成長,以滿足未來的營運或安全需求。專用的安全解決方案往往仰賴少數員工的專業知識。而當這些員工離職時,他們可能會帶走重要的安全或維護知識。

您用以實施網路區隔的解決方案應該具備可以與您的營運一起成長的靈活度。解決方案也應該標準化,讓位於任何廠區的合適員工都可以使用及進行維護。

充足的支援協助

網路區隔是廣為人知的IT概念,但它同樣盛行於工業世界中。於整個企業聯網中應用網路區隔的工業公司將面對隨之而來的挑戰,例如管理分段資料以及擴展網路區隔以隨生產操作成長。

若您不確定從何著手或要實行哪種區隔方法,有一些免費的資源可以協助您。

融合式全廠區乙太網路(CPwE)設計導覽是個很好的起點。以工業隔離區(IDMZ)工業防火牆網路注意事項等等為主題的導覽可以幫助您以最新技術及業界最佳實務經驗佈建網路區隔。

這些導覽由洛克威爾自動化及Cisco聯合研發、測試,同時也為其他合作產品及服務建立基礎,以協助您區隔並保全您的網路。我們也提供訓練、網路與安全服務,以及技術。

我們的一些區隔技術─例如Stratix® 5950安全設備─將於2018年德國漢諾威工業展中展出。若您將參觀這個展覽,請到6館的Cisco攤位(G30展位)來看看我們

Josh Kass
2018--04 Josh Kass, Product Manager, Network Security & Wireless, Rockwell Automation

部落格

Rockwell Automation部落格是一個分享科技新知與產業訊息的平台,持續為您提供業界第一手動態消息,與潮流接軌。