随着企业物联网被证明是运营优化和员工效率的游戏规则改变者,许多公司选择进军物联网,并将其传统工作场所升级为智能办公室。
在确保转型富有成效和可持续的诸多努力中,针对网络和系统安全的物联网测试名列前茅。
零信任是一种安全模型,意味着在验证之前,默认情况下不应信任来自网络内部或外部的任何人或设备。它与传统的“城堡和护城河”方法有很大的不同。
然而,对于一个拥有数百台未受管理的连网设备的工作场所来说,通常缺乏足够的内置保护机制,这些保护机制对于防范内部和外部威胁至关重要。更重要的是,这种安全机制可以更好地适应不断扩展和发展的智能办公室基础设施,并减轻在向远程工作转移中出现的漏洞。
下面是一个可操作的四步指南,可帮助企业所有者在其支持物联网的工作场所中实施零信任模型。
第一步、获得全面的基础设施可见性
定义明确的保护范围,即需要保护的设备、数据和软件的范围,是零信任体系架构的基石。不幸的是,所谓的影子物联网或无人监管的连网资产是智能办公环境的普遍困扰,其中充斥着从暖通空调和监控摄像头到自动售货机和厨房电器的各种智能设备。
全面的物联网设备管理流程可以让公司获得所需的对其连网环境的控制级别。首先,它从发现智能办公室中的每个连网终端开始,并通过记录设备的类型、IP地址、型号、供应商、设置、安全控制、所有权和其他细节来创建一个统一的清单。
IT专家还应该实时查看网络的拓扑结构,以及终端如何与外部系统以及彼此之间进行通信。最后但并非最不重要的一点是,为了保持相关性,设备库存需要在基础设施发生变化时进行更新。
当拥有完全可见且可控制的物联网环境,并考虑了每个连网的设备、传感器和端点以及它们的通信、配置和漏洞时,安全团队可以采取针对网络细节和设备漏洞量身定制的保护措施,并简化设备更新和维护。
第二步、引入访问控制和身份验证措施
在传统的安全体系架构中,受保护范围内的每个人都被认为是可信的,并且可以不受限制地访问网络和设备。零信任模型用“从不信任,始终验证”原则来挑战这种笼统的方法,该原则指出每个用户都有其访问权限的范围,并且无论他们的级别有多高,都应该始终确认他们访问所需资源的凭据。
但是首先,您需要确保适当的人员具有适当的访问权限。基于角色的访问控制(RBAC),或授予每个人足够的设备权限来执行他们的工作任务,被证明是物联网环境中最可持续的安排。随着员工的来来往往和晋升,保持RBAC系统的最新状态以防止安全性受损非常重要。
在实施访问控制之后,您应该继续引入适当的用户身份验证方法。尽管可以通过多因素身份验证和密码(不是现成的凭据)来限制对连网设备和软件的虚拟访问,但是在涉及设备的物理安全时,事情变得更加棘手。为了限制进入装有智能设备的房间,如会议室,您可以在门上安装智能生物识别锁。
第三步、分段网络
零信任架构的另一个关键特征是分段环境。在传统的工作场所中,所有设备都运行在一个单一的网络中,当连接到互联网的端点数量较少时,这是一种合理且易于维护的设置。
然而,当办公场所配备大量智能设备时,清点如此庞大的基础设施就成了一项繁重的工作,而安全故障被忽视的风险也随之增加。除此之外,一个未分段的智能办公室成为一个单一的攻击面,其中一个漏洞足以破坏整个网络。
为了保护您的工作场所免受这些风险,IT技术安全团队需要将单个网络分成多个独立的域。将物联网设备和非物联网设备分开,并将同一类型的端点分组在一起是一种既定的做法。此外,如果您的公司鼓励BYOD趋势或远程工作,您将需要为非公司设备提供专用网络。