Sicheres industrielles IoT:ein Leitfaden zur Auswahl Ihrer Architektur

Da Unternehmen zunehmend industrielle Steuerungsnetzwerke mit der IT-Umgebung, Cloud-Anwendungen und Remote-Mitarbeitern verbinden, erodiert die durch die Demilitarisierte Zone (DMZ) entstandene Luftlücke und es müssen neue Wege zur Sicherung von Betriebstechnologie-(OT)-Netzwerken bereitgestellt werden.

Eine Sicherheitslösung muss die Anforderungen von IT und OT berücksichtigen – sie bietet robuste Sicherheit, ohne den Betriebsaufwand oder die Netzwerkkomplexität zu erhöhen. Um die beste Lösung für Ihr Unternehmen auszuwählen, müssen Sie die Auswirkungen der verschiedenen verfügbaren Sicherheitsarchitekturen kennen. In diesem Beitrag skizzieren wir einen Leitfaden zur Auswahl der richtigen Architektur zur Absicherung des industriellen IoT.

Erste Schritte

Der erste Schritt zur Sicherung eines industriellen IoT-Netzwerks besteht darin, Transparenz zu erlangen. Sie müssen verstehen, welche Geräte sich im Netzwerk befinden, was sie kommunizieren und wohin diese Kommunikation geht. Herkömmliche industrielle Steuerungsnetzwerke wurden jedoch nicht gebaut, um diese Erkenntnisse zu liefern.

Glücklicherweise ist die Technologie zur Erzielung von Netzwerktransparenz heute verfügbar. Deep Packet Inspection (DPI) dekodiert alle Kommunikationsflüsse und extrahiert Nachrichteninhalte und Paket-Header, um zu verstehen, welche Geräte Sie sichern müssen und was sie kommunizieren. Auf diese Weise können Sie nicht nur die richtigen Sicherheitsrichtlinien erstellen, sondern auch abnormales Verhalten erkennen, wie z. B. unrechtmäßige Befehle an Computer, die katastrophale Auswirkungen haben könnten.

Auswahl Ihrer Architektur

Beim Sammeln von Netzwerkpaketen zur Durchführung von DPI verwenden Anbieter von Sicherheitslösungen normalerweise eine von zwei Architekturen:

1. Konfigurieren Sie Netzwerk-Switches, um Datenverkehr an einen zentralen Server zu senden, der DPI durchführt
2. Stellen Sie dedizierte Sicherheits-Appliances auf jedem Netzwerk-Switch bereit

Beide Ansätze können zwar Netzwerktransparenz bieten, schaffen aber auch neue Herausforderungen. Die Konfiguration von Netzwerk-Switches zum Senden von Datenverkehr an einen zentralen Server erfordert das Duplizieren von Netzwerkflüssen, was komplex und kostspielig sein kann. Die zusätzliche Netzwerküberlastung kann auch zu Netzwerklatenz führen – oft ein inakzeptabler Kompromiss.

Durch die Bereitstellung einer Sicherheits-Appliance werden die Probleme im Zusammenhang mit der Duplizierung des Netzwerkverkehrs behoben. Die Appliance sammelt und analysiert den Netzwerkverkehr am Switch und sendet nur Metadaten zur weiteren Analyse an einen Server. Vollständige Transparenz erfordert jedoch die Installation, Verwaltung und Wartung dedizierter Hardware für jeden einzelnen Switch im Netzwerk. Dies kann schnell zu Kosten- und Skalierbarkeitsproblemen führen. Und um effektiv zu sein, erfordert Sicherheit volle Transparenz. Selbst einen Schalter im Dunkeln zu lassen birgt ein Risiko.

Ein alternativer Ansatz

Es gibt einen besseren Weg, um eine vollständige Netzwerktransparenz und einen dritten Architekturansatz zu erreichen:Bereitstellen von Switches in Industriequalität mit nativer DPI-Fähigkeit. Dadurch entfällt die Notwendigkeit, Netzwerkflüsse zu duplizieren und zusätzliche Appliances bereitzustellen. Um Transparenz und Sicherheitsfunktionen zu erhalten, müssen Sie einfach eine Funktion innerhalb des Switches aktivieren. Kosten, Verkehr und Betriebsaufwand werden minimiert.

Die Einbettung von DPI in den Netzwerk-Switch bietet sowohl für die IT als auch für die OT einzigartige Vorteile. Die IT kann ihre vorhandenen Fähigkeiten nutzen, um das OT-Netzwerk zu sichern, ohne zusätzliche Hardware oder Netzwerkverkehr verwalten zu müssen. OT kann einen noch nie da gewesenen Einblick in den Betrieb erhalten, da der gesamte industrielle Netzwerkverkehr jetzt analysiert werden kann und wertvolle analytische Einblicke in die Steuerungssysteme liefert.

Achten Sie bei der Bewertung von OT-Sicherheitslösungen auf deren Auswirkungen auf die Architektur. Um die Bereitstellung zu vereinfachen und skalierbar zu machen, besteht die beste Option darin, Sicherheitsfunktionen in den Switch einzubetten. Dies erfordert Netzwerkgeräte mit industriellen Rechenfähigkeiten – suchen Sie nach DPI-fähigen Switches, die für das industrielle IoT ausgelegt sind.

Dies ist der Ansatz, den wir mit Cisco Cyber ​​Vision verfolgt haben. Es nutzt eine einzigartige Edge-Computing-Architektur, die es ermöglicht, Sicherheitsüberwachungskomponenten in unseren industriellen Netzwerkgeräten auszuführen und so Transparenz, betriebliche Einblicke und eine ganzheitliche Bedrohungserkennung für die OT-Umgebung zu bieten.

Die Vorteile von Cisco Cyber ​​Vision sind nicht auf Unternehmen mit Cisco-Netzwerken beschränkt – der Sensor ist auch in der Cisco IC3000-Appliance verfügbar, die den Datenverkehr am Edge analysiert, indem sie eine Verbindung zu Ihren Legacy-Netzwerkgeräten herstellt. Dies bietet maximale Flexibilität bei der Bereitstellung, um Ihre Anforderungen mit Ihrem bestehenden Netzwerk zu erfüllen, während Sie gleichzeitig Zeit haben, ältere Switches durch DPI-fähige Netzwerkgeräte zu ersetzen, die alles sehen können, was daran angeschlossen ist.

Wenn Sie mehr erfahren möchten, lesen Sie das Whitepaper „An Edge Architecture Approach to Securing Industrial IoT Networks“, in dem wir die drei hier vorgestellten Sicherheitsarchitekturen weiter untersuchen und wie die Einbettung von DPI in den Netzwerk-Switch die Anforderungen von sowohl IT als auch OT.