从网络到控制器,我们往往基于默许信任原则授予对运营系统的访问权限。但威胁主体经常会借助窃取的凭据,利用我们的过度信任入侵网络。
零信任架构通过假设不存在默许信任并加强业务关键资产周围的边界来提高网络安全水平。其目前被视为确保关键资产抵御不断演变的威胁的领先战略,而罗克韦尔自动化可以全程帮助您实施。
零信任、IDMZ 工业安全区和网络分段
安全边界在数字化转型中的重要性
企业资产管理和 ERP 应用程序等生产力管理系统都需要来自工厂车间的数据。这些数据被不断用于提升运营效率。而威胁主体也可利用连通性入侵网络。
部署一个安全边界(称为工业隔离区 (IDMZ))以将业务系统与生产运营系统隔离是帮助保护 ICS 的最佳实践。安全边界可以帮助阻止 IT 网络中的入侵行为波及 OT 网络和控制器。
结合 IDMZ 工业隔离区,零信任微分段技术可利用防火墙、高粒度访问、身份识别策略以及其他措施进一步保护业务关键资产。
互联企业不仅需要全面的网络分段方案(包括 IDMZ 工业隔离区),还需要了解如何在工业环境中应用零信任等战略的专家合作伙伴。罗克韦尔自动化拥有行业专业知识,可在不影响正常运行时间或生产力的情况下确保关键资产的安全。
在关键基础设施中实施零信任策略
增强网络安全,改善公共安全和福祉
2021 年 5 月起,美国政府关于改善国家网络安全的行政命令明确要求关键基础设施领域采取更有效的网络安全措施,其中就包括零信任解决方案。
许多关键基础设施企业使用无现代网络安全控制措施(如网络分段、多重身份验证、高频率资产盘点或行之有效的 OT 修补)的传统系统。随着针对能源、食品、水资源等核心服务的威胁不断增加,新增的零信任保护方案可以通过消除过度信任以及增加围绕网络、资产和数据的关键保障措施来帮助保护公共安全和福祉。
从专业风险和漏洞评估开始,了解您最关键的防范缺口在哪里。然后,罗克韦尔自动化将帮助您制定网络安全计划,确保更好地保护各个运营环节以及我们每个人都赖以生存的公共服务。
零信任架构和 ISA/IEC 62443 标准
两者相辅相成
零信任架构围绕核心五步流程构建,实现“从不信任,始终验证”的目标。这五步包括:
- 识别业务关键资产并确定其优先级,视为保护面
- 映射上述保护面的进出事务流
- 按优先级顺序围绕每个保护面构建零信任结构
- 为每个保护面实施零信任策略
- 持续监控系统,确认是否存在异常活动
当保护面及其数字资产在零信任方案中分别被视为完整生产过程时,就可以实现 ISA/IEC 62443 安全标准了。
罗克韦尔自动化专家提供围绕现代工业安全实践(如零信任架构)和行业公认标准(如 ISA/IEC 62443)的 OT 网络安全专业知识。