在Cisco和Rockwell Automation,我们的目标不仅仅是使用全厂融合以太网(CPwE)连接工厂设备、IT解决方案、云解决方案和员工。
而是要帮助组织通过这种连接实现更多目标,同时保障组织安全。
当您将工业设备添加到以太网网络时,您为网络威胁——从普通网络犯罪分子到国家行为体和恐怖分子——提供了访问和控制这些设备的入口点。
从这里开始,可能性令人恐惧且多种多样。
为了保护工业设备免受这些风险,您需要两点:清晰了解您的网络活动,以及将网络分段为独立部分的能力。
如果无法准确了解 IT/OT 网络中发生的情况,您的安全团队将无法识别攻击或制定有效的访问管理策略。
挑战在于,许多常见的 IT 网络监控工具无法提供所需的可见性。为什么?工业资产使用 IACS 协议,而这些工具根本不支持这些协议。
为了帮助客户实现更全面的工厂视图,Cisco 和 Rockwell Automation 提供了一种联合 IT/OT 监控工具,该工具支持核心 IT 协议和通用工业协议 (CIP)。
网络犯罪分子通过寻找最脆弱的环节并加以利用来渗透 IACS 网络。
为此,网络分段将您的网络划分为多个较小的区域,并严格控制它们之间的数据流动。未经许可,流量(以及攻击者或恶意软件)无法从一个区域移动到另一个区域。
对于工业客户,常见的分段方法是通过 IDMZ 将工业区与企业区分开。然后,OT/IT 团队协作通过访问控制列表 (ACL) 定义对每个区域的访问。
但是,手动管理 ACL 可能会很繁琐。大型列表可能会影响网络设备的性能。
因此,为了使分段更简单、更灵活,我们允许您使用安全组来定义访问策略。预定义的组标签可以根据资产的位置、用途、用户意图等自动应用到资产上。
工业组织越来越多地被要求为合作伙伴和移动工作人员提供安全访问权限。
Cisco Identity Services Engine (ISE) 允许 IT 为员工和可信合作伙伴定义角色。这些角色可以配置为允许和限制对工业和企业网络内资产的访问。
Cisco ISE 还为工厂人员、供应商、合作伙伴和访客提供了一个自助注册门户,以便他们自动注册和配置新设备。
请务必牢记,没有任何单一产品、技术或方法能够完全保障全厂架构的安全。可见性和分段是关键,但它们只是您更大策略的两个组成部分。
保护 IACS 资产需要一种全面的纵深防御安全方法,以应对内部和外部安全威胁。
在 Cisco 和 Rockwell Automation,我们致力于实现这一方法,并帮助您确保运营安全。让我们尽快讨论您的 CPwE 安全挑战。
发布时间 2019年7月5日
为您推荐