首页 > 物联网 > 正文

在物联网时代如何打造安全的数据中心?

2016-01-25 13:27:53  来源:TechTarget中国

摘要:毫无疑问,物联网(IoT)将会影响你的安全数据中心战略。即使你的企业没有在收集面向消费者的物联网数据,IoT设备仍然非常有可能会连接到你的企业数据中心。
关键词: 数据中心 物联网
  加密与安全的数据中心
 
  IT管理员必须考虑的问题是:对于传输到数据中心(支持IoT设备或与之整合)内应用的未加密数据,他们应该如何管理?IoT设备通常处于劣势,因为在默认情况下它们不会加密数据。当IoT制造商在设计小型移动设备时,他们通常会避免添加加密等功能,这可能对数据中心的安全性带来严重的影响。很多时候,IoT制造商会认为从其设备收集的数据是低价值的数据,至少对于他们是这样,这让他们可以避免部署安全控制。
 
  然而,这种观念是不正确的,所有数据都有与其相关的一定水平的责任。安全人员需要对每个应用执行评估,并了解其所传输的信息的影响。毕竟我们很难知道入侵者的动机,例如,攻击者可能会瞄准制造业务物流相关的元数据,那么,叉车的移动信息对于攻击者就是有价值的信息,让他可以扰乱制造业务。另一个潜在有价值的信息可能是管理人员的习惯,以便攻击者可创建更好的网络钓鱼攻击。
 
  企业可制定政策要求加密IoT设备的网络流量,这可以防止攻击者从明文通信中获取有价值的信息。最好的办法是让IoT设备本身支持基于主机的加密。但是,由于在IoT领域缺乏标准,以及加密所需的处理要求和电池要求,在IoT通信中很难部署终端到终端加密。
 
  另一种替代方法是在网络边缘加密IoT数据。目前有几种方法可以做到这一点,其中一种简单的方法是在IoT虚拟LAN(VLAN)和数据中心之间建立IPsec隧道。还有一种方法是创建覆盖来分隔和加密IoT流量到单独的虚拟可扩展局域网(VXLAN),这种方法中是假定所有IoT设备都将位于单独的VLAN中。为了实施这样的政策,企业应该考虑部署某种形式的网络访问控制(NAC)来防止未经授权的IoT设备连接到非IoT VLAN。
 
  但NAC并不总是可行或者可用。另一种选择是隔离IoT应用到单个数据中心VLAN,类似的做法是隔离服务器;目前这种方法主要用来为支付卡行业(PCI)数据创建高安全区。企业可制定路由政策来加密所有路由到IoT安全区的数据,这类似于加密所有发送到PCI安全区的明文数据。
 
  恶意IoT用户
 
  另外一个更加难以抵御的威胁是内部恶意IoT用户。在这里,企业面临的挑战之一是通过非技术措施执行安全政策,这是因为,为了拥有安全的数据中心,企业既需要书面政策来规定IoT的使用,还要有成熟的程序来保护对IoT设备的物理访问。如同所有政策一样,这里也有挑战,例如当设备被感染或当授权最终用户有意执行恶意活动时。
 
  第一层防御始终应该是基于应用的访问控制。该应用应该确保授权用户只有适当的权限,而不能对系统执行任何破坏性操作。这里的目标是防止受感染设备发出破坏性授权命令。
 
  为此,供应商向其安全产品增加了功能来检查常用IoT命令流量。试想一下,当非法承包商打算破坏变电站的监视控制和数据采集(SCADA)网络时,他们可能试图设置一个不可接受的温度计,而我们可制定相关规定将防止这种活动,以及限制或终止他们对网络的访问。
 
  合规性
 
  如果没有围绕合规性的讨论,那么,有关创建安全数据中心的讨论将是不完整的。合规性是很重要的话题,特别是如果你的企业在受监管的行业,例如能源、健康或支付卡处理。企业应该制定专门适用于其特定IoT环境的政策。同时,对于任何政策,网络管理员应确保他们可以执行政策中的内容,而不是采用工作人员无法通过收集系统数据验证的做法。
 
  根据Gartner表示,到2020年将有200亿设备连接互联网,这是目前数据的四倍多。现在企业应该开始做好准备以确保安全的数据中心。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。