购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
创建新博客
1018
查看次数
10
有帮助
0
评论

【原创翻译】如何通过基于意图的网络确保物联网安全

one-time
Level 13
Level 13
‎09-26-2019 12:46 AM

154008reer163ewvrzz3k6.jpg

产品管理副总裁
思科企业交换
2019年9月20日

随着多云环境和通过有线和无线连接到互联网的设备范围不断扩大,网络正在快速转型。由智能手机、暖通空调系统、照明、无服务器摄像头、机器人工具、医疗设备和自动售货机所造成的漏洞,都是您网络的一部分。这一波新设备形成了一个更为复杂的环境,其规模和复杂程度呈指数级增长。

大多数物联网(IoT)设备的设计都没有内置安全性,而且这些设备的多样性使得这些端点难以管理。在大多数情况下,物联网设备可能不适合企业使用,因为该设备可能缺少适当的软件更新和安全修复程序,无法维持适当的安全状态和网络访问级别。

因此,物联网设备可能会带来巨大的风险,特别是当你试图控制在网络边缘看不到或无法管理的东西时。对不安全端点的利用和黑客攻击可能会通过数据泄露而导致大规模的业务中断。考虑到法规遵从性(GDPR、HIPAA、PCI DSS、CCPA等),罚款也有可能造成严重的财务影响。

未修补的操作系统开发

为了进一步探讨这一概念,让我们想象一下超声(US)设备是医疗物联网(IoMT)的一部分。该设备的系统通过互联网共享图像和相关的受保护健康信息(PHI)。每个设备本身还存储大量数据,这使其成为不良行为者的诱人目标。

在这种情况下,该设备正在运行一个过时的操作系统,其漏洞在网上有充分的记录,可供黑客利用。设备制造商的开源软件组件也增加了其系统的脆弱性。此外,制造商还通过互联网发布专有软件更新。

就我们的示例而言,使用此设备的医院系统在其多个分支位置具有设备。随着将设备连接到网络,黑客集团可以利用制造商的安全漏洞,在整个医院系统网络中快速横向移动,恶意软件可能导致网络关闭、窃取患者数据,并对服务造成大规模破坏,这些服务不仅是运营所需,而且有可能挽救生命。

虽然这个故事是虚构的,但此类攻击不仅发生在医疗保健行业,而且还发生在许多其他行业。所描述的方法是真实的,今天网络上太多物联网设备的安全漏洞也是如此。

安全操作中心(SOC)如何在网络上分割这些端点以减轻这些安全问题?

思科消除了物联网的恐惧

思科通过Cisco DNA Center提供的高度可扩展的IBN解决方案简化了网络上所有设备的管理、安全和监控。通过引入基于意图的网络,并在所有领域(数据中心、校园、分支机构、广域网和多云)实现这种简单性,该技术实现了从客户端到应用程序之间应用和确保意图的愿景。

以下是如何为物联网实现这种简单性的过程。

发现

使用思科软件定义接入(SD-Access)思科身份服务引擎(ISE),可以看到并发现所有试图连接到网络的内容,包括物联网端点。通过使用被动和主动监视,ISE利用来自每个连接请求的网络流量信息来识别新设备。

分类

通过ISE内置的性能分析和行为分析,SDA对物联网设备进行分类和识别。同样,使用被动和主动监视来分析与每个设备相关联的流量。而且,通过使用直接内置在Catalyst 9000系列交换机和无线控制器中的设备传感器功能,可以在不需要新设备或网络设计更改的情况下收集关键的配置信息。

ISE将这些信息与思科广泛的内置配置文件库进行比较,以便更准确地对设备进行分类。该库在云中不断更新,包括覆盖物联网端点、医疗设备、工业设备等。思科使用IETF标准制造商使用说明来识别设备制造商设备。

安全

通过思科SD-Access进行分段,网络现在可以充当物联网的安全控制,因为它为每个设备授予了正确的访问级别。此分段确保其他网络流量不会对设备产生不利影响,同时也防止设备对网络上的其他流量产生不利影响。

此外,思科SD-Access将网络划分为两个层次:用于企业网络、物联网和工厂车间等高级网络区域的虚拟网络(VN);以及用于打印机、员工设备和电梯等离散子VN段的可扩展组(SG)。然后,网络将不同网段之间的关系定义为网络上每个角色之间的一组权限。宏观和微观细分层次结构使实现了非常灵活和可扩展的细分技术。

监控

思科SD-Access解决方案会在发现、分类、保护设备后持续监视网络流量,以发现潜在异常,例如MAC地址欺骗,严重的操作系统偏差和网络适配器滥用。例如,如果某个MAC地址昨天与iPhone关联,但现在显示为Windows 10 PC,则SD-Access会检测到异常,并可以隔离该设备,直到完成安全调查为止。

实现物联网的价值

通过单个用户界面,Cisco DNA Center可实现整个网络(有线和无线)的完全可见性。无论现在还是将来,利用同类最佳的分析技术,网络可以自动发现新端点,保护它们并对其进行监视。借助思科基于意图的网络功能,网络运营商可以减少在网络设计、实施、测试和故障排除方面花费的时间。面对有限的人才库和有限的预算,基于意图的网络还大大降低了运营支出以提高效率。

也许对你的业务最重要的是:在威胁造成伤害之前,它们会被识别并消除,包括由各种物联网设备带来的威胁。

了解思科全数字化网络架构(Cisco DNA)如何通过基于意图的网络来改变您的网络。数分钟内即可配置和配置所有网络设备。使用高级分析来主动监视,排除故障并优化网络。

请在下面的评论中分享你的问题。在以后的博客文章中,我们将更深入地研究基于意图的网络的不同方面以及它为客户提供的简便性。


原创翻译,若有不妥敬请指正

标签:
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









热点文章
Customers Also Viewed These Support Documents