現代 IT 環境中，IoT 和 OT 裝置也需要零信任

保護網絡安全的第一步是了解所有聯網使用者和裝置以及試圖通路的使用者和裝置，這也是包括零信任等網絡安全架構的前提，在此基礎上企業才能建立相應的執行政策和控制工具。

可是，如果裝置成了使用者呢？

1. 零信任中的“使用者”概念

零信任要求從使用者開始落實安全性，但有趣的是，這裡的使用者不僅僅指傳統意義上的使用者。近年來不斷興起的物聯網（IoT）、操作技術（OT）和智能聯網裝置為網絡和企業帶來了巨大的網絡安全威脅，于是安全架構人員不得不重新審視身份的概念。從本質上而言，每個聯網對象都有一個身份，并且必須包含在零信任架構内，是以這裡的使用者應該還包括裝置、虛拟基礎設施和雲資産。

具體說明如下：

• IoT 裝置不需要人工收集、通路和共享資訊，也不需要人工輔助功能自動化和業務提效。IoT 已迅速成為現代企業中增長最快的裝置類型，IDC 估計到 2025 年将有 416 億個聯網的 IoT 裝置，預計将産生79.4 ZB 的資料。
• 機器對機器(M2M)通信在工業和制造業中已經屢見不鮮，現在也廣泛應用于醫療保健、商業和保險行業。
• 企業目前大量投入使用的 OT 網絡系統也必須得到保護。據 Gartner 預計，到2021年，CIO 或 CISO 将直接負責70%的 OT 安全管理，較目前上升35%。
• 智能裝置制定的安全決策很有可能漏洞百出。在一些常見的 DDoS 攻擊中，Mirai 等僵屍網絡可以控制憑據較弱的非托管 IoT 裝置，可能會導緻數百萬裝置破壞關鍵服務。

2. 拒絕刻闆印象：每台裝置都是獨一無二的個體

要真正掌握裝置身份，不僅需要識别 IP 位址、廠商和型号，更需要對裝置的業務環境和潛在風險了如指掌，而這就是準确的态勢感覺發揮重要作用的地方。

先來看一類常見的 IoT 裝置——聯網攝像頭。即便是同一台攝像頭，執行的功能也截然不同，可以是視訊監控，也可以是視訊會議。在金融服務行業，攝像頭主要用于交易過程中監控客戶，或内置于 ATM 中掃描支票存款。這些攝像頭的每一個視訊輸入都需要與不同的資料中心應用和雲服務共享通信路徑。是以，裝置身份和情境是零信任安全中非常重要的概念。

3. IoT 和 OT 的零信任部署建議

為企業網絡建立零信任架構還需要深入了解網絡上的所有 IoT 和 OT 系統，進而做出基于情境的分段決策，以在不過度影響可用性的情況下降低業務風險。企業在網絡中實施零信任時需要考慮以下幾點：

1）将零信任的實施範圍擴充到使用者之外，包括裝置。

2）對 IoT 和 OT 裝置使用無代理裝置可視化和持續網絡監控，基于代理的安全方法不适用 IoT 和 OT 裝置。

3）了解通路企業網絡的所有裝置身份，包括裝置的業務環境、流量和資源依賴關系。

• 控制并持續監控使用者和裝置的通路以保護關鍵業務應用
• 對關鍵的 IT 和 OT 裝置設定特權通路
• 将企業的 IoT 和 OT 裝置劃分在适當的區域以減少攻擊面
• 包含易受攻擊的裝置和遺留的業務應用/作業系統，不能在單獨的區域内打更新檔或脫機，以減少攻擊面