工控网络分段最佳实践

工控网络区域分段是缓解边界违规以及防止故意和意外OT网络事件蔓延的有效方法。但大多数安全厂商只是告诉你，按照风险等级或者产线通过物理或VLAN来划分。其实OT区域分割不是上述简单通过VLAN划分的最佳实践。在本文中，我将解析用于构建防御架构的网络分段原则。

构建防御性架构，网络分段被认为是关键和常规最佳实践的首要原因是它可以帮助组织构建更具防御性的架构。根据设计，网络分段将网络的关键部分与其他网络分开。用于控制系统PLC/DCS，紧急关断系统ESD/SIS，上位机监控或者SACADA系统，应划分为不同的安全域。那在一个PLC或者DCS中不同产线还需不需要划分，在实际项目实施过程中不建议DCS系统控制器和PLC控制器之间通过VALN路由通讯，因为大量广播和组播跨路由通讯并不方便且不符合自动化厂商自己的架构的最佳实践，可以采用后面提到区域防火墙基于透明模式的分割。

在层与区域之间网络可以根据凭证访问和权限、策略和规则执行或信任进行分割。分割的三个主要方法是VLAN、区域防火墙和工业非军事区 (iDMZ)。iDMZ 是验证对OT/IT 网络的访问和流量的基础，无论是互联网远程还是来自企业内部网络访问。

区域防火墙用于区域之间执行适当边界访问规则，区域防火墙多数工作在2层透明模式。区域防火墙规则可以指定在特定 OT产线和另外OT产线基于IP的访问规则。区域防火墙还可以为不安全的工业协议提供安全的替代方案，建立安全外壳和加密授权来访问关键网络。

而采用VLAN技术的隔离，将采用三层交换机内VLAN路由+ACL模式来保护VLAN之间访问和授权，这也是企业内最廉价的分段隔离的解决方案，也是IT运维习惯采用的技术手段。

近几年非常火的零信任策略是不是更好的解决方案呢？零信任提供一系列概念和想法，旨在最大限度地减少在信息系统中执行准确的、最小权限的每个请求访问决策的不确定性，其维护可以减少平均修复时间 (MTTR)。当访问策略强制执行上述分段、流量规则和边界时，诊断、故障排除和根本原因分析将得到优化，以确保业务连续性。但由于零信任对于原生安全设备和组件具有很高的依赖性，而OT厂商之间还没有任何零信任中使用策略和协议的通用性，造成客户工控系统部署零信任难上加难，甚至会影响到实际的业务。

最后，没有做OT网络分段的情况下，勒索软件和其他网络威胁很容易在组织中横向传播，使关键资产和网络面临风险。但OT分段过于颗粒化，单纯为了安全而分段，又会造成对工控业务的阻碍。