安利给你的:把数据流安全交给“微分段”

关注“计算机世界”公众号

走进产业互联网的世界

本文字数:2506 字

阅读时间:6 分钟

——READ——

宾夕法尼亚州立大学选择了Tempered网络公司的微分段技术对智能建筑系统的数据流进行隔离和保护,而这些系统则采用了BACnet通信协议来共享数据。

BACnet是供暖、通风和空调(HVAC)、照明、门禁和火灾探测等建筑自动化和控制(BAC)系统的通信协议。宾夕法尼亚州立大学由于BACnet的开放性而将该协议作为标准。

宾州大学设施自动化服务部的系统设计专家Tom Walker介绍说:“任何设备,任何制造商——只要他们使用了BACnet,我们就能够把他们整合起来。这是一种非常简洁的协议,但在部署时必须了解其特殊性,特别是大规模部署的情况。”

例如,特殊性之一是BACnet很容易产生广播风暴。数百个BACnet系统运行在多个校园中,这些系统跨多个网络,宾州大学担心这会降低网络其他部分的性能,有可能暴露出安全漏洞。

Walker说:“大约四年前,我接手了这一基础设施,覆盖整个主校园的是一个扁平化的2层网络。”他和他的部门决定将BACnet数据流从大学的共享基础设施中分离出来,以提高安全性和可管理性。

宾州大学的设施自动化服务部门的职责包括大学联网建筑的自动化工程、网络管理和监控等。

例如,利用智能楼宇系统,该部门可以远程控制HVAC系统,从而适当地对教室和办公室进行供暖和制冷,让学生和员工感到舒适。自动化控制也有助于保证关键研究实验室的安全运行。

Walker介绍说:“我们有冰川冰,这些是不可替代的。因此,我们必须监控冰柜,以确保这些冰箱不会化冻。”宾州大学的一栋大楼地下室里还有一台原子钟,那里的温度控制在十分之一度。

设施自动化包括物联网

设施自动化服务部的业务涉及很多地区——宾州大学有3200万平方英尺的建筑物,分布在全国各地的几十个校园,2.2万英亩的土地上。

在640多栋建筑物中,分布着用于监测环境的几十套系统、设备和传感器。它们收集的数据越来越多。

Walker介绍说:“我们以前只是建筑自动化。但是这些年来,我们已经开始加入更多的组件。我们现在管理着所有不同的公用设施网络——废水、水处理、蒸汽设备、配电,甚至是冷却水的分配。

“对我们部门来说,这是一次变革。我们要应对建筑物里越来越多的设施——所有保持建筑物运行的设施。我们通过网络基础设施把这些数据传送回数据中心,然后要么转到云端,要么将其传送给其他分析系统,对数据进行分析。”

例如,设施自动化部门开始跟踪电梯的使用情况。Walker解释说:“我们发现一部电梯一天要上下1900趟。以前我们从未如此地深入了解过,这也解释了为什么电梯总是不断地损坏。”

这听起来很像物联网,但对于设施自动化部门而言早已习以为常。Walker评论说:“这种物联网业务很时髦。我们一直在从事物联网业务。这就是建筑自动化。通过物联网对建筑物进行控制,通过网络把控制信息传送回来,这样我们就能远程管理这些建筑物。”

微分段比VLAN、防火墙和ACL更适用

宾州大学之所以决定升级其建筑自动化系统,一个关键驱动因素是必须确保安全地进行实时通信。BACnet基础设施是一种直接采用无线连接和蜂窝连接的网络。访问控制是个问题。

大学正在实施32.8亿美元的资金投入计划——重点是现有设施和系统的更新,这意味着近几年要不断进行建设,承包商源源不断地来和大学信息化部门交流,进出机房,承接建筑自动化系统,随意安装接入交换机和无线接入点。Walker说:“这些承包商会带来他们自己的交换机,将它们插入到我们扁平化的2层网络上。或者,他们会增加自己的接入点和无线路由器。管理起来非常复杂。”

这也是潜在的攻击途径,建筑自动化部门一直致力于消除它。Walker说:“主要目的是:找出最好的方法来清理网络,并以同样的方式确保网络安全。”

解决方案就是微分段技术,该技术能够减少宾州大学的网络攻击面,对数百个BACnet系统进行集中控制——在升级期间不会中断传统的网络。

一般来说,采用微分段技术,企业能够实现工作负载的相互隔离,并分别保护它们。与防火墙、虚拟局域网(VLAN)和访问控制列表(ACL)等传统的网络安全技术相比,它能够更精细地划分数据流。

企业可以针对不同类型的数据流定制安全设置,例如,创建策略,将工作负载之间的网络和应用程序流限制在明确允许的范围内。如果设备或者工作负载移动,那么安全策略和属性也将随之移动。目的是减少网络攻击面:通过把分段规则应用于工作负载或者应用程序,企业可以减少攻击者从一个被攻破的工作负载或者应用程序转移到其他工作负载和应用程序的风险。

对于宾州大学来说,部分吸引力在于部署和管理起来方便,意味着设施部门可以自行管理网络的新架构。Walker介绍说:“我们研究过在建筑物内建立独立的VLAN或者私有VLAN,进行MAC地址过滤,做好访问控制列表,或者构建建筑物级别的防火墙。但是当我们考虑可扩展性时,一切都变得不可行。对于这些选择,我不得不至少再雇两人去管理各种各样的工具。”

大学转而选择Tempered网络公司的微分段技术来隔离并保护其BACnet数据流。这一供应商的HIPswitch设备在物理网络之上建立了一个安全的私有重叠网,只有明确可信的系统和端点才允许进入重叠网。HIPswitch与Tempered网络公司的集中式流程编排引擎Conductor协同工作,该引擎创建、管理并监控设备的配置和安全策略。

进行概念验证有助于完成宾州大学的部署。Walker介绍说,“部门原本考虑在单个控制器层面上部署HIPswitch设备,但最终决定上移一层到建筑物层面,这极大地简化了管理。我们能够创建一组控制器和一组服务器,然后通过重叠网中的信任关系,很容易把它们连接在一起。”

各个建筑物系统是基于功能而不是端口来锁定的。Walker说:“如果有人攻破了其中一台控制器,那他们只能返回数据中心,访问一台服务器。而以前,如果有人攻破了一栋建筑物,他们就能访问数据中心,以及所有暴露的应用程序。现在我们可以说:‘灯光控制器只能与灯光服务器通信。电梯控制器只能与电梯服务器通信。’”

Tempered网络公司的技术“在这些独立的建筑物和我们的数据中心之间建立了信任关系。”这也减少了建筑物之间的数据流,这在重新规划设计之前曾是很大的问题。Walker说:“位于规模庞大的、扁平化的2层网络上的每一栋建筑物都能够收到所有的通信数据流。现在,只有建筑物和服务器在通信。”

如果出现了BACnet广播风暴或者入侵,很容易关掉某栋建筑物的数据流。“以前,因为它是一个规模庞大的、扁平化的2层菊花链结构,因此,我不得不关闭多个端口。那么,如果我关闭一个端口,就有可能关闭6栋建筑物。而现在,我可以单独控制每栋建筑物的数据流。”

该技术还方便了添加、移动和更改等操作;宾州大学可以通过集中式流程编排功能来支持承包商安全地访问网络上的某些设备。

Walker说:“我希望的是,不但能够轻松部署,而且能立即保护好基础设施。”

在最初成功部署的基础上,宾州大学扩展了该项目。一开始,设施部门计划在宾州大学系统中最大的校园——帕克大学(University Park)部署HIPswitches。目前,大学将该项目扩展到了全州的所有校园中。

随着宾州大学不断扩建其校园设施,设施部门利用灵活的HIPswitches甚至实现了最偏远校园的连接。就在最近,Walker的部门在位于一片玉米地里的一栋建筑物中部署了HIPswitch,采用的是蜂窝连接方式,而如果使用光纤连接方式,将会花费很多的时间和资金。

蜂窝连接是Walker发现的比最初预期更有用的功能。“这使得我们能够部署在以前无法到达的地方。”

作者:Ann Bednarz,涉及的领域包括《网络世界》的IT职业、外包和互联网文化。

编译:Charles

原文网址:

https://www.networkworld.com/article/3265065/lan-wan/penn-state-secures-building-automation-iot-traffic-with-microsegmentation.html

审稿编辑:宋辰

排版编辑:焦旭

计 算 机 世 界

CHINA COMPUTERWORLD

关 于 IT 产 业 和 产 业 IT 的 一 切

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180613G0B7BO00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券