保护工业物联网：架构选择指南

随着组织越来越多地将工业控制网络连接到 IT 环境、云应用程序和远程工作人员，非军事区 (DMZ) 造成的空隙逐渐消失，因此必须部署保护运营技术 (OT) 网络的新方法。

安全解决方案必须同时考虑 IT 和 OT 的需求——在不增加运营开销或网络复杂性的情况下提供强大的安全性。要为您的组织选择最佳解决方案，您需要了解可用的各种安全架构的含义。在这篇博文中，我们概述了选择正确架构以保护工业物联网的指南。

开始

保护工业物联网网络的第一步是获得可见性。您需要了解网络上的设备、它们正在通信的内容以及这些通信的去向。然而，传统的工业控制网络并不是为了提供这些见解而构建的。

幸运的是，实现网络可见性的技术现已可用。深度数据包检测 (DPI) 解码所有通信流并提取消息内容和数据包标头，提供可见性以了解您需要保护哪些设备以及它们正在通信的内容。这不仅可以让您构建正确的安全策略，还可以让您检测异常行为，例如可能会造成灾难性影响的机器非法命令。

选择您的架构

在收集网络数据包以执行 DPI 时，安全解决方案提供商通常采用以下两种架构之一：

1. 配置网络交换机以将流量发送到执行 DPI 的中央服务器
2. 在每个网络交换机上部署专用安全设备

虽然这两种方法都可以提供网络可见性，但它们也带来了新的挑战。配置网络交换机以将流量发送到中央服务器需要复制网络流，这可能既复杂又昂贵。额外的网络拥塞也会造成网络延迟——通常是不可接受的妥协。

部署安全设备可解决与复制网络流量相关的问题。该设备在交换机上收集和分析网络流量，并且仅将元数据发送到服务器以进行额外分析。但是，完全可见性需要为网络上的每个交换机安装、管理和维护专用硬件。这会很快导致成本和可扩展性挑战。为了有效，安全性需要完全可见。即使在“黑暗中”留下一个开关也会带来风险。

另一种方法

有一个更好的方法来实现完整的网络可见性和第三种架构方法：部署具有原生 DPI 功能的工业级交换机。这消除了复制网络流和部署额外设备的需要。获得可见性和安全功能只需激活交换机内的功能即可。成本、流量和运营开销都被最小化。

在网络交换机中嵌入 DPI 可为 IT 和 OT 带来独特的优势。 IT 可以利用其现有技能来保护 OT 网络，而无需管理额外的硬件或网络流量。 OT 可以获得前所未有的运营可见性，因为现在可以分析整个工业网络流量，为控制系统提供宝贵的分析见解。

在评估 OT 安全解决方案时，请注意它们的架构含义。为了简化部署并使其具有可扩展性，最好的选择是将安全功能嵌入到交换机中。这需要具有工业计算能力的网络设备——寻找专为工业物联网设计的支持 DPI 的交换机。

这是我们在 Cisco Cyber​​ Vision 中采用的方法。它利用独特的边缘计算架构，使安全监控组件能够在我们的工业网络设备中运行，从而为 OT 环境提供可见性、运营洞察力和整体威胁检测。

Cisco Cyber​​ Vision 的优势不仅限于拥有 Cisco 网络的组织——该传感器也可在 Cisco IC3000 设备中使用，通过连接到您的传统网络设备来分析边缘流量。这提供了最大的部署灵活性，可以满足您对现有网络的需求，同时让您有时间用支持 DPI 的网络设备替换旧交换机，这些设备能够查看连接到它的所有内容。

如果您想了解更多信息，请查看白皮书“保护工业物联网网络安全的边缘架构方法”，其中我们进一步探讨了此处介绍的三种安全架构以及在网络交换机中嵌入 DPI 如何满足需求IT 和 OT。