在過去五年的大部分時間里，物聯網（IoT）一直是網絡和安全專業人員關注的重點。在工業物聯網（IIoT）領域尤其如此。互連的工業設備并不是什么新鮮事物，但是大多數IT人員并不熟悉它們，因為它們已經由運營技術（OT）團隊進行管理。但是，越來越多的企業領導者希望將OT和IT結合在一起，以便從合并的數據集中獲得更好的見解。

雖然合并IT和OT并擁有IIoT擁有許多優勢，但它對網絡安全團隊產生了深遠的影響，因為它引入了一些新的安全威脅。每個連接的端點（如果遭到破壞）都會為其他系統創建后門。

保護IIoT環境的一種方法是使用內部防火墻。這似乎是一個顯而易見的選擇，因為內部防火墻已成為保護幾乎所有內容的事實上的標準。但是，在IIoT環境中，由于成本和復雜性，防火墻可能是最差的選擇。

從歷史上看，內部防火墻被部署在流量沿“南北”方向移動的地方，并會通過單個入口/出口點，例如核心交換機。而且，連接的設備都是由IT已知和管理的。借助IIoT，連接可以變得更加動態，流量可以“東西向”模式在設備之間流動，從而繞過防火墻的位置。這意味著安全團隊需要在每個可能的IIoT連接點部署內部防火墻，然后跨數百個（可能是數千個）防火墻管理策略和配置，從而造成幾乎無法控制的情況。

為了更好地了解此問題的嚴重性，我與專門研究IIoT安全解決方案的Tempered Networks總裁兼首席執行官Jeff Hussey進行了交談，他向我介紹了該公司的一位使用內部防火墻的客戶。在對所有內部防火墻需要去的地方進行了廣泛的評估之后，該公司估計防火墻的總成本約為1億美元。即使企業負擔得起，運營方面也存在另一層挑戰。

然后，Hussey向我介紹了一個醫療保健客戶，該客戶正在嘗試使用防火墻規則，ACL，VLAN和VPN的組合來保護其環境，但是，正如他所說，“復雜性正在殺死它們”，因此無法獲得任何東西這樣做是因為運營開銷。

我還與國際控制系統網絡安全協會（CS2AI）的創始人兼董事長Derek Harp進行了交談，后者在IIoT領域做了很多工作。他描述了當前的IIoT環境隨著網絡的不斷發展和“開放性”的發展而變得越來越“多孔”，因為第三方需要從內部系統訪問數據。拋棄威脅參與者的高級技能水平，不難發現，網絡安全團隊可以與傳統網絡安全抗衡不是一場戰斗。

安全專業人員應該使用IIoT微分段，而不是使用內部防火墻。分段類似于VLAN和ACL的使用，但是環境隔離是在設備級別完成的，并通過規則而不是在網絡層進行管理。使用VLAN和ACL，需要將所有設備（包括IIoT端點）分配給VLAN。如果端點移動，則需要重新配置網絡以適應該問題。如果不是這樣，則該設備將無法連接或與被破壞的壞事可能會發生的設備位于同一網絡上。

幾年前的Target違規事件就是一個很好的例子，零售商的HVAC系統遭到破壞，這為銷售點（PoS）系統制造了后門。傳統的安全性在高度靜態的環境中非常有效，但是IIoT可以通過設備定期加入和離開網絡來實現高度動態。

分段的好處是它是在軟件中完成的，并且在設備連接層上運行，因此策略遵循端點。例如，可以創建一個規則，其中所有醫療設備都位于特定的段中，并且與其余連接的節點隔離。如果醫療設備移動了，則該策略將隨之而來，并且無需重新配置。如果Target一直在使用IIoT微細分，并且HVAC和PoS系統位于不同的細分市場（從最佳實踐的角度來看，應該是這些細分市場），那么可能發生的最壞情況是商店溫度過高。

微分段已用于數據中心，以保護在虛擬機和容器之間流動的橫向流量。網絡安全團隊現在應該考慮將該技術擴展到更廣泛的網絡，第一個用例是保護IIoT端點。這將使企業能夠推進數字化轉型計劃，而不會給公司帶來風險。