Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Zero Trust er en sikkerhedsstrategi for design og implementering af følgende sæt sikkerhedsprincipper:
| Bekræft eksplicit | Brug adgang med færrest rettigheder | Antag brud |
|---|---|---|
| Godkend og godkend altid baseret på alle tilgængelige datapunkter. | Begræns brugeradgang med Just-In-Time og Just-Enough-Access (JIT/JEA), risikobaserede tilpassede politikker og databeskyttelse. | Minimer eksplosionsradius og segmentadgang. Bekræft kryptering fra slutpunkt til slutpunkt, og brug analyser til at få synlighed, skabe trusselsregistrering og forbedre forsvaret. |
Implementer Zero Trust principper på tværs af dine OT-netværk (Operational Technology) for at hjælpe dig med udfordringer, f.eks.:
Styring af fjernforbindelser til dine OT-systemer, sikring af dine netværksspringsposter og forebyggelse af tværgående bevægelse på tværs af dit netværk
Gennemgå og reducer forbindelser mellem afhængige systemer, hvilket forenkler identitetsprocesser, f.eks. for entreprenører, der logger på dit netværk
Finde enkelte fejlpunkter i dit netværk, identificere problemer i bestemte netværkssegmenter og reducere forsinkelser og båndbreddeflaskehalse
Unikke risici og udfordringer for OT-netværk
OT-netværksarkitekturer adskiller sig ofte fra den traditionelle it-infrastruktur. OT-systemer bruger unik teknologi med beskyttede protokoller og kan have aldrende platforme og begrænset forbindelse og strøm. OT-netværk kan også have specifikke sikkerhedskrav og unikke eksponeringer for fysiske eller lokale angreb, f.eks. via eksterne entreprenører, der logger på dit netværk.
Da OT-systemer ofte understøtter kritiske netværksinfrastrukturer, er de ofte designet til at prioritere fysisk sikkerhed eller tilgængelighed over sikker adgang og overvågning. Dine OT-netværk kan f.eks. fungere separat fra anden netværkstrafik i virksomheden for at undgå nedetid for regelmæssig vedligeholdelse eller for at afhjælpe specifikke sikkerhedsproblemer.
Efterhånden som flere OT-netværk migrerer til cloudbaserede miljøer, kan anvendelse af Zero Trust principper medføre specifikke udfordringer. Det kan f.eks. være:
- OT-systemer er muligvis ikke udviklet til flere brugere og rollebaserede adgangspolitikker og har kun enkle godkendelsesprocesser.
- OT-systemer har muligvis ikke processorkraft til fuldt ud at anvende politikker for sikker adgang og har i stedet tillid til al trafik, der modtages, som sikker.
- Aldrende teknologi præsenterer udfordringer i forbindelse med bevarelse af organisationsviden, anvendelse af opdateringer og brug af standardværktøjer til sikkerhedsanalyse for at få synlighed og skabe trusselsregistrering.
Et sikkerheds kompromis i dine missionskritiske systemer kan dog føre til konsekvenser i den virkelige verden ud over traditionelle it-hændelser, og manglende overholdelse af angivne standarder kan påvirke organisationens evne til at overholde offentlige og branchemæssige bestemmelser.
Anvendelse af Zero Trust principper på OT-netværk
Fortsæt med at anvende de samme Zero Trust principper i dine OT-netværk, som du ville gøre i traditionelle it-netværk, men med nogle logistiske ændringer efter behov. Det kan f.eks. være:
Sørg for, at alle forbindelser mellem netværk og enheder identificeres og administreres, hvilket forhindrer ukendt indbyrdes afhængighed mellem systemer og indeholder uventet nedetid under vedligeholdelsesprocedurer.
Da nogle OT-systemer muligvis ikke understøtter alle de sikkerhedspraksisser, du har brug for, anbefaler vi, at du begrænser forbindelser mellem netværk og enheder til et begrænset antal springværter. Jump-værter kan derefter bruges til at starte fjernsessioner med andre enheder.
Sørg for, at dine springværter har stærkere sikkerhedsforanstaltninger og godkendelsespraksisser, f.eks. multifaktorgodkendelse og privilegerede systemer til adgangsstyring.
Segmenter dit netværk for at begrænse dataadgangen, sikre, at al kommunikation mellem enheder og segmenter krypteres og sikres, og forhindre tværgående bevægelse mellem systemer. Sørg f.eks. for, at alle enheder, der har adgang til netværket, er forhåndsgodkendt og sikret i henhold til organisationens politikker.
Du skal muligvis have tillid til kommunikation på tværs af hele dine industrielle kontrol- og sikkerhedsinformationssystemer (ICS og SIS). Du kan dog ofte opdele dit netværk yderligere i mindre områder, hvilket gør det nemmere at overvåge for sikkerhed og vedligeholdelse.
Evaluer signaler som enhedens placering, tilstand og funktionsmåde ved hjælp af tilstandsdata til portadgang eller flag til afhjælpning. Kræv, at enheder skal være opdaterede for at få adgang og bruge analyser til at få synlighed og skalere forsvar med automatiserede svar.
Fortsæt med at overvåge sikkerhedsmetrikværdier, f.eks. godkendte enheder og din baseline for netværkstrafik, for at sikre, at din sikkerhedsperimeter bevarer sin integritet, og at ændringer i din organisation sker over tid. Det kan f.eks. være, at du skal ændre dine segmenter og få adgang til politikker, efterhånden som personer, enheder og systemer ændres.
Zero Trust med Defender for IoT
Udrul Microsoft Defender til IoT-netværkssensorer for at registrere enheder og overvåge trafik på tværs af dine OT-netværk. Defender for IoT vurderer dine enheder for sikkerhedsrisici og leverer risikobaserede afhjælpningstrin og overvåger løbende dine enheder for unormal eller uautoriseret adfærd.
Når du installerer OT-netværkssensorer, skal du bruge websteder og zoner til at segmentere dit netværk.
- Websteder afspejler mange enheder grupperet efter en bestemt geografisk placering, f.eks. kontoret på en bestemt adresse.
- Zoner afspejler et logisk segment på et websted for at definere et funktionsområde, f.eks. en bestemt produktionslinje.
Tildel hver OT-sensor til et bestemt sted og en bestemt zone for at sikre, at hver OT-sensor dækker et bestemt område af netværket. Segmentering af din sensor på tværs af websteder og zoner hjælper dig med at overvåge al trafik, der passerer mellem segmenter, og gennemtvinge sikkerhedspolitikker for hver zone.
Sørg for at tildele webstedsbaserede adgangspolitikker , så du kan give mindst privilegerede adgang til Defender for IoT-data og -aktiviteter.
Hvis din voksende virksomhed f.eks. har fabrikker og kontorer i Paris, Lagos, Dubai og Tianjin, kan du segmentere dit netværk på følgende måde:
| Websted | Zoner |
|---|---|
| Kontor i Paris | - Stueetage (gæster) - Etage 1 (salg) - Etage 2 (direktør) |
| Lagos-kontor | - Stueetage (kontorer) - Gulve 1-2 (fabrik) |
| Kontor i Dubai | - Stueetage (Kongrescenter) - Etage 1 (salg) - Etage 2 (kontorer) |
| Tianjin-kontor | - Stueetage (kontorer) - Gulve 1-2 (fabrik) |
Næste trin
Opret websteder og zoner, når du onboarder OT-sensorer i Azure Portal, og tildel webstedsbaserede adgangspolitikker til dine Azure brugere.
Brug indbygget Defender til IoT-projektmapper, og opret dine egne brugerdefinerede projektmapper for at overvåge din sikkerhedsperimeter over tid.
Du kan finde flere oplysninger under:
- Opret websteder og zoner, når du onboarder en OT-sensor
- Administrer webstedsbaseret adgangskontrol
- Overvåg dit OT-netværk med Zero Trust principper
Du kan finde flere oplysninger under: