多年來，從事軍事/航空航天和其他領域關鍵任務應用程序的工程師一直遵循一些旨在合理保護其應用程序、系統(tǒng)和網(wǎng)絡的基本安全原則。傳統(tǒng)上，物理隔離一直是確保安全敏感應用程序安全的關鍵因素，進入安全區(qū)域需要個人的身份識別和授權訪問。企業(yè)安全政策定義了身份識別、授權和訪問權限的規(guī)則，這些規(guī)則由安全人員執(zhí)行，他們在與個人打交道時被期望采取某種不信任的態(tài)度。在當今互連設備和服務的環(huán)境中，這些基本原則對安全仍然至關重要，構成了零信任安全的基礎。

零信任將安全的本質(zhì)提煉為三個原則：

顯式驗證：驗證資源訪問請求。

使用最低權限訪問：僅允許來自網(wǎng)絡或服務組中經(jīng)過身份驗證的參與者的請求，甚至限制對所需最少數(shù)據(jù)或服務的訪問。

假設違規(guī)：了解違規(guī)在連接的應用程序中是不可避免的，對它們的發(fā)生保持警惕，并確保它們發(fā)生時影響有限。

隨著自帶設備 (BYOD) 實踐的出現(xiàn)，公司已設法克服在定義策略和執(zhí)行措施方面的困難，這些措施符合傳統(tǒng)信息技術 (IT) 領域中的這些原則。在物聯(lián)網(wǎng)網(wǎng)絡中，更廣泛地說，在運營技術 (OT) 網(wǎng)絡中，在企業(yè)級物聯(lián)網(wǎng)應用程序中的成百上千個設備之間實施零信任的想法確實令人望而生畏。然而，通過關注三個關鍵的安全推動因素，可以更容易地實現(xiàn)物聯(lián)網(wǎng)環(huán)境中的零信任：

基于硬件的安全機制

定義的安全策略

安全健康監(jiān)測

基于硬件的安全機制

第一個推動因素——基于硬件的安全機制——為物聯(lián)網(wǎng)安全提供了關鍵基礎。IoT 開發(fā)人員可以從范圍廣泛的支持安全的設備中進行選擇，包括支持安全的處理器、安全元件、安全內(nèi)存、加密設備和其他能夠使用可信憑證支持安全身份驗證和安全通信的設備。支持基于硬件的信任根的處理器的可用性使開發(fā)人員能夠極大地降低物聯(lián)網(wǎng)端點和邊緣設備本身受到損害的可能性，從而使黑客能夠選擇看似“可信”的設備來更深入地滲透到企業(yè)中。在物聯(lián)網(wǎng)最外圍建立的信任必須在物聯(lián)網(wǎng)應用程序的每個更高層得到維護。然而，隨著公司構建大規(guī)模物聯(lián)網(wǎng)應用程序，

定義的安全策略

下一個推動因素——定義的安全策略——對于快速發(fā)展的高科技公司來說可能是最艱難的，尤其是那些已經(jīng)在快速行動和反應中取得成功的公司。相反，擁有可靠 IT 安全政策的老牌企業(yè)在將這些政策應用于物聯(lián)網(wǎng)領域時可能會面臨一些挑戰(zhàn)。建立實用的安全策略來定義復雜物聯(lián)網(wǎng)應用程序中每個層和隔間的授權訪問特征并不是一項簡單的任務。開發(fā)人員不能假設任何已經(jīng)連接到網(wǎng)絡的設備或服務都可以信任對應用程序更深層次的訪問權限。以粗略的筆觸定義策略可能會為黑客提供一系列訪問敏感信息、關鍵服務或企業(yè)資源的大門。定義所有必需的規(guī)則可能并不容易，但這樣做是必不可少的。幸運的是，來自主要云提供商的物聯(lián)網(wǎng)平臺提供了堅實的服務基礎，專門用于簡化與任何規(guī)模和復雜性的物聯(lián)網(wǎng)應用程序中的每個資源和通信通道相關的安全規(guī)則的實施。

安全健康監(jiān)控

最后一個推動因素——安全健康監(jiān)測——強調(diào)需要對潛在威脅和實際攻擊的新來源保持警惕。并非每個新威脅都需要采取緊急行動，但它至少應該開始對與威脅相關的風險（所有方面）進行分析。另一方面，成功滲透安全措施的攻擊應該迅速啟動適當?shù)捻憫獰o論是禁用用于攻擊的入口點、上傳新的安全憑證、關閉受影響的端點或子網(wǎng)，還是更多。云提供商和越來越多的第三方軟件供應商提供安全監(jiān)控軟件，可以監(jiān)控漏洞數(shù)據(jù)庫中的新威脅、識別潛在的攻擊面、檢測攻擊、

結論

找到能夠在硬件信任根上構建可信操作環(huán)境的處理器并不難。也不難找到能夠支持端到端安全的服務：如果您查看來自亞馬遜和微軟等領先物聯(lián)網(wǎng)云提供商的零信任支持，您會發(fā)現(xiàn)他們使用的架構圖與他們用來突出更廣泛的安全范圍的架構圖大體相同。服務。在 IoT 中實現(xiàn)零信任的真正缺失部分（您無法購買現(xiàn)成的部分）是花時間定義您的安全策略并有意愿確保 IoT 應用程序中的端到端執(zhí)行。

審核編輯黃昊宇