设为首页加入收藏
群晖首页图片
网站标志
新闻详情
 
当前位置
新闻搜索
 
 
飞塔 防特网 工控网络微隔离东西向流量,新增OT网络分层全面且深度可视化 四川 成都 科汇科技 IT服务商
作者:管理员    发布于:2023-10-16 10:00:21    文字:【】【】【
写在前面

相较IT系统,OT(Operational Technology)运营技术 (OT) 是一类计算和通信系统,专用于管理、监控物理过程、工业设备和基础设施,这些系统广泛用于制造、能源、运输和公用事业等多个领域。OT系统由通过监视和/或控制工业环境中的物理设备、资产、流程和事件来检测或触发变化的硬件和软件组成。简言之,OT监控设备,IT监控数据。

OT代表了数字技术与工业应用的融合,提供了优化、自动化和安全管理不同领域的有形流程和运营的方法。IT和OT网络的加速融合,物理设备和IIoT设备收集的海量数据可助力组织提升运营效率、应用新兴技术例如云。

工业控制系统 (ICS: industrial control system) 领域内的通信网络称为过程控制网络(PCN:process control network)),泛称OT网络。ICS是OT的一个子集,一个ICS可以是一个具体类型的OT系统,所有ICS都属于OT,但并不是全部的OT系统是ICS。

PCN支持 ICS 分立组件上的各种自动化过程之间的通信,包括可编程逻辑控制器(PLC:Programmable Logic Controllers)、远程终端单元 (RTU:remote terminal unit )、分布式控制系统 (DCS:Distributed Control System)以及监控和数据采集(SCADA:Supervisory Control and Data Acquisition)系统。

PCN 在控制和测量单元之间传输指令和数据,并互连 OT 环境中的各种组件。PCN 是高性能、稳健且确定性的LAN。PCN 必须保持持续可用性、快速响应、强大的错误检查和纠正,以确保零停机时间并实现 ICS 的确定性、无错误和连续运行。

为了实现 ICS 的确定性和稳健性要求,PCN 通常配置为扁平网络结构,ICS 的不同组件之间几乎没有或没有边界限制,如图 1 所示。PCN 这种固有的扁平网络结构使其速度更快并且更容易维护。
然而,这也使PCN容易受到众多的安全威胁,例如PCN内的恶意软件的横向移动和网络洪泛。这些威胁可能会中断PCN的通信并使整个ICS停滞。此外,扁平的网络结构使得将PCN与ICS边界之外的其他通信网络集成变得困难。

传统上,自动化行业已使用LAN解决方案,例如网络桥接器和网关,分隔各种网络组件并限制PCN内的网络广播或洪泛。VLAN的实施可以为这种网络分段过程增加灵活性,允许无论网络的物理布局如何都进行网络隔离。然而,仅有VLAN并不能解决可能仍然对PCN造成重大损害的安全问题。此外,与企业网络相比,VLAN在PCN内的采用较慢。ICS/OT网络中的区域和管道(Conduits)为了解决ICS/OT网络内的安全挑战,自动化行业引入了区域和管道的概念,将PCN划分为多个片段,隔离ICS中的各种组件。在ICS内部,一个区域将共享相同安全要求的逻辑或物理资产组合在一起,并定义信息进入和离开区域的安全边界。

在不同的区域之间引入了管道来控制区域之间的通信并实施安全控制。管道充当不同区域边界之间的控制机制(守门人)。区域和管道模型在国际自动化学会(ISA)和国际电工委员会IEC 62443-1-1和IEC 62443-3-2中介绍。它提供了详细的指导,说明如何定义区域和管道。此外,普渡企业参考架构(PERA:Purdue Enterprise Reference Architecture)框架为将ICS内的各种区域和管道分隔成一个包含多个层次的分层网络架构奠定了基础。

OT、IIoT、IT、IoT的融合

随着工业4.0和颠覆性技术的发展,如物联网(IoT)和工业物联网(IIoT),ICS/OT网络转变为更多的融合网络。融合的OT/IT基础设施中,通信不再基于专有的网络通信协议或标准的ICS特定通信协议,而是赖于一系列复杂且开放的标准互联网通信协议,这些协议本质上容易受到各种攻击。

ICS/OT 网络分段及微隔离

大部分企业在考虑OT安全第一步就是将IT和OT网络通过VLAN进行分段, 也就是将南北向通信进行隔离。VLAN 提供逻辑网络分段灵活性,而Fortinet的NGFW FortiGate与交换机FortiSwitch(及无线接入点FortiAP)的组合对东西向流量进行控制,通过进一步(微)分段 VLAN 并为隔离分段实施安全策略,限制 ICS 各个组件之间的网络和应用程序流量,做到对PLC的隔离,甚至是同一产线上的不同PLC进行隔离,除非安全策略明确允许,即使两个 PLC 属于同一 VLAN。

FortiSwitch 交换机和 FortiGate NGFW防火墙提供了实施网络分段微隔离的集成方法。将 VLAN 功能从第 2 层网络通信扩展到第 3 层(路由)和第 7 层(应用程序可视性),从而实现网络流量检查。FortiSwitch 在第 2 层工作,定义 VLAN,而 FortiGate 在第 3 层工作,安全路由 VLAN 之间以及同一 VLAN 内的所有通信。此外,在第 7 层,FortiGate 的下一代入侵防御 (NGIPS) 功能可使用精细的安全策略、通信协议的有效负载级别可见性以及对通过 FortiGate 在网络应用程序之间传递的信息进行监管来实现网络流量检查。

用于对 ICS 网络进行分段以及微隔离的 Fortinet 集成解决方案为 ICS/OT 资产所有者提供了众多优势:

● 主机/设备隔离:隔离 ICS 网络中的每个设备可提供对网络通信的精细控制。进出设备的网络流量流经 FortiGate NGFW,从而实现安全策略实施、流量检查、应用控制以及入侵检测和预防。

● ICS 协议深度数据包检测 (DPI):FortiGate NGFW 为超过 50 种 ICS/OT 协议提供 DPI 支持,其中包括 1,800 多个开箱即用的应用程序控制签名和 300 多个漏洞签名。

● 防止横向移动:ICS 每个组件的隔离使得恶意软件很难在 ICS 网络内横向传播。ICS 网络内的所有流量均需接受检查和监管。

● 高性能:FortiGate 由专用安全处理芯片(SPU) 提供支持,可提供无与伦比的性能和低延迟,这使其成为网络分段与微隔离 ICS 中网络流量检查的理想选择。

● 无缝集成:逻辑和物理网络连接保持不变,对固有ICS网络不做架构更改。

● 统一管理平台管理:整个解决方案通过集成管理控制台进行管理,ICS网络安全自动化。
基于Purdue模型OT网络分层

全面且深度可视化

在微分段的基础上,PCN中部署FortiGate防火墙以及FortiSwitch交换机或者无线接入点AP,从物理拓扑到逻辑拓扑可视化整个IT和OT网络,防火墙连接的交换机,交换机下连了哪些设备,一一显示。

另外,在FortiGate 7.0以后的操作系统里,可对连接的设备进行基于purdue模型的分层。把不同的设备放到不同的purdue模型层级里面,比如说属于L3还是L2。如果 ICS 的各个组件之间存在网络连接,则可以在 ICS/OT 网络内的任何级别实施微分段。并对工业控制网络更好的来进行资产的发现提供了可落地的方案。
基于FortiGate 防火墙与FortiSwith交换机(以及+FortiAP无线接入点)的方案,可以识别到整个工业控制网络包括无线网络里面的整个协议,包括应用、IPS特征库的厂家等信息,实现了在应用的层级可视化,在攻击的层面可视化。这使得 ICS 和 OT 工程师能够查明网络中的故障和问题并有效地进行故障排除。
案例

某汽车制造商生产环境网络分段

与安全微隔离

采用Fortinet网络分段与微隔离方案之前的生产车间拓扑及面临诸多挑战,主要有横向、纵向威胁快速传播、“暗”流量、工业协议识别及防护问题;另外车间线路杂乱导致线路接错等风险,以及车间接入层运维困难、单点故障,以及账户密码泄露问题,单因素认证问题。

采用了Fortinet FortiGatae NGFW与FortiSwitch交换机的微隔离部署方案后,对生产网流量及其路径进行了规划与整理,使其成为:相同接入交换机下相同与不同VLAN终端互访流量、不同接入交换机下相同与不同VLAN终端互访流量、车间终端访问核心交换机外部服务器资源。

在对生产网进行分段,对每个终端进行了微隔离并对需要互访的终端启动应用层安全扫描,阻断威胁横向与纵向的传播。基于FortiGate NGFW与FortiSwitch交换机独特的协议与终端识别识别,生成生产网全网设备连接的拓扑以及显示每个终端的安全风险,不仅物理与逻辑线路明晰,网络与安全的运维也事半功倍。

结语

ICS/OT 网络主要由具有独特操作要求的长生命周期设备组成,需要特定于 OT 的安全方法。Fortinet对 ICS/OT 网络安全具有独特的视角,基于 VLAN 的微分段使 ICS 能够控制业务风险,同时受益于逻辑分段的网络,对OT安全团队提供基础设施的全面、集中的可见性和控制至关重要。

IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新 以更低的复杂性提供业内的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应,Fortinet 安全运营解决方案,早期检测和防御(EDP)解决方案,集中分析和自动化响应(CARA)解决方案
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、高级威胁检测、事件分析溯源
飞塔防火墙, 飞塔防火墙官网, 飞塔信息, 防特网 fortnet,飞塔公司, 防特网 飞塔信息科技有限公司 飞塔是哪个国家的, 飞塔官网,飞塔防火墙配置手册, 飞塔防火墙配置, 飞塔sdwan, 防特网信息科技(北京)有限公司
防特网股票,
防特网股票代码, 防特网怎么样, 防特网待遇, 防特网招聘,防特网信息科技(北京)有限公司上海分公司 防特网信息科技(北京)有限公司 官网
fortinet是什么公司, fortinet 防火墙, fortinet股价,飞塔防火墙, fortigate防火墙, fortinet上海办公室 fortinet防火墙配置, FORTINET待遇, FORTINET FortiGate-
方案适用机型:
机框设备:FortiGate-3500F,FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E,5144C, 超高端设备:FortiGate 6300F6301F6500F6501F 高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、fortigate2200E, fortigate2601F, FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D 中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 501E 、FortiGate 400E 、FortiGate 300E、fg-200f-bdl-811-60, FortiGate 200E 、FortiGate 100E 入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged,ice-61850,ice-61850-3,fortigate-40F,fortigate-60F,fortigate 61F,fg-601e,高级威胁防御订阅服务授权。FortiGate-100D(已停产,无法续服务,可做VPN)FortiGate-100F
fortigate rugged 30d rugged 35D,rugged 60D,ruggded 90D,
FortiGate 60E FG-60E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口)。 管理的 FortiAP 最大数量(总计/隧道)30/10
FortiGate 60E-POE FG-60E-POE 10个 GE RJ45 接口(包括8个 PoE/PoE+ 接, 2个广域网接口) 。 管理的 FortiAP 最大数量(总计/隧道)30/10
FortiWiFi 60E FWF-60E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口), 无线(802.11a/b/g/n/ac)。 管理的FortiAP最大数量(总计/隧道)30/10
FortiGate 61E FG-61E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口),128 GB SSD 板载存储。 管理的FortiAP最大数量(总计/隧道)30/10
FortiWiFi 61E FWF-61E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口), 无线(802.11a/b/g/n/ac), 128 GB SSD 板载存储。
管理的 FortiAP 最大数量(总计/隧道) 30/1
fortiswitch 工控安全交换机,FGR-30D,FGR-35d, fgr-60d, fgr-90d,
FORTianalyzer 日志与报告分析产品型号:faz-150G, faz-300F,faz-800F,faz-1000F,faz-3000G,faz-3500G,faz-3700F,
fortimanager集中管理平台产品型号:faz-200G,fax-300F,faz-1000F,fax-3000G,faz-3500G,faz-3700F,
FDC-1000F,fdc-vm
网络准入控制:fnc-ca-500c, fnc-ca-600c,fnc-ca-700c,fnc-r-650c,fnc-m-550c,
交换机switch:FS-108F-FPOE
fortiAP 无线接入点。 Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV
专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR,FortiTrust,fortigate fabric, fortiap,fortiswitch,fortisandbox,fortiai,fortideceptor,fortinac,fortisoar,fortisandbox,fortisiem
终端防御软件 FortiClient, FortiEDR端点检测和响应解决方案的威胁阻断率
安全管理解决方案 FortiClient EMS
服务区域:
四川 飞塔 Fortinet:成都 防特网飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、
广元防特网 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、
达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、
丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、
西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
飞塔自身关键词:
飞塔防火墙,飞塔官网,飞塔公司,fortigate防火墙,飞塔防火墙配置
飞塔相关关键词
网络安全,安全SD-WAN,Fortinet FortiGate-VM,Fortinet,VPN保护,Web过滤,
网络分段,网络微分段,物联网平台保护
脚注备案信息
群晖技术群