Palo Alto：针对 IoT 设备实施零信任的正确方法 .docxVIP

针对IoT设备实施零信任的正确方法

PaloAltoNetworks|针对物联网设备实施零信任的正确方法|白皮书 1

目录

简介 3

什么是零信任安全 4

针对物联网设备实施零信任的正确方法 5

针对物联网设备实施零信任的挑战 5

针对物联网设备实施零信任 6

零信任原则一：设备/工作负载 6

发现 6

风险评估 7

零信任原则二：评估 8

最低访问权限策略 8

网络分段策略 8

策略实施 9

零信任原则三：事务 10

持续监控 10

内置防御措施 10

在整个基础架构中实施零信任 10

针对物联网设备实施零信任的正确方法|白皮书 2

简介网络和安全团队历来依靠网络边界防御措施来保护整个企业。内部网络被认为是可信且安全的。虽然外部的一切内容都被认为存在风险，但是内部网络中的一切内容都被认为是“干净的”，应用流量将不受限制地流动。然而，企业办公模式的最新发展变化正在对传统的安全管理网络边界产生深远的影响。

以下趋势促使企业重新评估其安全方法：

?数字化转型：IoT设备采用率上升协助各企业增加价值、提高工作效率并降低成本。

?云迁移：越来越多的托管和非托管设备日益将数据发送到云或多云环境中。

?混合办公：员工可在园区网络中自由进出，这导致公司网络面临外部威胁。

传统的网络边界不再是一个值得信任的圈层，企业面临的网络威胁和网络攻击增加就证明了这一点。现代企业网络现在必须考虑访问网络的所有类型的设备，从传统的IT设备到现在支持互联网并连接到网络的非常规IT设备，包括安全摄像头、HVAC、智能照明、智能百叶窗、输液泵、打印机、智能咖啡机、智能电视、虚拟助理、ATM和销售点终端等等，这些设备就构成了所谓的物联网(IoT)。这些设备将风险水平降至最低，并显著扩大了威胁面，使网络极易受到横向攻击。

基于120万个端点的PaloAltoNetworksUnit422020物联网威胁报告发现，2020年的物联网设备占所有企业设备的30%。除此之外，Gartner的Machina物联网数据库预测，从2020年到2030年，物联网设备的CAGR增长率约为13%。

$￥

智能建筑 零售

47亿20亿220%180%

政府 医疗保健

18亿 13亿162%244%

€

银行业 关键基础设施

6亿60亿47%177%

每天有1000万台新的物联网设备加入网络*30%以上的企业设备是物联网设备*

*2030年设备的预期数量，以及从2020年到2030年的增长比例。

图1：根据Gartner的Machina数据库，预计各行业的物联网都将有所增长

由于IoT设备通常具有漏洞、难以修补、缺乏安全控制，但对于网络的访问不受限制，因此IoT激增会为企业带来严重的安全问题。以下是最近针对企业的一些物联网攻击的概况。

PaloAltoNetworksUnit42的物联网威胁报告发现：

?物联网设备面临的主要威胁包括：

?网络扫描漏洞利用(14%)

?密码用户实践(13%)

?蠕虫(12%)

?勒索软件(8%)

?57％的物联网设备易受中等或高严重程度的攻击

?83%的医疗成像设备在不受支持的操作系统中运行

物联网设备和攻击数量的增加导致企业必须重新评估其风险管理策略，并转用零信任方法来保护物联网设备。

针对物联网设备实施零信任的正确方法|白皮书 3

图2：不同行业的物联网攻击

什么是零信任安全随着居家办公、BYOD、企业资源向云迁移和物联网趋势等传统网络边界的消失，以及网络威胁增加，采用零信任方法作为企业安全核心策略已成为必然。PaloAltoNetworks可将零信任定义为一种网络安全战略性方法，通过消除隐含式信任和持续验证数字交互的每个阶段来确保企业安全。此外，作为安全骨干的强大框架为企业提供了一个实现网络现代化及重建网络、采用云技术以及加强安全运营的机会。

识别资产、重要数据和交易流程 采用零信任架构和“最低访问权限”控制 持续监控和审核

图3：零信任总体战略目标

针对物联网设备实施零信任的正确方法|白皮书 4

PaloAltoNetworks概述了零信任框架及其遵循的指导原则，涵盖了企业内所有用户、应用和基础架构的安全性，以及身份、设备/工作负载、访问和事务这四个关键支柱，如表1所示。

表1：关键的零信任功能和持续验证