将数据中心使用的微隔离技术 (MicroSegmentation) 作为 IoT 物联网安全策略的一部分进行部署，可以实现对网络系统更细粒度的控制，并实现更好的隔离。

随着等保 2.0 将物联网和工控系统纳入等级保护监管，处于起步阶段的物联网和工控安全将迎来快速发展。与此同时，随着物联网部署的快速增长，该领域面临的安全威胁也越来越大。根据研究公司 Ponemon Institute 和风险管理服务公司 The Santa Fe Group 的报告，自2017 年以来，与 IoT 相关的数据泄露事件 “急剧” 增加。使问题进一步复杂化的是，大多数企业并不了解其环境中（包括）第三方供应商的每一个 IoT 设备或应用程序的安全性。Ponemon 的研究表明，许多组织没有解决或管理物联网风险的集中责任制，并且大多数人认为他们的数据将在未来 24 个月内遭到破坏。

IoT 安全风险对于医疗等行业而言尤为严峻，因为终端设备会通过网络收集和共享大量敏感信息。研究公司 Vanson Bourne 调查了 232 个医疗行业用户发现，82％ 的受访者在过去一年中遭遇过以物联网为中心的网络攻击。医疗机构最常见的漏洞分布如下：网络 (50％)，移动设备和随附的应用程序 (45％)，以及物联网设备 (42％)。

微隔离，更好的选择

早在 2017 年，Gartner 就将微隔离技术 (Microsegmentation) 评为 11 大最值得关注的信息安全技术。

当攻击者渗透进入企业系统获得据点，通常都能在周边系统自由拓展。微隔离技术能够在虚拟数据中心中进行隔离划分，防范攻击者的内部游走，将攻击导致的损失降至最低。

近年来推动微隔离技术发展的主要动力是软件定义网络 (SDN) 和网络虚拟化的出现。通过使用与网络硬件分离的软件，与那些尚未与底层硬件分离的软件相比，分段（隔离）更容易实现。

相比防火墙这种以边界为中心的产品，微隔离技术大大提高了数据中心的流量控制能力，因此可以有效阻止攻击者进入网络进行破坏。

微隔离也有管理上的好处。IDC 的 IoT 安全分析师 Robyn Westervelt 表示：

如果可以正确实施微分段，则可以在 IoT 设备和其他敏感资源之间添加一层安全保护，而不会在防火墙上造成漏洞 。但是底层的基础架构必须支持这种方法，并且可能需要安装最新的交换机、网关等。

对于工业物联网来说，内部防火墙太贵太复杂

保护工业物联网 (IIoT) 环境的一种方法是使用内部防火墙。这似乎是一个显而易见的选择，因为内部防火墙已成为所有安全保护的事实标准。但是，在工业物联网环境中，由于成本和复杂性，防火墙可能是最差的选择。

从历史上看，内部防火墙被部署在流量沿 “南北” 方向移动的地方，并会通过单个入口/出口点，例如核心交换机。而且，连接的设备都是可知和可管理的。但在工业物联网中，连接变得更加动态，流量可以 “东西向” 模式在设备之间流动，从而绕过防火墙所在的位置。这意味着安全团队需要在每个可能的 IIoT 连接点部署内部防火墙，然后跨数百个（可能是数千个）防火墙管理策略和配置，从而造成几乎无法控制的局面。

专门研究 IIoT 安全解决方案的 Tempered Networks 总裁兼首席执行官Jeff Hussey透露，他们的一个客户对内部防火墙需求进行评估后，发现其成本高达 1 亿美元，运营方面的挑战同样巨大。另外一个医疗企业尝试使用防火墙规则、ACL、VLAN 和 VPN 的组合来保护其环境，但是发现无法承受 “高度复杂性带来的运营开销”。

国际控制系统网络安全协会 (CS2AI) 的创始人兼董事长 Derek Harp 认为，随着第三方不断需要从内部系统访问数据，随着工业物联网自身的不断发展和开放，当前的IIoT环境变得越来越 “千疮百孔”。IIoT 网络安全团队面临的挑战远超传统安全团队。

对于工业物联网，微隔离优于内部防火墙

工业物联网安全专业人员应该使用微隔离，而不是内部防火墙。微隔离类似于 VLAN 和 ACL，但是环境隔离是在设备级别完成的，通过规则而不是在网络层进行管理。使用 VLAN 和 ACL，需要将所有设备（包括 IIoT 端点）分配给 VLAN。如果端点移动，则需要重新配置网络以适应。否则该设备将无法连接，或者与被破坏的设备、可能发生不良情况的设备位于同一网络上。

几年前的 Target 违规就是一个很好的例子，零售商的 HVAC 系统遭到破坏，这为销售点 (PoS) 系统制造了后门。传统的安全性在高度静态的环境中非常有效，但是 IIoT 可以通过设备定期加入和离开网络来实现高度动态。

工业物联网是微隔离下一个最佳用例

微隔离的优点是可以在软件中配置，并且在设备连接层上运行，是基于端点的策略。例如，可以创建一个微隔离规则，让所有医疗设备都位于特定的段中，并且与其余连接的节点隔离。如果移动了医疗设备，则该策略将随之而动，无需重新配置。如果 Target 一直在使用 IIoT 微隔离，并且 HVAC 空暖控制系统和 PoS 系统位于不同的微分段，那么黑客能做的最坏的事情无非就是让商场室温升高。

微隔离已经应用于数据中心，以保护在虚拟机和容器之间流动的横向流量。网络安全团队现在应该寻求将该技术推广和扩展到更多应用场景，保护工业物联网端点就是一个极佳的用例。这将使企业能够推进数字化转型计划，而不会给公司带来风险。