本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
功能 2. 在環境之間提供工業隔離區域
此功能支援來自 AWS IoT SRA 最佳實務的最佳實務 2。
組織越來越多地將 OT 和 IIoT 系統連接到雲端環境。這種收斂帶來許多好處,但也帶來了獨特的安全挑戰。它還需要 OT、IIoT 和 IT 環境之間的嚴格區隔,以限制 OT 或 IT 系統受到攻擊的可能性,避免影響關鍵基礎設施的業務系統。包含多個 的單一 AWS 組織 AWS 帳戶 可以使用工業隔離帳戶和個別的 OUs AWS 帳戶來滿足實作此嚴格區隔的要求,並個別且仔細地設定帳戶之間的聯網 (個別 VPCs、傳輸閘道路由和網路檢查防火牆)。此方法提供將工業系統與雲端服務整合的安全基礎,同時維持 OT 環境固有的嚴格安全性和操作需求。透過實作此功能,組織可以利用 提供的可擴展性和進階服務, AWS 同時保留其關鍵工業操作的完整性、可用性和安全性。
理由
在專用於 IoT、IIoT 和雲端連線 OT 工作負載 AWS 的組織內建立單獨的 OU,有助於透過啟用與傳統 IT 環境的隔離來增強安全性。這種方法可讓組織:
-
直接將 AWS OT 安全原則和標準套用至環境。
-
適應 OT 和 IT 團隊之間的不同風險容忍度。
-
限制安全事件的潛在影響。
-
在 OT 和 IT 人員之間明確區隔職責。
當您使用 IoT IoT 、IIoT 和 OT 專用 OU 搭配隔離聯網時,使用不同的 VPC 組態來連接跨越多個帳戶的 VPCs,OU 應具有下列特性:
-
應同時為 IoT (或 OT 或 IIoT) 和工業隔離工作負載提供隔離的網路架構。
-
登陸區域內的 OT 或 IIoT 環境應設計為符合 ISA/IEC 62443 和 NIST SP 800-82 中針對工業控制系統和操作技術所述的安全要求。
-
工業隔離帳戶應充當 OT (或 IIoT) 環境與 IT 環境之間的專用安全周邊,並應遵循 NIST SP 800-82 網路分段和使用非軍事區域的指導方針。
-
登陸區域應具有在身分基礎設施中定義的隔離身分或角色,這些身分或角色與 IT 身分或角色分開。 您可以在 AWS 組織的執行個體內 AWS IAM Identity Center 實作這些做為個別的身分中心指派,以與 IT 環境平行管理 OT (或 IIoT) 和工業隔離帳戶資源的存取和許可。
-
登陸區域中的身分和存取管理政策應針對 OT、IIoT 和工業隔離元件的獨特需求和風險描述檔量身打造,這可能與傳統 IT 環境不同。
-
OU 也應託管有助於 OT (或 IIoT) 和 IT 網域之間安全通訊、遠端存取和資料交換的服務和資源,同時維持嚴格的存取控制和監控機制。
這種分離也透過整合可用的相關 IIoT 服務和功能 AWS IoT Core, AWS例如 AWS IoT Device Defender、 AWS IoT Device Management AWS IoT SiteWise、 和 AWS IoT Greengrass,進一步增強這些工作負載的安全狀態 AWS IoT TwinMaker。這些服務有助於提供專為 OT 和 IIoT 環境量身打造的安全連線、資料管理和分析功能。
例如,ISA/IEC 62443 標準定義了工業自動化和控制系統的安全需求,而 NIST SP 800-82 提供保護工業控制系統的指引,包括網路架構、遠端存取和修補程式管理的建議。透過使組織的專用 OT 部分的設計和組態符合 ISA/IEC 62443 標準和 NIST SP 800-82 指南,組織可以確保網路分割、存取管理和裝置強化等安全控制在其 AWS 登陸區域的所有元件中一致地實作。這可協助組織彌補傳統 IT 安全性與雲端連線 OT 和 IIoT 系統的特定需求之間的差距。
其他優點包括:
-
OT 和 IT 工作負載的隔離:分開OUs、 AWS 帳戶和聯網組態可以更好地隔離 OT 和 IT 工作負載,並確保安全、存取控制和資源組態可以根據每個網域的特定需求量身打造。這有助於降低交叉污染的風險、降低影響範圍,並確保解決 OT 和 IT 系統的獨特需求。
-
量身打造的組態:透過使用不同的 OUs、 AWS 帳戶和聯網組態,您可以獨立設定每個環境,以滿足 OT 和 IT 團隊的特定技術需求。這包括能夠套用不同的安全控制,例如網路 ACLs、安全群組和 IAM 政策,以及執行個體類型、儲存選項和備份/還原機制等資源層級組態。
-
顯示職責分離 (SoD) 的簡化管理和合規:維護單獨的 OUs AWS 帳戶,以及聯網組態可簡化 OT、IIoT 和 IT 環境的不同合規架構、安全標準和法規要求的應用。對於 OT 和 IIoT 系統,這可能包括符合 ISA/IEC 62443 和 NIST SP 800-82 等標準,這些標準對安全 OT 和 IIoT 系統設計、部署和維護有特定要求。相反地,IT 系統可能必須符合 ISO 27001 和支付卡產業資料安全標準 (PCI DSS) 等標準。
-
可擴展性和彈性:獨立 OUs、 AWS 帳戶和聯網組態可視需要擴展每個環境,而不會對其他網域造成意外影響。這允許更有效率的資源配置、測試程序和部署程序,這些程序專為 OT (或 IIoT) 和 IT 團隊的特定需求量身打造。
-
降低複雜性:將 OT 和 IT 環境分成不同的 OUs AWS 帳戶,而聯網組態有助於降低 AWS 基礎設施的整體複雜性,並讓您更輕鬆地獨立管理、監控和疑難排解每個網域。這可以提高營運效率並降低跨網域問題的風險。
-
專用工具和程序:OT (或 IIoT) 和 IT 團隊可能需要不同的工具、自動化指令碼和操作程序,才能有效地管理其各自的環境。個別OUs AWS 帳戶和聯網組態可實作專門的工具和工作流程,這些工具和工作流程已針對每個網域的獨特需求進行最佳化。例如,OT 或 IIoT 團隊可能需要特定的工業控制系統 (ICS) 監控和管理工具,而 IT 團隊則專注於傳統的 IT 管理平台。
-
改善災難復原和業務連續性:維護單獨的 OUs AWS 帳戶,而聯網組態可增強您的組織確保業務連續性和有效災難復原的能力。這對於 OT 和 IIoT 系統特別重要,相較於 IT 系統,這些系統可能具有更嚴格的運作時間和可用性需求。
安全考量
OT 或 IIoT 系統與雲端環境的整合,會帶來此功能旨在解決的潛在安全風險。主要是,它可以減輕 IT 和 OT 網路之間橫向移動的威脅,這可能會導致工業控制系統和其他重要 OT 工作負載的潛在危害。如果沒有適當的區隔,惡意意圖的威脅行為者若未經授權存取 IT 網路,可能會轉向 OT 網路,並未經授權存取關鍵 OT 系統,這可能會導致安全事件、生產停機時間或環境損害。
此外,此功能可解決 OT 環境中常見之唯一操作要求和舊版通訊協定的相關風險。許多工業系統使用缺乏內建安全功能的專屬或過時通訊協定,這使得它們在暴露於更廣泛的網路時容易遭到攔截、操作和入侵。透過提供單獨的 OUs AWS 帳戶、聯網組態和工業隔離帳戶,組織可以實作專為這些 OT 和 IIoT 通訊量身打造的適當通訊協定轉換、存取控制和監控解決方案,以減少攻擊面和未經授權的存取或資料外洩的可能性。
修復
資料保護
對延遲敏感的工業程序和即時控制系統可能會在雲端架構中固有的網路延遲較高時遇到困難,尤其是在透過廣域網路將 OT 或 IIoT 設備連線至遠端時 AWS 區域。此外,許多用於 OT 環境的工業通訊協定,例如 Modbus、分散式網路通訊協定 3 (DNP3) 和專屬 SCADA 通訊協定,並非以雲端連線為考量而設計。透過公有網路傳輸這些不安全且通常未加密的流量,會帶來重大的攔截、竄改和利用風險。為了減輕這些問題,請在透過廣域網路傳輸之前,為傳統工業通訊實作安全通訊協定轉換
身分與存取管理
為與 IT 系統分開的 OT 或 IIoT 存取管理建立專用 AWS IAM Identity Center 許可集和身分中心指派。 檢查 IAM Identity Center 指派中的疑慮或責任是否嚴格分離。設定 OT 或 IIoT 需求特有的 IAM 政策,並確保套用最低權限原則。實作強大的身分驗證機制,例如多重要素驗證,以存取雲端中的 OT 或 IIoT 資源。定期稽核和檢閱存取許可,以維護安全狀態。
網路安全
設計 OT 或 IIoT 網路架構,以符合 NIST SP 800-82 的分割和工業隔離實作指引。設定安全群組和網路 ACLs,以強制執行 OT (或 IIoT)、工業隔離和 IT 網路之間的嚴格流量控制。實作 AWS IoT 安全服務 AWS IoT Device Defender,例如增強連線工業資產的保護。建立安全的 VPN 或 AWS Direct Connect 連結,以便在內部部署 OT 網路與 之間進行通訊 AWS 雲端。定期執行網路安全評估和滲透測試,以識別和解決 OT 或 IIoT 網路架構中的潛在漏洞。
注意
在某些情況下,例如涉及關鍵基礎設施或高度管制或隔離的 OT 環境,或 OT 和 IT 團隊之間需要嚴格區隔,而沒有共同命令鏈的情況下,您可以為 IoT、IIoT 或 OT 工作負載部署具有登陸區域的個別 AWS 組織。在此部署模型中,您可以設定兩個不同 AWS 組織之間的選擇性網路連線。不過,此模型會複製身分和存取管理、組織管理、安全組態,以及記錄和監控活動的努力,而且只有在您無法使用具有 IoT、IIoT 或 OT 工作負載個別或專用 OUs 的單一 AWS 組織來滿足需求時,才應考慮此模型。
