Sécuriser l'IoT industriel :un guide pour choisir votre architecture

Alors que les organisations connectent de plus en plus les réseaux de contrôle industriel à l'environnement informatique, aux applications cloud et aux travailleurs à distance, l'espace créé par la zone démilitarisée (DMZ) s'érode et de nouvelles façons de sécuriser les réseaux de technologie opérationnelle (OT) doivent être déployées.

Une solution de sécurité doit prendre en compte les besoins à la fois de l'IT et de l'OT, en fournissant une sécurité robuste sans augmenter les frais généraux opérationnels ou la complexité du réseau. Pour choisir la meilleure solution pour votre organisation, vous devez comprendre les implications des différentes architectures de sécurité à votre disposition. Dans cet article, nous présentons un guide pour sélectionner la bonne architecture pour sécuriser l'IoT industriel.

Commencer

La première étape pour sécuriser un réseau IoT industriel est d'obtenir de la visibilité. Vous devez comprendre quels appareils sont sur le réseau, ce qu'ils communiquent et où vont ces communications. Cependant, les réseaux de contrôle industriels traditionnels n'ont pas été conçus pour fournir ces informations.

Heureusement, la technologie permettant d'obtenir une visibilité sur le réseau est disponible aujourd'hui. L'inspection approfondie des paquets (DPI) décode tous les flux de communication et extrait le contenu des messages et les en-têtes de paquets, offrant la visibilité nécessaire pour comprendre quels appareils vous devez sécuriser et ce qu'ils communiquent. Non seulement cela vous permet de créer les bonnes politiques de sécurité, mais cela vous donne également la possibilité de détecter des comportements anormaux tels que des commandes illégitimes vers des machines qui pourraient avoir des effets désastreux.

Choisir votre architecture

Lors de la collecte de paquets réseau pour effectuer des DPI, les fournisseurs de solutions de sécurité utilisent généralement l'une des deux architectures suivantes :

1. Configurez les commutateurs réseau pour envoyer le trafic vers un serveur central qui exécute le DPI
2. Déployer des appliances de sécurité dédiées sur chaque commutateur réseau

Bien que les deux approches puissent offrir une visibilité sur le réseau, elles créent également de nouveaux défis. La configuration des commutateurs réseau pour envoyer le trafic vers un serveur central nécessite la duplication des flux réseau, ce qui peut être complexe et coûteux. La congestion supplémentaire du réseau peut également créer une latence du réseau, souvent un compromis inacceptable.

Le déploiement d'une appliance de sécurité résout les problèmes liés à la duplication du trafic réseau. L'appliance collecte et analyse le trafic réseau au niveau du commutateur et envoie uniquement des métadonnées à un serveur pour une analyse supplémentaire. Cependant, une visibilité totale nécessite l'installation, la gestion et la maintenance d'un matériel dédié pour chaque commutateur du réseau. Cela peut rapidement entraîner des problèmes de coûts et d'évolutivité. Et pour être efficace, la sécurité nécessite une visibilité totale. Même laisser un interrupteur « dans le noir » présente un risque.

Une approche alternative

Il existe un meilleur moyen d'obtenir une visibilité complète du réseau et une troisième approche architecturale :déployer des commutateurs de qualité industrielle avec une capacité DPI native. Cela élimine le besoin de dupliquer les flux réseau et de déployer des appliances supplémentaires. Pour obtenir une visibilité et des fonctionnalités de sécurité, il suffit d'activer une fonctionnalité dans le commutateur. Les coûts, le trafic et les frais généraux d'exploitation sont tous minimisés.

L'intégration de DPI dans le commutateur réseau offre des avantages uniques à la fois aux TI et aux OT. Le service informatique peut tirer parti de ses compétences existantes pour sécuriser le réseau OT sans avoir à gérer du matériel ou du trafic réseau supplémentaire. OT peut obtenir une visibilité sur les opérations qu'il n'a jamais eu auparavant, car l'ensemble du trafic du réseau industriel peut désormais être analysé, fournissant des informations analytiques précieuses sur les systèmes de contrôle.

Lorsque vous évaluez les solutions de sécurité OT, soyez conscient de leurs implications architecturales. Pour simplifier le déploiement et le rendre évolutif, la meilleure option consiste à intégrer des fonctionnalités de sécurité dans le commutateur. Cela nécessite un équipement réseau doté de capacités de calcul industrielles. Recherchez des commutateurs compatibles DPI conçus pour l'IoT industriel.

C'est l'approche que nous avons adoptée avec Cisco Cyber ​​Vision. Il s'appuie sur une architecture informatique de pointe unique qui permet aux composants de surveillance de la sécurité de s'exécuter au sein de notre équipement de réseau industriel, offrant ainsi une visibilité, des informations opérationnelles et une détection holistique des menaces pour l'environnement OT.

Les avantages de Cisco Cyber ​​Vision ne se limitent pas aux organisations disposant de réseaux Cisco - le capteur est également disponible dans l'appliance Cisco IC3000 qui analyse le trafic à la périphérie en se connectant à vos anciens périphériques réseau. Cela offre une flexibilité de déploiement maximale pour répondre à vos besoins avec votre réseau existant, tout en vous laissant le temps de remplacer les anciens commutateurs par un équipement réseau compatible DPI capable de voir tout ce qui s'y rattache.

Si vous souhaitez en savoir plus, consultez le livre blanc « Une approche d'architecture périphérique pour la sécurisation des réseaux IoT industriels », dans lequel nous explorons plus en détail les trois architectures de sécurité présentées ici et comment l'intégration de DPI dans le commutateur réseau répond aux besoins de à la fois IT et OT.