思科工业4.0安全方案分析

简单看了一些思科的工业4.0方案，随手记录一些信息并简单分析，仅供参考。

总体来说，思科为工业自动化行业做了深度的定制，方案行业属性很强。

思科认为，随着IT，OT，云、IOT技术的融合，必须实现OT和IT的融合，思科的工业4.0安全方案，就是基于IT和OT融合的基本思路构建的。

方案的几个关键组件

1、Cyber Vision Cisco Cyber Vision is a cyber security solution. It monitors industrial automation assets and applications. It brings OT/IT convergence Cisco Cyber Vision gives you full visibility into your industrial control system (ICS), including dynamic asset inventory and real-time monitoring of process data. You now have the information to build secure infrastructures and maintain system integrity.
不仅仅是网络设备，也包含对工业自动化资产和应用的安全监控，能够监控工业自动化协议，了解通信矩阵，实现工业自动化网络的可视化，洞察网络和资产威胁。 显然这不是传统的数据通信产品，而是个行业定制产品，专门为工业自动化IOT环境定制的，通过它实现OT和IT的融合。 从思科的利益看，希望通过强竞争力的网络设备建立和工业自动化环境的粘性，实现整体方案，在这个市场占据优势。 和IND相比，这是个安全产品，发现威胁去除威胁。 IDN是网络管理产品，可视化，troubleshooting。

2、Stealthwatch Cisco Stealthwatch provides enterprise-wide network visibility and applies advanced security analytics to detect and respond to threats in real time.
从描述上看，Stealthwatch是个正旺的大数据分析平台，可视化平台，实现网络可视化，高级安全分析，探测并实时响应威胁。

3、Industrial Network Director (IND） The Cisco IND provides operations-centric network management for industrial Ethernet networks.
从描述上看，是个管理系统，专门为工业以太网定制，不仅仅管理以太网交换机，也能看到交换机连接的工业设备，实现全面的可视化，利于troubleshooting。

4、Identity Service Engine（ISE） Cisco ISE is a security administration product that enables an OT-IT security administrative team to create and enforce access level security policies.
园区方案的控制器，更准确的来说是安全管理产品，基于身份服务等信息创建实施安全策略。

一些小功能亮点

这张图透露了思科针对工业自动化控制系统的行业定制，IND和 Cyber Vision都主动去感知网络里的IACS设备，只是方法略有不同，IDN是主动扫描方式，Cyber Vision是监听流量事件方式。
感知的价值，在于部署的自动化，避免手工配置。

数据面安全策略的实施

segmentation，是主要的安全策略，主要基于SGT，即带在报文中的扩展标签，这个标签就是分组的标识，所有的网络安全策略都基于此。

安全威胁的检测，主要基于stealthwatch，交换机的Netflow，Cyber Vision的探针（sensor）

下图是思科认为工业环境中的安全挑战，以及解决方案是如何解决这些挑战的

1、老旧的系统，这个对应方案没看到
2、不安全的设计（缺少隔离） 这个有对应方案，就是数据面的Segmentation，基于SGT标签的通信策略。
3、OT安全技能不足。这个对应的方案是IT和OT融合，Cyber vision和IND，都是OT和IT融合的工具
4、缺乏可视化，通过Cyber Vision ，IND、StealthWatch在不同层面实现了可视化
5、访问控制挑战， 通过ISE实现
6、改变控制，24/7/365操作， 对应的方案就是方案的自动化。
7、商业需求实时信息。 通过netflow，Cyber vision的sensor提供实时信息

总结一下这个方案的能力和特点
1、通过引入Cyber Vision，实现了对工业自动化设备的可视化，安全威胁感知。
2、通过引入IND，实现了对工业以太网和所连接的工业设备的全面可视化，提升trouble shooting能力。
3、上述两项实现了OT和IT的融合，不仅仅是网络方案，已经把工业设备的网络和安全属性管理起来了，因此形成了整体方案，不是瘸腿方案。
4、stealthwatch和ISE是传统园区解决方案的组件，分别实现了基于大数据的网络可视化安全威胁分析，ISE是策略控制器，基于身份的策略引擎，实现访问控制认证接入这些能力。
5、对工业自动化设备IACS设备的自动发现，免人工配置，比如自动扫描，主动监听等方式，这是大规模运营的关键
6、安全策略的实现，在数据面上，还是基于SGT，扩展组标签，应该是VXLAN头里的扩展，实现在同一VLAN内部的细粒度segmentation。

对思科工业4.0安全方案的进一步理解

1、解决方案的关键点，在于增强管控平面。一个解决方案的架构设计，来源于使用环境的需求和挑战，在工业自动化环境里，需求是越来越多的传感器，控制器接入了工业互联网，或者说是物联网。 其实从数据面的角度看，通信需求是互联网连接的一个很小的子集。物联网的数据面，很难出现挑战性的通信需求。 需求和挑战在控制面和管理面，如何保证安全，如果实现海量设备的自动化入网，实现海量设备的可视化，可视化之后才谈得上管理它，才能实现网络的安全性。 因此，工业物联网的关键需求，或者目标，是实现自动化，可视化，可管理的架构，在此基础上保证工业物联网的安全。

2、数据面的方案，只是互联网方案的小小子集，不值一提。数据面的方案其实很简单，只有SGT一个技术。整个解决方案的关键组件，都是管理和控制面的，Cyber Vision，Stealthwatch，IND，ISE。

3、OT和IT融合斯克没有能力实现，更多是IT的OT属性增强。思科标榜的解决方案的另一个关键点，是OT和IT的融合，这是从实际场景出发的需求，OT设备和IT设备在同一个生产环境，融合是自然的需求，所以思科的方案中看，不管是Cyber Vision还是IND，都体现了OT和IT融合的思路，Cyber Vision，是可以监控网络中所有工业自动化控制设备的，IND也是可以扫描连接的工业设备的。 不过，思科毕竟还是网络设备厂家，所谓的融合，也只是从网络的视角看，也就是说能看到工业终端的三层及以下信息，IP地址，MAC地址，辅助的类型和厂家信息等。这些终端的业务，并没有融合，比如西门子的工业控制设备，还是需要西门子的业务系统去控制，这是毫无疑问的。 所以，所谓的融合，只是L3以下的融合。或者说IT部分的辅助信息增强而已。

本文地址：https://blog.csdn.net/weijiahongsz/article/details/109639604