Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

運用 Cloudflare One 保護 IoT 裝置

Loading...

您家中可能有些不安全的裝置會帶來安全漏洞,您的辦公室可能也有,連您孩子的學校可能都會有。如攝影機、印表機、喇叭、門禁讀卡機、自動溫度控制器,甚至是心率感測器等,這些裝置都是或可以作為物聯網 (IoT) 裝置。這些 IoT 裝置完美地融入我們的現代生活以提高效率和對環境的控制,但眾所周知,它們並不安全。這是由於這些裝置的硬體具有一定的限制性以及運算能力有限,從而經常導致存取控制能力降低、採用硬編碼密碼以及無法進行遠端修補。

這種威脅的影響力可能非常大。2016 年 Mirai 機器人網路攻擊駭客利用數百萬部 IoT 裝置組成一個大規模的機器人網路,能夠發起多次 DDoS 攻擊,導以 2016 年 Mirai 機器人網路攻擊為例,致很多重要的網站癱瘓,其中包括 Twitter、Guardian 和 CNN。此類攻擊經常發生。Cloudflare 在 2021 年 3 月親身體驗到這類攻擊,當時我們一個潛在監視器供應商 Verkada 遭到網路入侵。駭客利用 Verkada 內部的支援工具來遠端管理監視器,並嘗試橫向入侵網路上的其他裝置。值得慶幸的是,Cloudflare 使用 Zero Trust 模式來防止駭客橫向移動。所以該事件只影響到監視器,沒有造成其他損失。

即使我們沒有受到影響,但是我們也將安全事件視為一種挑戰,並努力改進我們的安全產品。我們曾自問:我們是否能夠運用自家的產品來保護 IoT 裝置 — 即使是在與生產系統相同的網路上,確保隔離這些不安全裝置導致的任何漏洞?藉助 Cloudflare One,答案是肯定的。

現今的解決方案:以複雜方式實現安全性

Zero Trust 模式

如前所述,因為使用了 Zero Trust 模式,所以 Cloudflare 沒有受到 IoT 漏洞的影響。如果環境因素適合 (如在 Cloudflare 辦公室),企業網路可以使用 Zero Trust 模式進行隔離。因為存取網路上的任何其他裝置都需經過身份認證,所以這可以防止橫向移動。鑑於 IoT 裝置本身並不是孤立的,特別注意要將所有其他網路入口設定在 Zero Trust 後。

但是,並非所有環境都有辦法嚴格控制。以資料中心為例,由於存在其他供應商、複雜的老舊生產網路和許多機器對機器連線,這表示在安裝 IoT 裝置 (例如:門禁讀卡器或攝影機) 時,無法提供像我們辦公室一樣的 Zero Trust。隨著環境日益複雜,想要成功部署 Zero Trust 模式,來防止 IoT 裝置的橫向移動只會變得更加困難。

VLAN

許多企業利用頻外網路或 VLAN 將 IoT 裝置部署在與生產環境完全分離的網路。雖然 VLAN 在第 2 層級建立隔離,但需要使用上游路由介面的存取清單來限制第 3 層級的流量。許多網路管理者想要增加設定來進行更嚴格的保護,例如:輸入和輸出流量的存取清單,以及成功和拒絕連線的紀錄。管理這些存取清單很容易就變得非常複雜,因為每個新的網路都需要另外保護、修補和偵測。

如果設定不當,VLAN 的安全保障就很容易遭到破壞。以一個擁有兩個獨立 VLAN 的網路為例,如果存取清單沒有同步套用到兩個交換器上,那麼一個 VLAN 上的裝置遭到入侵,漏洞很容易就會轉移到另一個 VLAN 上的裝置。雖然網路管理者可以在每個交換器都使用私有 VLAN,但這會讓它變得更加複雜。

想要成功部署 VLAN 來防止橫向移動,從存取清單規則到每個站點的裝置類型都要保持一致的設定與架構。隨著站點增加和環境足跡擴大,挑戰性會變得更大。

Cloudflare 解決方案

我們使用自己的產品來隔離裝置,無需部署在別的網路。如此可以提供安全保證且不需額外的硬體。這是一種無伺服器、無基礎結構的網路隔離解決方案。

如何做到?硬體裝置 (我們進行概念驗證時以 Verkada 攝影機為例) 連接到一台 Power over Ethernet 交換器,該交換器被設定成透過 Anycast GRE 將其流量傳輸到 Cloudflare 全球網路。我們可以從 Cloudflare 儀表板配來撰寫輸出規則,確保流量去到正確的地方,以此來防止橫向移動。

採用這種架構,網路管理者可以將原則即時套用在輸入和輸出流量,從而在儀表板上控制第三層級以上的流量。該架構提供設定一次就一勞永逸的解決方案,可以適應不斷變化的環境:讓保護與供應商無關、使用通用標準,並且自動收集事件記錄。與其他橫向移動保護相比,Cloudflare 提供了安全管理 IoT 裝置環境所需的卓越便利性、適應性和安全保障。

Zero Trust VLAN Cloudflare One
透過適當的設定來防止橫向移動
無需硬體
自動記錄
隔離 IoT 裝置
單點設定
增加裝置不會變得更複雜
裝置無關
CF 網路的速度和效能優勢

接下來呢?

在 2021 年第四季度,我們委託一個值得信賴的滲透測試合作夥伴對此設定進行測試,他們複製了一部試圖從 Cloudflare One 架構背後移轉到生產網路的惡意裝置。結果它無法橫向移動,這證實這個架構是有效的。

鑑於此架構已經過測試,我們將開始在內部的資料中心正式採用 Cloudflare One 作為實體安全提案的一部分,以保護我們最值得信賴的資產的安全。

卻進一步了解您的企業應如何使用 Cloudflare One,請與我們銷售團隊聯繫。

我们保护 整个企业网络, 帮助客户高效构建 互联网规模应用, 加速一切 网站或互联网应用 , 抵御 DDoS 攻击, 阻止 黑客, 并可帮助您踏上 Zero Trust 之旅

从任何设备访问 1.1.1.1, 使用我们的免费应用加速和保护您的互联网。

如需进一步了解我们帮助构建更美好互联网的使命,请从 这里 开始。如果您正在寻找新的职业方向,请查看 我们的空缺职位

Cloudflare One (TW) Cloudflare Zero Trust (TW) Zero Trust (TW) 產品新聞 (TW) IoT (TW)

Follow on Twitter

Derek Chamorro |@theredinthesky
Cloudflare |Cloudflare

Related Posts