工业物联网与网络安全
近年来,网络设备的可用性显著增加。 随时随地的访问使得各种事物联网成为可能,从关键的健康监测设备和自动驾驶汽车到恒温器、健身追踪器甚至水瓶。 新型物联网 (IoT) 设备的热潮才刚刚开始。
天然气管道沿线的传感器。 皮下血糖监测仪。 安全和监控系统。 车辆、货物和包裹跟踪。 智能设备相互对话以及与我们对话的世界已经成为现实。 物联网以及制造业、医疗保健、交通运输和许多其他行业中的垂直工业物联网 (IIoT) 的影响正在不断上升。 然而,获得物联网和工业物联网的商业回报将取决于我们设计和构建网络基础设施的能力,该基础设施能够成功管理和保护随着工业物联网中越来越多东西的出现而产生的大量数据。
无论您是服务提供商还是企业 IT 部门,您都可能已经必须应对伴随 IoT 和 IIoT 增长而来的联网设备、应用和数据的爆炸式增长。 正如“自带设备”改变了工作场所和企业移动性(更不用说用户对更快、更可靠地访问应用程序的期望)一样,物联网将影响我们日常生活的几乎每个方面。
在某些行业,进步的企业已经在使用 IIoT 来增强客户服务、提高现场资产的利用率、减少制造和运输延误等等。 借助工业物联网 (IIoT) 解决方案,企业运营和制造业领导者越来越依赖于事物生成的数据,并由日益智能的系统根据这些数据采取行动,这些系统每天执行数百万个决策。 因此,IIoT 实现了新的商业模式,并重新关注生产力、灵活性、效率和安全性等关键因素。
然而,工业物联网的发展也带来了一系列挑战,包括对设备、数据和物理基础设施的威胁;未经证实的法规和定义不明确的标准;以及实施不力的隐私、加密和身份验证政策。 这些问题以及其他一系列问题在很大程度上仍未得到解决,我们看到早期迹象表明,在健全的解决方案尚未完全建立之前, IIoT 可能会变得普遍。
这些担忧与最近围绕云计算的担忧并没有什么不同。 在这种情况下,消费设备是重点,服务提供商必须努力寻找新方法来提高运营效率并更好地管理基础设施——为自己和客户。 利用这种强大力量的挑战不仅在于管理混合物理和虚拟实体以产生大量数据的分布式基础设施;组织还必须理解这些数据,以便优先处理流量并优化应用架构本身。
物联网市场的规模和不断增长的新设备数量可能会超越我们所见过的任何规模。 这些设备及其支持生态系统故障的后果各不相同,从简单的烦恼到严重的破坏,例如针对用户支付信息的安全漏洞。 因此,连接、管理、监控和货币化这些设备并安全传输其数据的底层网络基础设施将需要受到充分关注。
根据定义,物联网是指通过互联网连接现实世界的传感器和执行器的一组设备和系统。 但实际上,这包括许多不同类型的系统,包括以下系统:
- 智能手机和平板电脑,尤其是用于控制远程设备/系统的智能手机和平板电脑
- 智能电表(用于水电等公用设施)和智能对象
- 可穿戴设备,包括服装、医疗植入物、智能手表和健身设备
- 联网汽车
- 资产跟踪和管理
- 家庭自动化系统,包括恒温器、照明和家庭安全
- 测量天气、交通、海洋潮汐、道路信号等的传感器
- 连接的制造元素,包括卡车和装配线传感器、机器人、仪表等。
在整个 IIoT 系统中,连接通常分为 M2M(机器对机器)或 M2P(机器对人)。 在这两种情况下,这些系统都以与传统设备通信相同的方式连接到互联网或网关,甚至还有更多功能。 这包括使用 IP 协议(TCP/UDP,包括蜂窝)的长距离 Wi-Fi/以太网;短距离、低能耗蓝牙;短距离近场通信 (NFC);以及其他类型的中距离无线电网络,包括点对点无线电链路和串行线路。
在这些选项中,一些设备通过标准 IP 协议(如 IPv4/IPv6)连接,而其他设备则需要为 IIoT 构建的更专业的、特定于数据的协议。 某些协议(例如消息队列遥测传输 (MQTT) 和高级消息队列协议 (AMQP))不使用 HTTP 而是仍然基于 TCP/IP,而其他协议(例如受限application协议 (CoAP))则试图通过优化专门针对 M2M 通信的子集来最大限度地减少 HTTP 的影响。
MQTT 是最常用的协议之一,可以在一系列现代 IIoT 解决方案中找到。 该发布/订阅消息传递协议最初由 IBM 开发,专为轻量级 M2M 通信而创建,现已成为一种开放标准。 在发布/订阅系统下,信息提供者(发布者)不会直接链接到该信息的个人消费者(订阅者)。 相反,发布者和订阅者之间的交互由网关或接收者(称为代理)控制。 通过这种方式,设备能够向 MQ 代理发送非常短的消息,然后代理将该信息传达给其他设备。 在这种模型中,客户端(例如,执行器)订阅各种主题,当消息发布到该主题时,他们会收到该消息的副本(见图 1)。
如您所见,该模型允许 MQTT 客户端(通过代理)进行一对一、一对多和多对一通信。 当然,客户端可以包括从简单开关到智能手机应用程序的所有内容。 例如,对于连接的仓库恒温器,现场管理员通过移动应用程序通过站点的 TCP/IP 网络上的 MQTT 与恒温器进行通信(发送指令并接收实时和历史温度读数)。 (有关 MQTT 的更多技术检查,请参阅“物联网环境中的 F5 BIG-IP MQTT 协议支持和用例”。)
没有任何单一架构能够满足所有潜在的 IIoT 设备及其要求,因此对于服务提供商和企业 IT 组织来说,部署可扩展的架构至关重要,这些架构可以增加或减少资源,以支持现在和将来的各种场景。
对于联网设备的数量和传输的数据量的估计各不相同,但毫无疑问,这些数字将是巨大的:
- 据Business Insider报道,到2020年将有340亿台设备连接到互联网。 物联网设备将占240亿,而传统计算设备(如智能手机、平板电脑、智能手表等)将占100亿。
- 思科报告称,到 2020 年全球 IP 网络将支持 263 亿台设备和连接。 这相当于每人拥有 3.4 台设备和连接。
- 据思科预测,到 2020 年, M2M 连接数预计将达到 122 亿(占所有联网设备的一半);而几乎一半的 M2M 将来自联网家居设备。
- IDC预测,到2025年,全球物联网终端数量可能将超过800亿个。
由于需要越来越多的应用来运行所有这些东西,规模和可靠性等传统基础设施问题将变得越来越重要。 除此之外,身份和访问方面的其他挑战、改善最终用户或订阅者的体验以及更快提供服务的需求可能会让 IT 部门不堪重负。 显然,世界需要一个强大、可扩展且智能的基础设施,能够处理不久的将来的大规模流量增长。
正如最近的攻击所显示的那样,物联网有可能在整个系统中造成漏洞,使安全比以往任何时候都更具挑战性,也更为重要。 或许最臭名昭著的物联网安全漏洞案例是,2016 年,KrebsOnSecurity 遭受了当时创纪录的 620 千兆位每秒的 DDoS 攻击,该攻击由 Mirai(由数千台不同的路由器、摄像头和其他物联网设备组成的僵尸网络)发起。 几个月后,一个名为Hajime 的竞争对手(恶意程度远低于该僵尸网络)感染了至少 10,000 台设备,向受感染的设备发出命令和更新,以保护它们免受 Mirai 之类的攻击。 虽然这些有据可查的攻击主要集中在安全性较差的设备(如闭路电视摄像机和消费技术)上,但其对工业物联网的影响却是重大的。 类似的攻击,即使规模较小,如果能够进入正在运行的 IIoT 环境,也可能产生非常严重的影响。 (有关物联网威胁的详细信息,请下载F5 实验室的完整威胁分析报告。)
毫不奇怪,在这种威胁形势下超越攻击者并将风险降至最低需要大量资源。 服务提供商和企业 IT 组织都需要继续加强自己的基础设施,并寻求 DDoS 缓解等云服务来减轻攻击的影响。 为了确保强大的安全性、智能路由和分析,多个网络层必须能够流畅地使用设备使用的语言。 了解网络内的这些协议可以确保流量的安全、确定流量的优先级并进行相应的路由(见图 2)。
最终,确保 IIoT 服务的高可用性依赖于强大的自动化、管理和编排功能。 良好的网络管理必须支撑业务连续性,以降低风险并防止潜在损失。 从项目规划的角度来看,监控功能使组织能够监控网络增长并快速分配资源,这对于满足 IIoT 设备不断增长的需求至关重要。
