Skip to main content

智慧電網需要祕密身份,讓我們告訴您原因

許多年來,專家們不斷指出智慧電網很容易受到網路攻擊與其他弱點的影響。但改正這種情形的進展十分緩慢,傳統的 IT 解決方案也難以保護這些系統。

我們來看看能源供應商層面。在部署智慧電網技術時,他們必須為四處分散,並混合了現代與舊式 SCADA 的系統進行連結與分段。通常來說,每個廠區都有不同的管理介面與硬體,並各自具有特定的網路組態限制。因此,供應商很難為他們的關鍵基礎架構保持安全,並提供支援和維持作用。

他們面對的問題還包括不同廠區使用的不同設備,以及重疊的 IP 位址空間,這使設置、監控,以及支援都更加困難。此外,某些特定區域僅能透過無線電波連結,受到干擾便可能導致可靠性問題。

身分定義網路 (Identity-Defined Network, IDN) 就是一種可能有所作用的解決方案類型。在我們瞭解特定解決方案內容前,先讓我們瞭解為何傳統 IT 技術無法滿足智慧電網或其他關鍵部署的擴充性與安全性需求。

比較 OT 與 IT 技術,獲得可擴充的安全智慧電網

一直以來,大部分的工業系統都缺乏驗證和加密等基礎安全性控制。營運技術 (OT) 與資訊技術 (IT) 系統各自獨立,各自使用不同的網路協定。此外,OT 系統無法像 IT 端點一般執行端點安全軟體。

隨著智慧電網部署與其他基礎架構環境的趨勢轉向於結合 OT 與 IT,主要的挑戰是如何安全地連接與分段這些系統。防火牆、虛擬私有網路 (VPN)、存取控制清單 (ACL)、虛擬區域網路 (VLAN),以及行動數據機等常見的 IT 技術無法勝任這樣的工作。這些技術不是為了 OT 系統所設計,且在部署與管理方面都過於複雜和昂貴。因為無法有效保持安全與分段,會使電網出現弱點。

此外,許多組織都有分散各地的偏遠廠區,處於極度嚴苛的環境,所能使用的連線選項有限。在許多情況下,為這些偏遠廠區購買並部署結合防火牆、VPN、行動數據機,或是微波無線電的技術是不可行的,不但取得成本過高,跨所有廠區設定分段連接性所需的時間也太長。

進入身分定義網路

這些挑戰阻礙了智慧電網的擴充性與安全性。為了解決這些障礙,IDN 提供即時覆蓋網路,可在傳輸過程的所有階段為任何端點連接、遮蔽,以及保持安全,無需修改底層基礎架構。

不需要使用複雜的工具組合與技術,IDN 讓能源企業透過運用端對端加密能力,實現遮蔽 LAN 和 WAN 的微分段(圖 1)。這提供可快速連接和撤銷如行動數據、乙太網路,或 Wi-Fi 等特定系統的遠端存取。

圖 1. 身分定義網路 (IDN) 可在邊緣到雲端間運作,並可隔離與加密網路中的各個元件。(資料來源︰Tempered Networks

IDN 可透過使用標準的網際網路,以免除老舊的無線電傳輸、昂貴的 MPLS 線路,以及私有 APN,同時解決 IP 位置的問題與衝突。最後,還可以運用集中化的單擊網路管理,簡化傳統的複雜網路。

IDN 技術原本是為了 Boeing 所開發,用於保護其製造工廠內的行動工具網路連線。工具系統原本是由 ICS/SCADA 系統控制,並透過 Wi-Fi 通訊,這是很容易受到攻擊的面向。此公司開發了以主機身份通訊協定 (Host Identity Protocol, HIP) 為基礎的解決方案,這是一種由 IETF 核准的開放網路安全性通訊協定。

HIP 會分隔 IP 位置的端點識別碼以及定位碼角色,並提供更具彈性的網路,以及更安全的主機身份命名空間。這為網路帶來了原生的安全性與機動性,不需變更現有的基礎架構。除了透過端對端加密自然獲得安全保障以外,這也對所有以 IP 為基礎的網路、應用程式,或資源具有回溯相容性和未來相容性。

遮蔽能力對關鍵基礎架構安全性的優點

IDN 的遮蔽特色十分值得討論。在建立 TCP 工作階段之前,組織可以透過要求基於受信任機器身分的驗證與授權,遮蔽關鍵系統與端點。因此,不具有可驗證機器身分的未受信任裝置,將無法探索網路上的遮蔽裝置,也無法與其通訊。

因為授權與驗證的程序發生在建立傳輸和交換任何檔案之前,受到 HIP 服務保護的主機與機器可有效地遮蔽,不受未經授權的機器探查。如 Nmap 等掃描工具無法探索到任何監聽連接埠,代表攻擊者將無從開始網路攻擊狙殺鍊的第一步(圖 2)。

圖 2. 無法由身份定義網路開始網路攻擊狙殺鍊的第一步,因為對下層網路來說,端點為不可見的。(資料來源︰Tempered Networks

因此,IDN 使用者可以遮蔽關鍵基礎架構,不受威脅行動的偵查,可防範分散式阻斷服務 (DDoS)、中間人攻擊 (MiTM)、命令與控制、IP 位址欺騙,以及其他類型的網路與傳輸層攻擊。

這種分段類型與透過私有區域網路所能達成的不同,可包括實體/虛擬/雲端環境中的南北向或東西向資料流量。IDN 基於可驗證的機器識別碼進行分段,而不是可能具有欺騙性的 IP 位置。可透過線路輸入或直接將 HIP 安裝在主機上,將其部署於盡可能接近資源的位置,並提供跨南/北和東/西方向的分段功能。

不同於這種方法,防火牆和軟體定義網路 (SDN) 會根據 IP 位置、VLAN,及/或連接埠定義存取限制,避免南/北和東/西方向的橫向移動。這些解決方案根據暫時性的 IP 位置範圍定義原則執行與分段,導致組織暴露於 IP 欺騙與 VLAN 遍歷的風險之中。此外,隨著數以千計的 IP 資源不停地在新增、移動,以及變更,連接埠經常會發生設定錯誤,或遭到遺忘並保持啟用。這導致維持強固的防火牆與 SDN 分段十分困難,尤其在大規模的情況下。

廠商與顧問的回應方法是在網路的更深處加入更多防火牆,無論是作為獨立單元或是 SDN 解決方案的一部分。這種方法在購買、人員,以及複雜度方面的成本都十分可觀。

將 IDN 與 HIP 整合至關鍵基礎架構的網路安全性之中

Tempered Networks 擁有更好的方法。他們的解決方案將平台上的 IDN 商業化,強調簡單易用,以克服 IT 複雜度。舉例來說,HIPswitch* 系列網路交換平台可在敏感的網路資源週邊提供身分定義防護。透過線路輸入部署,避免未經授權的探索與通訊,並保護系統的南/北和東/西通道。

HIPswitch 產品系列包括適合智慧電網等邊緣應用的工業級 HIPswitch 100 系列工業物聯網邊緣閘道,提供乙太網路與乙太網路加行動數據的連線能力。 100 系列為無法保護自身的機器支援一對一或一對多組態,並可作為預先佈建系統,以供非技術員工部署(圖 3)。

圖 3. HIPswitch 100 系列工業物聯網邊緣閘道支援乙太網路或乙太網路加行動數據連線,為寶貴的智慧電網系統提供線路輸入的加密與分段。(資料來源︰Tempered Networks

針對智慧電網系統的資料中心分段,亦有 HIPswitch 500 系列產品可供選擇,可作為具有 IDN 功能的聚合點(圖 3)。500 系列支援高可用性 (HA) 與 SFP/SFP+ 擴充模組,提供關鍵應用程式的擴充性與故障備援(圖 4)。

圖 4. HIPswitch 500 為實體與虛擬伺服器提供加密與分段功能,同時具有加倍功能,可作為身分識別網路 (IDN) 聚合器。(資料來源︰Tempered Networks

這些平台受 Tempered Networks Conductor 支援,這是一種協調引擎,可為所有分散式 HIP 服務管理政策,並透過網路提供簡單的控制。

在 OT 和 SCADA 之上更進一步

總而言之,IDN 不會受到使用 IP 位置進行身分認證及定義哪些系統可以彼此通訊的限制。HIP 解決了兩種會影響所有其他競爭網路與安全性產品的基礎缺陷︰無法在交換資料之前為兩個或更多端點驗證與授權網路連線,以及使用可能具有欺騙性的 IP 位置作為裝置識別碼,以定義 LAN/WAN 連線、分段,以及存取權限。

但 IDN 解決方案確實能提供比 OT 和 SCADA 網路更多的支援。這種解決方案提供了一致的方法,可從物聯網邊緣到雲端平台,為機械和裝置進行微分段及保證安全性。同時,安全性可透過以單一網狀架構為基礎的網路架構延伸到所有環境,從現場資料中心、雲端、幾乎所有的用戶端裝置,到機器人、IP 攝影機,或是感應器等物聯網元素。

作者簡介

Richard Nass’ key responsibilities include setting the direction for all aspects of OpenSystems Media’s Embedded product portfolio. Previously, he was the Brand Director for UBM’s award-winning Design News property. Nass has been in the engineering OEM industry for more than 25 years. In prior stints, he led the Content Team at EE Times, and the TechOnline DesignLine network of design engineering websites. Nass holds a BSEE degree from the New Jersey Institute of Technology.

Profile Photo of Rich Nass