在物联网时代实现安全的数据中心

加密和安全数据中心

IT管​​理员必须考虑的一个领域是，他们将如何管理基于数据中心中的应用程序传输的未加密数据，该数据中心的功率或与IoT小工具集成在一起。物联网设备处于不利地位，因为它们默认情况下不会加密数据。加密是物联网制造商通常在设计运行小电池和弱处理器的移动设备时没收的，这可能会对您对安全数据中心的希望产生严重影响。很多时候，物联网制造商只是假设从设备中收集的数据价值低，至少对他们来说是合理的，他们只能跳过安全控制。

这样的感知是不正确的。所有数据都有与之相关的一定程度的责任。安全人员需要对每个应用程序进行评估，并了解传输信息的影响。很难承担入侵者的动机。例如，攻击者可能希望针对制造运营物流的元数据。有关叉车移动的信息对于希望破坏制造业务的攻击者可能很有价值。另一个潜在的有价值的特罗夫（Trove）可能是高管习惯周围的元数据，以量身定制更好的网络钓鱼尝试。

从物联网设备加密网络流量的策略将有助于限制入侵者从清晰的文本通信中收集有价值信息的能力。最好的选择是让IoT设备本身支持基于主机的加密。但是，鉴于物联网缺乏标准以及加密所需的处理和电池的开销，在物联网通信方面，端到端加密不太可能是一种选择。

一种替代方法是加密网络边缘的物联网数据。做这件事有很多种方法。一个简单的选择是建立一个ipsec物联网虚拟局域网之间的隧道（Vlan）和数据中心。另一个变体是创建将物联网流量分离到单独的虚拟可扩展LAN（VXLAN）上的叠加层。这种方法的一个主要假设是，所有的物联网设备都将位于单独的VLAN上。为了执行这样的策略，组织应考虑部署某种形式的网络访问控制（NAC）防止未经授权的物联网设备连接到非iot VLAN。

NAC并不总是实用的，甚至不可用。另一个选择是将您的物联网应用程序隔离到单个数据中心VLAN中。隔离服务器是一种类似的方法。该选项今天用于创建高安全区域支付卡行业（PCI）数据。可以创建一个路由策略来加密所有路由到IoT安全区域的数据 - 类似于将所有定于PCI安全区域的清晰文本数据加密的策略。

流氓物联网用户

Rogue Internal IoT用户更加困难的威胁。组织面临的挑战之一是通过非技术措施执行安全政策。给定的是，要拥有一个安全的数据中心，应该有书面政策来决定使用物联网的使用和一个可确保对物联网设备的物理访问的成熟程序。与所有政策一样，设备受到损害或授权最终用户打算进行恶意活动时面临挑战。

第一层的防御应始终是基于应用程序的访问控件。该应用程序应确保身份验证的用户拥有适当的权利，可以在系统上执行任何破坏性动作。目的是防止受损的设备发出授权执行的破坏性命令。

为此，供应商正在其安全产品中添加功能，以检查流量是否为共同的物联网命令。考虑打算损害监督控制和数据获取的非法承包商（Scada）网络在电动变电站处。例如，如果他们试图设置一个超出公认范围的温度计，则基于上下文的规则将阻止活动，并限制或终止其对网络的访问。

遵守

没有关于合规性的讨论，就没有关于创建安全数据中心的对话将是完整的。如果您的组织处于能源，健康或支付卡处理等受监管的环境中，则合规性是一个更大的问题。组织应制定专门适用于其的政策特定的物联网环境。与任何策略一样，网络经理应确保他们可以执行政策中的内容，而不能承诺员工无法通过收集系统数据来验证的实践。

根据Gartner的说法200亿个互联网连接设备将在2020年运行，是当今存在的设备的四倍。现在是时候准备，以确保安全的数据中心。