新闻动态
案例分享 | 拥抱汽车行业新时代——知名车企微隔离技术应用实践
发布时间:
2023-05-18 16:32
来源:
作者:
蔷薇灵动
访问量:
微隔离不仅用于数据中心。也可以用于工业制造场景。事实上,在一切有明确行为基线的网络中,微隔离都是关键的安全基础设施。我们在这家知名车企打实现了从工业现场到车联网云端的统一管理,蔷薇灵动让微隔离跟工控安全握个手。
4月18日,2023上海车展隆重开幕,本届车展的主题为“拥抱汽车行业新时代”。当前,随着传统汽车制造企业纷纷加入转型浪潮,以智能制造、车联网为核心的创新技术得到迅猛发展和广泛应用。在一系列创新技术的加持下,车企一面优化升级自动化生产线,获得了生产效率及交付质量的大幅提升,一面基于车联网,极大满足了其用户的智能用车体验。汽车行业已然来到了万象更新的崭新时代。
H集团是国内知名车企,近年来持续加大对人工智能、大数据、云计算等创新IT技术的投入,并将其与汽车产业不断融合,通过拓展产业边界,引领推动未来出行向智能化、数字化方向发展。
下面我们将分享H集团应用微隔离技术应对新基础设施架构下网络安全威胁的技术实践。
数字化技术作为车企转型的支柱能力,为H集团在生产效率和用户体验提升方面注入了新动能,也带来了全新的网络安全风险。
一方面,工业控制系统对稳定性要求极高,使得系统维护常年处于封闭状态,无论是升级更新,还是加固防护均受到制约,往往存在着较高的脆弱性。而另一方面,车联网技术正持续推动汽车从交通工具向智能移动终端演进,用户信息、行车数据、用车数据等均通过5G网络汇聚至车联网数据中心,增大了数据安全和个人信息保护的挑战。
过去,H集团围绕核心生产环境、车联网业务云等关键场景规划实施了一系列安全防护措施,但在风险评估和攻防演练中,却依然暴露出了明显的薄弱环节。
首先,在承载生产线工控系统的核心生产环境中,一条生产线上的各类工业设备控制台主机相连于同一网段,缺失隔离控制手段,加上很多系统因常年无法更新补丁而“带病上岗”,使得恶意程序在生产线网络内部传播变得易如反掌,挖矿、勒索甚至是多年前的流行病毒,可能通过不规范的运维方式而带入网络,并在短时间内造成大面积感染,导致生产线停工。
另外,在同样是域内全通的云平台内部,车联网业务服务端与企业的其他业务应用混合部署,造成高敏数据与普通数据运行于同一环境,一旦高风险的脆弱系统失陷,攻击者则极容易通过横向侧移触及核心资产,造成敏感信息外泄。
由此可见,无论是在看似封闭的生产线网络,还是在弹性敏捷的云网络中,对内部流量的隔离和控制手段缺失是包括H集团在内的众多制造型企业所面临的共性问题,而在关键资产的运行环境中面向业务实现更为细粒度、精细化的访问控制,实现收缩攻击敞口、隔离攻击行为的效果,则成为众多车企的普遍需求。
为了达成细粒度和精细化的隔离管控,H集团首先对已部署的所有域间防火墙策略进行了细致分析,问题则愈发清晰。对于跨域访问,过往的策略规则往往以黑名单模式为主,实则留下了较为宽泛的放行通道,若将其转化为精确至具体工作负载对象的白名单策略,势必带来策略规模的倍数增加,不但难以运维,同时还可能在网络边界造成性能风险。而对于域内的访问流量,域间防火墙显然是无能为力。
几经考虑,H集团的安全人员决定将策略规则下沉至每一个关键的工作负载上,即利用工作负载操作系统的主机防火墙程序执行白名单策略,实现访问控制矩阵的“由粗到细、由黑转白”。
而在计划逐步开展过程中,H集团却遇到了难以逾越的困难。
首先,策略规则需要在每一个工控台机和工作负载上手工逐条配置,效率固然不高,但若仅是“工作量”的问题,还并非“难以逾越”。
与过去习惯的“控黑”不同,白名单控制需要清晰确认控制对象的业务访问需求,并以“按需开通”为原则实现最小特权控制,然而确认一个主机合理的访问流量范围,甚至对于业务运维团队自身来说都是极其困难的。在缺乏策略配置依据的情况下,为降低误配对业务正常运行的影响,白名单策略只能“从宽”处理,这与“最小特权”的初衷又产生了相悖的情况,导致最终效果不达预期。
由此,已耗时一年之久“黑转白”项目,在效率和效果方面均未达成预期,即便经过大量的工作投入,也仅完成了数百个主机的策略配置,项目陷入骑虎难下的两难境地。
前期探索中突显出的现实困难,让H集团对开展精细隔离控制的内涵有了更加明晰的认识。基于对连接关系分析、策略运维管理等关键能力的重点评估,H集团通过在其核心场景部署蔷薇灵动蜂巢自适应微隔离安全平台,实现了对其网络进行精细化管控的目标。
与前期单点配置主机防火墙的方案不同,蜂巢微隔离平台基于软件定义架构,为用户提供了一个统一的策略编排平台,通过其业务流量的学习和可视化能力,可完整导出纳管对象在一段时期内的所有连接关系,辅助业务管理人员确认合理业务访问的最小集合,同时还提供了基于连接关系学习的向导式策略批量配置功能,使安全管理者能够更为高效的对大规模主机完成策略设计和定义工作。
(H集团微隔离部署架构图)
项目实施过程中,结合生产线和车联网应用的实际业务特点和安全要求,对其访问控制策略进行了针对性的设计,并利用灵活的软件定义隔离能力加以实现。
针对生产线中的工控台机,通常是专机专用、功能单一的系统,其访问需求相对简单并固定,而在实际生产环境中,各条生产线上同一类设备的工控台机往往是由一位“担当”负责管理的,因此将各类工控台机的白名单策略配置权限分配给对应的担当人员,是最为合理的运行方案。在此场景下,通过将各个工控台机赋予生产线、设备类型的管理标签,通过微隔离系统配套的“分组管理”应用,为担当人员分配其管理职责范围内的工控台机策略管理权限,并通过策略定义实现各生产线的网络隔离,以及工控台机访问入口的最小化限制。
对于车联网应用服务端的运行环境,首先通过标签设定对应策略,将其工作负载与其他非车联网业务系统进行逻辑隔离。其次,针对车联网业务内部服务间调用关系复杂的情况,可通过微隔离系统一段时间的流量学习,掌握业务间的互访关系基线,再通过白名单的方式实现对于车联网业务不同应用分组间的精细化访问控制。
H集团通过微隔离解决方案的部署,获得以下收益:
✅ 切实提升了全网防御能力
通过蔷薇灵动微隔离解决方案,用户实现了对数千个工控台机和车联网工作负载的统一纳管,同时构建出了贴合业务的访问控制策略,极大缩减了网络内部的暴露面,有效切断了威胁的横移和扩散路径,提升了整体网络防御能力。
✅ 有效提升了运维管理效率
通过基于业务的标签化策略管理及策略自适应计算能力,结合分组管理的自定义策略权限分配功能,实现了更大规模、更精细的全局策略安全管控,在保障业务运行的前提下,有效提升了运维管理效率,节省了人员投入成本。
✅ 有力保障了数字化深入推进
基于蔷薇灵动丰富的微隔离落地实践经验,在短时间内完成了方案的实施,同时基于微隔离技术在混合云环境的超强适应性,达成了超乎用户预期的隔离及管控效果,为其推动智能数字化产业融合,进一步提升市场竞争力提供了有力保障。
智能制造时代,工控系统和工业数据成为制造企业的核心资产,而制造业企业已然成为了遭受网络攻击的重灾区,在车企的数字化转型过程中,无法避免的时刻面临着网络安全威胁。保网络安全与保生产从来都不是单选题,相反,只有构建更加稳固的网络安全防线,才能筑牢生产基线。H集团在其关键生产环境落地微隔离技术的实践,对其他车企公司及智能制造企业具有良好的借鉴意义。
