Truy cập từ xa vào mạng OT: Làm sao an toàn?

nktung

nktung

Super Moderator
Thành viên BQT
08/10/2013
400
985 bài viết
Truy cập từ xa vào mạng OT: Làm sao an toàn?
nktung
Zero Trust Network Access (ZTNA) là một dịch vụ truy cập từ xa an toàn, xác minh người dùng từ xa và cấp quyền truy cập chỉ vào các tài nguyên cụ thể vào các thời điểm cụ thể dựa trên chính sách định danh và ngữ cảnh. Hãy tưởng tượng, khi một cánh tay robot cần được nâng cấp firmware, một cánh quạt điện gió đang gặp trục trặc, một biển báo trên đường cao tốc hiển thị những dòng vô nghĩa.... khi đó cần phải nhanh chóng cho phép nhà sản xuất robot, các nhà thầu bảo trì hoặc các chuyên gia và kỹ thuật viên của chính công ty bạn, được phép truy cập từ xa để cấu hình, xử lý sự cố và cập nhật. Và cũng chính từ đây, vấn đề đảm bảo an toàn cho kết nối từ xa qua mạng Internet cần đặt lên hàng đầu. Vậy giải pháp nào cho vấn đề này? Bài viết dưới đây cung cấp cho bạn câu trả lời.

1702518467408.png

Ảnh: menlosecurity

Giảm rủi ro với ZTNA​

Trong bài viết trước về đảm bảo an toàn cho truy cập từ xa, mình đã tổng quan về một giải pháp ZTNA đảm bảo an ninh và mô tả cách nó có thể giúp bảo vệ truy cập từ xa vào mạng công nghiệp. ZTNA kiểm soát ai có thể kết nối, họ có thể truy cập các tài nguyên OT nào và khi nào. Nó bắt đầu với tư duy "nghi ngờ tất cả, từ chối tất cả" và cung cấp quyền truy cập tối thiểu chỉ khi nó tin tưởng vào định danh người dùng.

ztna.jpg

Ảnh: Prisma SASE

Không cần cài đặt, chỉ cần trình duyệt web​

Một trong những giải pháp ZTNA nổi tiếng được Cisco công bố đó là Cisco SEA (Cisco Secure Equipment Access). Chúng ta hãy tìm hiểu cách Cisco SEA thực hiện kiểm soát kết nối từ xa đến mạng OT như thế nào.

Ngoài việc hạn chế quyền truy cập vào các tài sản và cần có kế hoạch làm việc cụ thể, SEA cũng có thể hạn chế phương thức truy cập mà kỹ thuật viên từ xa có thể sử dụng để đăng nhập vào một tài sản OT. Nếu họ đang sử dụng RDP, VNC, SSH, Telnet hoặc HTTP(S), họ chỉ cần một trình duyệt web - không cần cài thêm phần mềm bên thứ ba. SEA chuyển hướng tất cả lưu lượng truy cập từ xa tới các máy chủ Proxy để rà quét, có nghĩa là người dùng không bao giờ có quyền truy cập IP trực tiếp vào tài sản hoặc mạng OT. Việc cách ly hoàn toàn các nguồn lực quan trọng mang lại cho bạn một mức bảo mật tối đa.

Trong một số tình huống, bạn có thể cần một đường truyền thông tin hoàn chỉnh giữa người dùng từ xa và một tài sản OT. Ví dụ là nếu kỹ thuật viên đang sử dụng phần mềm quản lý cụ thể của nhà cung cấp, sửa đổi chương trình PLC bằng ứng dụng desktop hoặc truyền tải tệp đến hoặc từ một tài sản OT. Để giải quyết những tình huống sử dụng nâng cao này, SEA cung cấp một phương thức truy cập ZTNA dựa trên một agent gọi là SEA Plus.

SEA Plus cài đặt một ứng dụng trên máy tính của người dùng từ xa để tạo ra một kết nối IP an toàn end-to-end đến tài sản OT, cho phép bất kỳ giao tiếp TCP, UDP và ICMP nào. Tuy nhiên, khác với giải pháp VPN, lưu lượng luôn đi qua SEA trust broker. Broker này thực thi các chính sách an ninh như quyền truy cập vào tài sản nào, khi nào và giao thức và port nào có thể sử dụng.

Nhìn chung, SEA Plus cung cấp quyền truy cập IP tự nhiên đến mạng OT từ máy tính từ xa, nhưng không cần thiết phải thiết kế, triển khai và duy trì cơ sở hạ tầng VPN. Nó cũng làm mạnh hơn (hardening) nhưng cũng đơn giản hóa vấn đề bảo mật với các kiểm soát rất tỉ mỉ giữ chặt quyền truy cập vào các tài sản OT theo nguyên tắc quyền truy cập tối thiểu của ZTNA.

Đưa ZTNA lên một tầm cao mới với tự động hóa​

Trả lời được câu hỏi ai, cái gì, cách nào và khi nào có thể truy cập từ xa là một bước quan trọng hướng tới bảo vệ mạnh mẽ cho mạng công nghiệp và cơ sở hạ tầng quan trọng của bạn. Nhưng khi sử dụng SEA Plus, bạn đang cấp quyền truy cập IP đầy đủ vào một tài sản. Làm thế nào bạn có thể chắc chắn rằng máy tính của người sử dụng sẽ không tiếp xúc với mã độc phá hoại hoặc lưu lượng độc hại? Để có độ tin cậy đầy đủ, bạn cần xác minh thiết bị mà kỹ thuật viên đang sử dụng để đăng nhập? Cisco SEA và Cisco Duo hoạt động cùng nhau để kiểm tra tự động sức khỏe của thiết bị trước khi cấp quyền truy cập vào tài sản. Khi người sử dụng từ xa cố gắng thiết lập một phiên sử dụng phương thức truy cập SEA Plus, Duo xác minh rằng máy tính của người sử dụng tuân thủ chính sách an ninh - ví dụ, phiên bản hệ điều hành và các bản vá lỗi, trạng thái tường lửa, việc sử dụng phần mềm chống virus và các tiêu chí an ninh khác. Nếu một thiết bị không đáp ứng yêu cầu, kỹ thuật viên sẽ không thể truy cập.

Bảo mật mạnh hơn nhưng giảm công sức hơn​

Là một giải pháp đám mây lai, Cisco SEA tránh được các chi phí và sự phức tạp để duy trì khả năng truy cập từ xa an toàn trên quy mô trong mạng công nghiệp và cơ sở hạ tầng quan trọng của bạn. Là một giải pháp ZTNA, nó cho phép bạn lấy lại kiểm soát bằng cách áp dụng chính sách an ninh ít nhất dựa trên định danh và ngữ cảnh. Với sự tích hợp giữa SEA và Duo, bạn cũng có thể kiểm tra "sức khỏe" của máy tính từ xa - một khía cạnh quan trọng khác của nguyên tắc zero trust.

Theo Cisco Blog
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Giám sát, ghi nhật ký và chấm dứt phiên truy cập vào mạng OT
  • Làm sao đảm bảo truy cập từ xa an toàn cho mạng OT?
  • Kiểm soát truy cập dựa trên vai trò (Role-Based Access Control) là gì?
  • Danh sách điều khiển truy cập tùy ý (DACL)
  • [An ninh mạng] Cấu hình danh sách điều khiển truy cập mạng
  • Hướng dẫn cấu hình quản lý truy cập giữa các phòng ban trong hệ thống mạng doanh nghiệp
    • Bên trên