通过动态分段保护物联网

刚刚涌入物联网（IoT）设备的涌入的想法只是等待跳上我的网络，这开始给我带来胃灼热。当然，您现在可能会想到您家中所有疯狂的恒温器，扬声器和灯泡。但是企业或工业物联网设备呢？气泵。徽章读者​​。胰岛素泵等医疗保健设备。甚至在休息室里的微波炉！

物联网最困难的事情是它的真实愚蠢。当然，当我们出售这些设备时，我们将这些设备称为“聪明”。但是，大多数物联网设备与它们的到来一样不知情。它们具有最基本的芯片组，可以使它们尽可能便宜。因此，他们中的大多数支持2.4GHz范围内的Acle-Bones 802.11N芯片组，并且芯片组中内置的其他安全功能很少。

保护IoT设备的方法不是使它们更聪明。取而代之的是，我们必须使我们的网络变得更聪明，并确保我们的基础架构做出正确的决定，以确保设备无法自行执行此操作。那就是阿鲁巴开始取得巨大进展的地方。在2019年Aruba气氛中，有一场精彩的会议，可以通过Aruba Clearpass和Intospect动态保护IoT设备。

动态分割解决方案

这动态分割Aruba提出的过程具有一些关键功能，对于这些不知情的IoT设备非常重要。一个示例是MAC固定。您会认为将设备连接到开关端口身份验证会很容易，对吗？除非该设备被设计为尽可能不引人注目，并且会做一些事情，例如不响应发送以验证设备的ping的ping，但在链接的另一侧仍然活着。Aruba弄清楚了如何将IoT设备MAC地址固定到端口，以便始终进行身份验证，直到被拔下或卸下为止。而且，由于设备的MAC地址用于确保身份验证，因此可以保护自己免受插入其他设备的人的身份，并试图将端口劫持到更关键的系统中，例如电子病历（EMR）。

个人资料实力

网络中物联网设备的另一个大关键是能见度，这来自ClearPass提供的发现和分析功能。阿鲁巴（Aruba）在2019年大气上宣布了对这些能力的一些重大增强，其新的Clearpass家族成员称为ClearPass Device Insight。Clearpass Device Insight使用深度数据包检查和机器学习来智能识别连接到网络的设备的全光谱。在执法方面，如果您有一个设备可以通过802.1X这样的协议进行验证，则ClearPass将接受它。当设备不是那么智能时，ClearPass将使用MAC身份验证对设备进行身份验证。但是ClearPass也可以与Introspect合作，开始分析流量，以确保解决方案中内置的配置文件仅允许网络上的适当设备流量。

想象一下，例如，我和某人一起在病房里。我很无聊，所以我决定在网络上玩耍。我注意到插入网络的胰岛素泵，但现在没有使用。因此，我抓住它并克隆笔记本电脑的MAC地址。我插入并开始做一些侦察工作，以弄清楚我能走多远。Introspect看到网络上的胰岛素泵MAC地址，并注意到我的流量配置文件对该设备的处理方式不合时宜。我以前经过信任的MAC地址没有在护士站与服务器交谈或向其他设备报告，而是接触到不同的子网并发送错误的流量。然后，Introspect可以触发Clearpass对此特定的物联网设备进行授权更改并隔离它，直到有人可以弄清楚为什么胰岛素泵是端口扫描网络的原因。

隧道前方

最后一个重要的动态分割是通过Aruba的基于用户的隧道政策执法防火墙（PEF）技术。就像移动性控制器中的基础架构将用户流量隧道隧道隧道绑定到设备一样，基于用户的隧道也可以将所有流量从IoT设备从IoT设备发送回PEF，并内置在移动性控制器中 - 可以通过无线AP以及有线开关。你为什么想这么做？好吧，您可以对一件事的流量进行身份验证。您也可以比边缘开关更精确地指纹设备。您可以对设备的流量进行深入检查，以确保它不被用作攻击矢量。您甚至可以在流量上进行防火墙，以确保不应该淹没网络的事物被停止靠近边缘，例如使用安全摄像机用于发射DDOS攻击。

基于用户的隧道非常适合政策执法。当您的用户从校园的一侧转移到另一侧时，ClearPass中定义的策略可以随之而来。当物联网设备从医院的一侧移动到另一侧时，同样的政策也可以遵循。这意味着警察对设备有粘性，而不是接线壁橱。对于您的网络管理员来说，这是一个巨大的胜利，因为他们将花费更少的时间在网络边缘配置边缘案例，并有更多时间确保您的政策制定适当的处理来处理可能找到的任何设备。

物联网不必吓​​人。有了正确的基础设施，您可以轻松处理从灯泡到血压监测器的任何设备。您可以确保它们能够与网络中正确的位置进行通信，并且只有正确的设备才能进行通信。动态细分可确保整个网络比以往任何时候都更安全，更有能力。

相关内容
参见Aruba Cto Partha Narasimhan谈论动态分割。

了解有关动态细分如何支持物联网的更多信息。