訊息公告

端點、IOT物聯網設備管控規劃設計

關鍵字: ISOinsight IOT edition, IOTinsight, AI網管智慧機器學習, 物聯網設備安全控管監控, 資源管理, 伺服器監控, 網路監控, 存取管控, IOT管控, 流量分析, 效能管理, 環境監控, ISO27000, ISMS

 

企業OT維運

IOT物聯網設備如何管理管控?

敘述企業IOT設備如何管理管控? 規畫設計

• 管理緣由、目標敘述
• 服務設計規劃佈署
• 搭配解決方案

 

管理緣由、目標敘述

物聯網IoT設備已成資安問題根源

IOT物聯網是企業或政府邁向智慧製造與智慧城市重要推手,當Fab或城市街道佈署了成千上萬的偵測器在網路上,後續接替可能的事情是: (1)龐大資料的如何整合IT收集聚合分析展現 (2)Sensor IOT設備可能被駭客入侵的危機 (3)管理人員違規私帶設備入侵IOT網路感染病毒(如台積電機台病毒感染)。這些事情AIOT guardian可以提供一完美解決方案。它藉由ISO27000的精神人力與組織的要求‚配合完整的方法論與實際的控制措施監控IOT運作風險的因素‚進而因應維運設備運作、效能或資安異常即時的反應‚進而產出相關需求的報表或儀表板‚不僅可以降低企業IT維運的風險‚並且提升IT工作人員工作效率與成本。

AIOT guardian 為企業或政府IOT應用服務提供完善與完整的全中文可客製之NOC維運與風險管理平台‚可提供的服務應用案例‚包括：

• 智慧城市(國家關鍵基礎建設)IOT服務維運監控 – IOT應用服務系統與網路網管可用性監控、ISMS資產造冊與設備維運報表、IOT設備防護資安管控、事件流程。
• 工業4.0產線數據整合監控 – 支援MQTT數據訂閱,並提供大數據庫可聚合分析、儀錶板、拓樸流量地圖、事件源地圖，藉由圖形動態顯示IOT設備運作狀態、燈號、流量警示、事件發生位置，協助管理員監視IOT/Fab資訊系統與網路資源各項運作合理參數，及時處理異常，以保障IOT/Fab網路穩定的運營。
• 實體環境與場域監控整合 – 可藉由環境控制器或產線機台的整合‚連接乙太以外的異質網路‚如802.11a,n無線網路或RS485、DI/DO、MODBUS等環境設施的監控整合‚達到統一儀表板統一告警‚數據收集, 全面掌控IT/OT維運與AI智慧學習生態建構。
• 關鍵醫療OT設備防護管控 – 協助進行辨識與資產造冊管理醫療設備種類與屬性, 並進行IOT設備行為異常封包偵測、預防與保護。
• IOT設備防護資安監控 - IOT設備資安政策設定管理之規劃、行為基準（baseline）建立與調校。協助管理員進行設備密碼安全更新機制 (預設密碼更換偵測, 密碼更換)與關閉設備不必要之網路連線及服務、存取管控機制(MAC/IP/行為合法性)
• IOT設備維運管控法規遵循 - 提供物聯網設備造冊管理、識別設備用途/網段/存放位置與管理人員管理機制、IOT設備防護規劃與實作、安全管理政策施行。

管理管控(目標) – 協助企業建立IOT物聯網裝置管理與管控措施

Discover (發現) – ISOinsight IOT edition是完善的企業IOT物聯網設備管理暨威脅偵測的系統,首先它提供企業IT物聯網設備維運豐富管理工具, 包括:

(1)發現與辨識精靈 – 系統自動發現企業IP組織分佈,並提供監聽及掃瞄工具協助企業進行IOT物聯網設備辨識與盤點。

(2)白名單管理 – 藉由管理員匯入/匯出、發現與辨識精靈協助企業建置IOT物聯網設備白名單，並協助IT人員建構IOT物聯網設備管理管控基礎,包括設備用途､存放位置､MAC/IP網段歸屬､保管人､管控參數等基本資料。

(3) 生命週期管理 – 對IOT物聯網設備管理符合ISO27001 ISMS管理精神,包括:(1)設備授權程序,提供簡易或完整覆核可選擇的端點白名單生成作業程序(2)多元設備生成作業, 提供友善的端點生成作業(by 供應商, 主機名, AD登入)(3)自動化的回收作業, 提供自動的設備回收作業(閒置)

(4) 屬性管理 – 建立IOT物聯網設備屬性管理機制,包括行為模式、資產的營運價值與事件等級方便企業未來或其他系統進行風險運算與資安流程管理,保障IT系統與網路穩定的運營 , 作為企業風險評鑑的基礎。

Protect(保護) – 預防IOT物聯網設備被不當連線入侵。有效管控策略包括有:(1)交換埠存取管控 - 藉由交換器埠內建安全機制整合, 綁定物聯網裝置定義物理定義, 防範未授權裝置入侵上網, 甚至防範因為裝置因為遭駭所產生的攻擊。(2)設備MAC/IP存取管控 - 內建ARP Probe收集設備MAC/IP, 比對企業物聯網設備白名單, 搭配管控策略可有效管制未授權設備的入侵網路使用, 策略包括: VLAN為基礎的MAC, IP綁定檢測驗證策略。

 

 服務設計規劃佈署

AIOT guardian系統組成架構 -

• access Guardian – OT設備/機台直接連接的防護交換器, 可支援功能包括:
  1. 機台供電 – 具備POE供電與電源偵測能力, 對IOT設備/機台進行供電
  2. 通訊隔離 – 隔離IOT設備/機台彼此之間的通信之能力, 避免異常通訊感染
  3. 攻擊防護 – 阻止IOT設備/機台異常網路攻擊, 即時阻止整體OT場域災難
• Policy guardian – OT場域網路維運與異常偵測的管理器, 可支援功能包括:
  1. 辨識學習 – 機器學習、辨識OT場域物聯網設備與運作行為模式
  2. 異常偵測 – 深層探測網路底層數據, 偵測物聯網設備異常的運作
  3. 存取管制 – 規劃OT場域物聯網設備合法網路行為運作, 進行封包傳遞有效管制
  4. 網路管理 – 提供OT場域物聯網路設備管理與運作Layer 2~7可視性
• AI生態圈(ISOinsight MAX  AI ecosystem enabler)
  1. 叢集運算 – 整合OT場域物聯網運作與IT網路雲運算形成企業數據交互叢集網路
  2. 大數據庫 – 提供企業大數據生態建構顧問與服務

OT獨立場域佈署

AIOT guardian系統在OT場域網路的佈署, 如上圖說明: 主分為access與policy Guardian

• 防護交換器(access guardian)：如下圖橘色圖示access guardian, OT場域IOT物聯網設備/機台直接連接的防護交換器, 職司OT場域網路運作防護機制。
• 管理器(Policy guardian)：如下圖藍色圖示policy guardian, 以SPAN mode置放於核心路由器旁。網路管理員需完成(1)管理埠設定 (2)管理埠以802.1Q方式搭接到核心路由器的受檢測的每一個VLAN (3)啟動核心交換器鏡像機制，啟動OT場域運作辨識、學習、異常的偵測與預防。