网络安全是各行业的头等大事。确保工业资产安全的第一步是了解互联设备及其交互和漏洞。这种可见性可以从网络流量的深度数据包检测(DPI)中获得。传统上,工业网络从其交换机复制流量,以提供给场外DPI服务器。然而,这导致网络中的额外成本和复杂性。今天的以太网提供了一个简单得多的解决方案。工业交换机本身可以执行DPI并获得可见性和安全洞察,如中所述图一。
可见性是安全操作的第二步。一旦您知道资产的身份和流量模式,您就可以定义访问策略,有选择地允许或拒绝资产、控制系统和外部实体之间的流量。这些策略对网络进行分段,并根据ISA/IEC62443安全标准的要求对创建区域和管道的资产组进行限制,从而限制潜在恶意软件在运营中不受阻碍地流动。
虽然可以通过广泛放置防火墙来划分区域和管道,但工业以太网交换机本身实施访问策略要简单得多,从而避免了额外的成本和复杂性。
3.零信任网络访问
工业以太网可以实现零信任网络访问(ZTNA)。远程访问工业资产(尤其是地理位置分散的工业资产)的能力是非常宝贵的。使用它,操作人员、供应商或承包商可以登录这些资产,而无需昂贵的现场访问来监控、调试、配置或以其他方式管理它们。
这种访问的解决方案传统上是虚拟专用网络(VPN)。VPN的缺点是,它们是一种始终在线的解决方案,要么全有要么全无地访问运营技术(OT)资产。工业组织开始部署零信任网络访问(ZTNA)解决方案作为始终在线VPN的替代方案。
ZTNA是一种安全服务,它验证用户并根据身份和上下文策略仅在特定时间授予对特定资源的访问权限。ZTNA解决方案由一个信任代理(通常为云服务)组成,该代理通过与现场ZTNA网关合作来协调远程用户和OT资产之间的连接,负责创建到资产的通信路径和到信任代理的出站连接,如所示图二。
现有的ZTNA解决方案在工业非军事区(iDMZ)部署网关。但是在分布式现场网络中,通常没有空间安装专用网关硬件。在经常重复使用IP地址的大型工业网络中,许多OT资产位于网络地址转换(NAT)边界之后,在iDMZ中不可见。工业以太网交换机非常适合作为ZTNA网关,因为它们靠近OT资产,节省了在每个位置安装专用ZTNA网关硬件的不必要成本和负担。
4.以太网供电
工业以太网提供PoE,有助于提高运营的可持续性。以太网供电(PoE)最初在企业IT环境中日益流行,现在在工业环境中越来越普遍。但是,这两种环境之间存在显著差异。
工业环境可能很恶劣,有极端的温度、灰尘和振动。用作电源设备(PSE)和受电设备(PD)的工业以太网设备都必须加固,允许更高的功率水平,遵守更严格的安全标准,并且更能抵抗电噪声和电磁场干扰。