就在互联网改变一切的同时，一场名为物联网的新革命有望带来还要大的颠覆。

主要是由于物联网传感器将用在每个地方，用在医院以监测医疗设备，用在工厂以监管生产运营 ，用在大楼以控制温度和照明，不一而足。

来自这些传感器的数据将用于生产运营管理、预测维护及更多方面。与此同时，所有这些应用通常与企业的IT基础设施整合起来。正因为如此，它们带来了众多新的安全挑战。

就像在当前的IT环境那样，没有万无一失的安全解决方案可以保护物联网设备，避免每一种可能出现的网络威胁。

由于物联网会在不同的地方为众多最终用户(包括企业、客户及合作伙伴)生成数据，需要网络分段和基于网段的拓扑结构来防范大规模攻击。

比如说，合作伙伴网络里面受危及的网段应该无力危及企业网络。

在最近的一次安全事件中，总部位于法国的主机托管提供商OVH成为了用物联网设备发动的一次大规模DDoS攻击的受害者。据OVH声称，攻击在高峰时期的流量达到了近1 Tbps。中招的物联网设备主要是闭路电视监视摄像头和数字录像机。

改变架构，防止物联网设备被劫持

为了缓解劫持物联网设备的大规模攻击这种威胁，分支机构和本地架构都需要做一些重要的变化。

供合作伙伴使用的数据应在来自企业网络的第一跳(hop)处加以卸载。 如今，大多数合作伙伴网络连接是通过非军事区(DMZ)来实现路由的。这种回程传输(backhauling)给网络基础设施(路由器和交换机)带来了不必要的压力。相反，这些数据可以通过VPN在本地卸载，只要在云端或运营商的托管设施建立第三方安全合作伙伴DMZ。在这里，多个有关方的VPN可以彼此对接，同时将这些DMZ限制在少数几个地方。

这种模式的一大优势是，第一跳在每个站点卸载合作伙伴数据，而不是在传送到合作伙伴网络之前，通过企业DMZ回程传输大量的站点数据。第二个好处是基于分段的拓扑结构。不是所有的合作伙伴都需要在每个地方对接。比如说，可以为合作伙伴提供这种灵活性：自由地对接，并在云端明确定义的投放点收集数据。这类似实施基于云的VPN。

在制造生产环境下，用于工业自动化的物联网设备不是关联用户，也没有加密功能。因此，为了保持数据完整性和机密性，网络必须为物联网设备提供加密之类的安全服务。

X86机器接收、分段和加密传感器数据，并通过虚拟DMZ安全地传输到互联网上的厂商。

如前所述，在大多数当前的部署环境下，传感器数据通过企业DMZ和网络来回程传输。这迫使IT部门为通过网络传输的数据制定复杂的策略。

在图1中，x86白盒机器上的分区P0有自己的VPN，它管理连接至所有PLC的活动。每个PLC的连接数据可以从网络中的控制层来编程。在这种场景下，PLC和控制元件之间传输的数据含有与生产厂商有关的操作信息，还含有与工业设备提供商有关的操作信息。

一个数据源 (PLC控制器)必须在源处加以划分，提供给两家独立的企业组织。来自同一P0 PLC数据源的数据可以由边缘路由器放在两个不同的VPN，每个VPN都有不同的拓扑结构。供生产厂商使用的数据可以在本地处理，然后在工厂车间回程传输，或者回程传输到企业数据中心。与PLC供应商有关的数据在本地由分析引擎加以处理，然后发送给合作伙伴，供其使用。

这种架构最好与从工厂连接到云端，然后连接到合作伙伴的VPN一起部署。这可以用企业管理的方法或运营商管理的方式来实现。

企业管理的方法

使用这种方法，企业构建iDMZ VPN，并选择投放数据让合作伙伴处理的云位置。企业需要负责保护云端点和内部工厂网络。这就需要建立一套完整的安全架构，确保落实了足够到位的保护措施。

运营商管理的方法

这里，运营商可以将云VPN作为一项服务提供给企业工厂网络。运营商可以宣布VPN投放点;根据分布位置，这些投放点可以分布在全球各地。企业可以指定哪个合作伙伴收集来自哪个地方哪个VPN的数据。运营商可以将所有的网络功能作为完全托管的服务来提供，包括安全。使用互联网作为安全传输机制，只有VPN对接地点对合作伙伴来说是可见的。

下面图2 显示了这种连接模式，因而不需要构建动态、任意的VPN，并可以保护企业网络，避免传输无关的合作伙伴流量带来的负担。

想获得物联网的好处，企业必须发掘其生产设施里面的传感器和设备的宝贵信息。不过，它们需要合作伙伴的帮助，才能安全地分析大量数据，又不给企业IT网络增添负担。构建任意的VPN分段拓扑结构以便使用经过优化的数据导向和强加密，这是企业与合作伙伴共同打造物联网生态系统的一种方法，从而在避免网络暴露在安全威胁的前提下，保护数据的完整性。

原文标题：How to architect the network so IoT devices are secure

作者：Khalid Raza