就像当初互联网改变了一切一样，物联网(IoT)这场新的革命将会产生更大的影响。

越来越多的物联网传感器将在医院中用于监控医疗设备，在工厂中用于监督操作，或是用于控制建筑中的温度和照明等。这些传感器收集到的数据将用于进行操作管理和预测性维护等。同时，所有这些应用程序通常与企业的IT基础设施联接在一起，因此，它们正在面临各种全新的安全挑战。

在当前的IT环境中，还没有完备的安全方案可以保护IoT设备免受任何网络威胁。由于接入了IoT的不同终端用户(包括企业、企业的客户和合作伙伴)在不同的节点或位置都会生成数据，因此需要网络分段和基于段的拓扑来防范大规模攻击。

例如，合作伙伴网络中的受损分段不应该危及到企业的网络。在最近的一个事件中，OVH(一家位于法国的托管服务提供商)的物联网设备受到大规模DDoS攻击，据称攻击量在其峰值达到近1 Tbps，而受损的物联网设备主要是闭路电视监控摄像机和DVR。

改变网络架构以防止IoT设备被劫持

为了减少大规模攻击劫持物联网设备，分支和站点位置的网络架构需要进行重要更改。

首先，用于企业合作伙伴消费的数据应在企业网络的第一跳处卸载下来。 今天，大多数合作伙伴的网络通过DMZ路由与企业网络连接，这种回程给网络基础设施(路由器和交换机)带来了不必要的压力。相反，可以通过在云中或运营商托管设施中创建第三方安全合作伙伴DMZ，通过VPN本地卸载此数据。这样，多方的VPN可以彼此对等，同时将这些DMZ限制到特定的几个位置。

该方式的一个主要优点是第一跳在每个站点就可以卸载合作伙伴网络上的数据，而不是通过公司DMZ回传大量站点数据，然后将其传递到合作伙伴网络。 第二个好处是基于分段的拓扑。并不是所有的合作伙伴网络的数据都需要在相同地点同步进行传输，例如，可以向合作伙伴提供在云中的，针对明确的下降点处对等灵活地收集其数据，这类似于实施基于云的VPN。

在制造环境中，用于工业自动化的IoT设备并不会关联用户，也不具有加密功能。因此，为了保持数据完整性和机密性，网络必须为IoT设备提供安全服务，例如为这些设备进行加密。

▲X86机器接收、分段和加密传感器数据，并通过虚拟DMZ安全地传输到互联网上的云供应商

如前所述，在大多数当前部署中，传感器数据通过公司DMZ和网络进行回程，这迫使IT部门为数据创建复杂的策略以遍历网络。在上图中，白盒x86机器上的分区P0有自己的VPN，其管理与所有PLC的连接。每个PLC的连接数据可以从网络中的控制层编程。在这种情况下，在PLC和控制元件之间传输的数据包含与制造业公司、工业设备提供商相关的智能操作。

一个数据源(PLC控制器)必须在源处拆分并交付给两个独立的组织。来自相同P0 PLC源的数据可以由边缘路由器放置在两个不同的VPN中，并且每个都具有单独的拓扑。制造业公司消耗的数据可以在本地进行处理，然后在车间回传到企业数据中心。与PLC供应商相关的数据可由分析引擎在本地现场处理，然后发送给合作伙伴供其使用。

这种架构最好在工厂连接到云的位置部署，然后连接到合作伙伴网络上的VPN，它可以以企业或运营商管理的方式实现。

改变企业管理方法

使用这种方法，企业构建iDMZ VPN并选择被合作伙伴网络丢弃的云数据丢弃进行处理。企业承担保护云点和内部工厂网络的责任。这需要建立一个完整的安全堆栈，以确保采取适当的保护措施。

改变运营商管理方法

运营商可以将云VPN作为服务提供给企业工厂网络。 运营商可以宣布VPN丢弃位置，根据其覆盖区域，可以分布在全球范围内。企业可以指定哪个合作伙伴从哪个位置的VPN收集数据。 运营商可以提供所有网络功能作为完全管理的服务，包括安全性——使用互联网作为安全传输，合作伙伴只能看到VPN对等位置。

下面的图说明了这种连接模型，无需构建动态的、任意的VPN，并保护企业的网络免于传输无关流量的负担。

为了实现物联网的优势，企业必须从其设施中的传感器和设备中解锁智能。 然而，他们需要合作伙伴的帮助来安全地分析大量数据，这样才不会对公司IT网络造成负担。创建使用优化的数据转向和强加密的任意VPN分段拓扑结构是企业与合作伙伴建立IoT生态系统的一种方式，它可以保护数据完整性，不会将其网络暴露给安全威胁。