在設計、開發和部署具有互通性、安全且可靠的工業網際網路時,幾乎每個工業領域中的工程組織機構都不缺少指導方針。

特別是工業網際網路聯盟(IIC)和工業4.0工作小組都制訂相應的指南和建議,分別是工業網際網路參考架構(IIRA)和工業4.0參考架構模型(RAMI 4.0)。鑒於這些檔案內容的相似性,兩種架構之間必然存在相同和重複的內容,這在針對兩大組織之間共同合作的現場討論中即可反映出來。

兩大機構都坦承,強大的安全性是工業物聯網(IIoT)的基本要求。事實上,IIC最近推出了工業網際網路安全架構(IISF),提供在這方面的指導原則,同時,隨著兩大組織不斷深入合作而在許多領域達成一致,安全已經被公認為是一個關鍵問題。

安全挑戰可以被視為在一個虛擬的生產工廠中,對系統的基礎設施存在許多要求。感測器為操作人員提供了接近即時校勘有關其所有資產的各種位置、方位、速度、溫度、壓力、鎖定狀態和振動等資料的能力。

在更高的安全層級,可以根據這些資料的變化或不同的生產要求,對製程工廠設置或甚至韌體進行遠端更新。而生產數字和獲利能力更顯示出不同商業類型面臨安全問題;敏感資訊必須要與感測器的工程資料分開。

圖1顯示RAMI 4.0如何將這方面的考慮歸納為3D矩陣——由不同的分層、生命週期與價值流程,以及層次結構共同組組成。

20161219 Lynx TA31P1 圖1:工業4.0的參考架構模型(RAMI 4.0)

這與IIC IIRA模型中描述的「功能域」和「觀點」不謀而合(圖2)。

20161219 Lynx TA31P2 圖2:IIC功能域和觀點描述

為了理解如何為兩種機制更有效地提供安全基礎,最好的方式是說明這兩種歸納結果代表了傳統上各自為政的資訊技術(IT)和操作技術(OT)的融合。傳統的OT包含利用隔離形成的內建安全性,而IT安全專注於保護企業資產。將二者結合在一起時,將會暴露出兩種系統的安全問題,因為融合相當於提供了一種潛在的方式存取各自較疏忽之處。

因此,很顯然地,不管兩種架構之間存在什麼樣的差異和相似性,兩個域彼此之間的隔離是任何相容性建置的一個重要特性。尤其是資料的劃分極其重要,目的在於讓資料只保留給知情的一方存取。

專為控制和限制存取資訊的安全中介韌體解決方案,顯然在這樣的系統中扮演著潛在的角色。但他們只是複雜軟體階層中的一個元件,如果建置在不夠安全的基礎設施上,那麼它們所提供的任何保護會立即失效。值得爭論的是,IT領域中盛行的複雜、單一軟體堆疊由於原本具有較大的攻擊面,在應用到OT領域時將無法提供需要的安全等級。換句話說,建置任何可行的解決方案都需要安全且無需繞行的基礎,以支援中介軟體提供的隔離作用。

也許關鍵點是,資料是使得IIoT成功且安全工作的推手。這意味著系統中固有的價值是在端點創造的——無論是會計的資料庫還是感測器的溫度讀數。因此,確保它們盡可能安全是十分合理的想法。

為了不犧牲這些不同的資料來源,IIoT的基礎必須為OT提供確定的安全性、彈性和可靠性,而且必須提升受保護的隱私和安全等級,以保護整合方案的IT側。相反地,IT側必須確保改善彈性和安全等級,以搭配其在隱私性、安全性和可靠性等方面的良好記錄。

如果所有這些互連系統都從頭開始設計,而且設計時考慮到這種連線性,那麼所有的目的都可以達成。但很顯然這並不是實用性主張!更好的建議是透過基於隔離核心的閘道來保護端點本身。

隔離核心

雖然這種方法所根據的原則對於工業領域來說還比較新,但在其它領域已經非常成熟了。隔離核心用於保護政府通訊系統的機密資訊已經有近10年的時間了,所以非常值得借鑒這種學術性理論的成功之道。

隔離核心的概念最早是John Rushby在1981年提出來的,他認為,「應該將硬體和軟體結合在一起,以便在共同的實體資源上實現多種功能,而不至於發生有害的相互干擾。」這種方法的優點確實令人信服,以致於隔離核心的原則形成了多級獨立安全(MILS)計畫的基礎。

同樣地,在30年前,Saltzer和Schroeder就建議「系統的每個程式和每個使用者都應該使用完成任務所需的最小權限進行操作」。這種簡單而又常用的「最小權限」(least privilege)原則在重要性不同的應用彼此緊密執行時變得勢在必行。

因此,隔離核心和最小權限的概念著重於模組化的優勢,前者重點在於資源,後者則強調系統功能——這是Levin、Irvine和Nguyen在其「隔離核心中的最小權限」一文中提出這兩個概念融合時所強調的要點。

20161219 Lynx TA31P3 圖3:在隔離核心模組上疊加最小權限原則,可根據主體與資源精確地形成流程控制

圖4顯示在隔離核心「區塊」(block)上疊加最小特權「主體」(主動的、可執行的實體)和「資源」,顯示可根據主體與資源支援流程控制。

20161219 Lynx TA31P4 圖4:簡化隔離核心的實際應用

硬體虛擬化

雖然隔離核心和最小權限的原則早已建立,但早期的建置試圖依賴於軟體虛擬化層,這通常會導致性能不穩,而且無法支援即時應用。虛擬化曾經在企業領域的流行之勢不可擋,使得晶片設計公司(包括Intel、AMD和ARM)不斷地增加每個CPU上的核心數量,並在硬體中建置對於虛擬化的先進支援。從那時起,隔離核心才從只是一種純理論想法轉變成一種真正實用的方法。

市場上有幾種嵌入式虛擬機管理程式(hypervisor)產品,致力於在修訂後的作業系統(OS)架構上達到類似的目標。然而,為了使隔離核心的安全認證達到最佳化,必須部署最小權限原則,以儘量減小受信賴運算基礎(TCB)及其表面攻擊,從而最佳化閘道提供的保護。

隔離核心的實用性

考慮到實用性,以用於產生生產資料的機床為例(圖5)。這些資料必須透過雲端與待命的工廠工程師共用。在此例中的雲端面主體可能是一個通用的作業系統,例如Windows或Linux。也許這種作業系統容易受到自稱駭客者的攻擊。但重要的是駭客不能存取工廠面的主體——也許是一個即時作業系統(RTOS)或裸金屬應用——即使雲端面的主體受到威脅。依照最小權限原則建置的隔離核心具有幾個關鍵屬性,可以在這種場合得到最佳化的結果。

快速 為了獲得接近原有的性能,隔離核心必須導入盡可能少的開銷,並盡量發揮硬體的虛擬化功能。

輕量 確保諸如驅動程式、I/O和流程管理等作業系統功能由專案所接管,隔離核心將變得非常輕量,而且較不容易受到攻擊。

實用 隔離核心將透過向主體提交「虛擬主機板」以支援傳統軟體的重複利用,從而使這些主體的安裝和執行像原有的一樣。

安全 靜態配置可以確保隔離核心在完成搭建和部署後不再變化,並具有最佳的小攻擊面。

物聯網端點

我們很容易就能瞭解如何在簡單的機床範例(圖4)中建立原則,而這也可應用於保護IoT端點。圖5說明了任意數量的資料來源和IT世界之間的介面如何受到基於隔離核心的IoT閘道保護。

20161219 Lynx TA31P5 圖5:利用隔離核心保護IoT端點

在這種場合中,工廠面對「受信任主體」的原則可進一步擴展,以支援平台配置管理、監測與分析等服務,以及支援閒時資料(DAR)和移動資料(DIM)的裸金屬安全服務(如加密)。安全啟動技術確保了閘道在啟動時不至於較執行時更易於受到攻擊。

20161219 Lynx TA31P6 圖6:IoT端點面臨的IISF威脅和弱點

此外,利用經驗證的隔離核心技術,所開發的IoT閘道可為基於IIRA或RAMI 4.0的相容性解決方案提供了理想的基礎,因為它具有安全認證、使用效率高,更實際的是,它能夠支援傳統軟體。