宾州州立大学通过微分段确保楼宇自动化,物联网交通

现在是时候处理宾夕法尼亚州的BACnet流量.BACnet是一种用于楼宇自动化和控制(BAC)系统的通信协议,如供暖,通风和空调(HVAC),照明,访问控制和火灾探测。 Penn State因其开放性而在BACnet上进行了标准化。[有关IoT的更多信息,请参阅网络上物联网保护的提示,我们最强大的物联网公司列表,并了解工业物联网。 |通过注册Network World简报,获取定期查看的见解。 “任何设备,任何制造商 – 只要他们谈论BACnet,我们就可以整合它们,”宾夕法尼亚州立大学设施自动化服务部门的系统设计专家Tom Walker说。 “这是一个非常简洁的协议,但你必须知道这个问题特别是在规模上部署它的烦恼。“一个怪癖是BACnet很容易播出暴风雨。由于数百个BACnet系统在多个校园内运行,公开遍历网络,Penn State担心网络其他部分的性能下降并暴露潜在的安全漏洞。沃克说:“大约四年前,我接管了这个基础设施,我进入了一个平坦的第二层网络,遍​​布整个主校区。”他和他的团队决定将大学共享基础设施中的BACnet流量分段,以提高安全性和可管理性.Penn State的设施自动化服务小组处理的功能包括自动化工程,网络管理和监控大学的数字连接例如,建筑自动化系统允许团队远程控制HVAC系统,因此教室和办公室可以为学生和员工进行适当的加热和冷却。自动化控制还有助于确保关键研究实验室的安全运行。[准备通过PluralSight的综合在线课程成为认证信息安全系统专业人员。现在提供10天免费试用! “我们有冰冰 – 这是不可替代的,”沃克说。 “所以我们对冷冻机进行监控,以确保它们不会自行解冻。”宾夕法尼亚州立大学的一个地下室还有一个原子钟,温度控制在十分之一度。设施自动化包括物联网设施自动化服务组cov宾夕法尼亚州拥有3200万平方英尺的建筑,分布在数十个全州校园和22,000英亩的土地上。在640多栋建筑中,有数十个系统,设备和传感器可以监控条件。他们收集的数据继续增长。“我们过去只是建立自动化。但多年来,我们已经开始采用更多组件。我们现在管理所有不同公用设施的网络 – 废水,水处理,蒸汽设备,配电,甚至冷水分配,“沃克说。”这是我们集团的演变。我们在建筑物内承接更多东西 – 保持建筑物运行的一切。我们将这些数据通过我们的网络基础设施带回数据中心,然后再提供要么将其跳到云端,要么将其传递给其他分析系统来分析数据。“例如,设施自动化小组开始跟踪电梯的使用情况。 “我们发现一台电梯在一天内完成了1,900次旅行。这是我们以前从未见过的洞察力,它解释了为什么电梯不断发生故障,“沃克说。这听起来很像物联网,但对于设施自动化团队来说,它只是照常营业。 “这个物联网业务 – 这是一个流行词,”沃克说。 “我们一直在做物联网。这就是楼宇自动化。它正在建筑物中进行控制并通过网络将它们带回来,因此我们可以远程管理该建筑物。“微观分割比VLAN,防火墙或ACL更适合宾夕法尼亚州立大学决定升级其建筑物的关键驱动因素信息系统是确保实地通信的必要条件。 BACnet基础设施是一个直接的无线和蜂窝网络连接网络。访问控制是一个令人担忧的问题。该大学正在进行的32.8亿美元资本支出计划 – 专注于现有设施和系统的更新 – 意味着过去几年几乎不断建设,并且有稳定的承包商进出电信机房,窃听进入楼宇自动化系统并安装恶意接入交换机和无线接入点。 “这些承包商将引入他们自己的交换机,将它们插入我们的平面第2层网络。或者他们会添加自己的接入点和无线路由器,“沃克说。 “管理非常复杂。”不要错过:什么是微观分析上? |微模块数据中心设置为倍增IDC的十大数据中心预测它也是一个潜在的攻击媒介,建筑自动化团队旨在消除这一点。 “这是主要目的:试图找出清理网络并以同样的方式保护网络的最佳方法,”Walker说。解决方案是微分段,允许宾夕法尼亚州立大学减少其网络攻击面并集中控制数百个BACnet系统 – 在升级期间不会破坏传统网络。一般来说,微分段允许组织将工作负载彼此隔离并单独保护它们。与传统的网络安全技术(如防火墙,虚拟局域网(VLAN))相比,它可以实现更精细的流量分区组织和访问控制列表(ACL)。组织可以根据不同类型的流量定制安全设置,例如,创建将工作负载之间的网络和应用程序流限制为明确允许的策略。如果设备或工作负载移动,安全策略和属性随之移动。目标是减少网络攻击面:通过将分段规则应用到工作负载或应用程序,组织可以降低攻击者从一个受损的工作负载或应用程序迁移到另一个的风险。对于Penn State,部分吸引力就是轻松部署和管理,这意味着设施团队可以自己管理网络重新架构。 “我们考虑在建筑物内创建单独的VLAN或[私有VLAN]MAC过滤,执行访问控制列表或构建楼层防火墙,“Walker说。 “但是当我们开始考虑可扩展性时,它会变得疯狂。对于其中一些选项,我只需要雇用至少两个人来管理工具集。“大学选择了Tempered Networks的微分段技术来隔离和掩盖其BACnet流量。供应商的HIPswitch设备在物理网络之上创建一个安全的专用覆盖网络,并且只允许明确信任的系统或端点进入覆盖。 HIPswitch与Tempering Networks的集中编排引擎Conductor一起工作,该引擎创建,管理和监控设备配置和安全策略。概念验证帮助塑造了宾夕法尼亚州的部署。钍Walk团队表示,e团队最初考虑将HIPswitch设备部署到单个控制器级别,但决定向上移动一层 – 到建筑层面 – 这大大简化了管理。 “我们能够创建控制器组和服务器组,然后通过覆盖层内的信任关系轻松地将它们连接在一起。”各个构建系统基于功能而不是端口被锁定。 “如果其中一个控制器受到攻击,他们只能访问数据中心,访问一台服务器。以前,如果有人破坏了建筑物,他们可以访问数据中心和所有暴露的应用程序,“Walker说。”现在我们可以说:’照明控制器只能与照明服务器通信。电梯控制器只能与电梯服务器通信。“Tempered Networks”技术“在各个建筑物和我们的数据中心之间建立信任。”它还减少了建筑物之间的交通,这在重新架构之前是一个问题。 “大而扁平的第2层网络上的每一栋建筑都听到了沟通的每一点。现在只有建筑物和服务器正在通信。“如果发生BACnet广播风暴或入侵,很容易关闭来自单个建筑物的流量,Walker说。 “之前,因为它是一个大而扁平的第2层菊花链,所以我必须关闭可能多个端口。或者,如果我关闭一个端口,它可能会关闭六个建筑物。现在我可以单独控制每栋建筑物的交通量。“技术also使得添加,移动和更改变得更容易;通过集中编排,宾夕法尼亚州立大学可以提供对网络上特定设备的安全承包商访问。“我想要一些我们可以轻松部署并立即保护基础设施的东西,”沃克说。早期的成功促使宾夕法尼亚州立大学扩展了该项目。最初,设施团队计划在宾夕法尼亚州立大学系统中最大的校园 – 大学公园部署HIPswitches。现在,该大学正在将该项目扩展到全州其他校区。随着宾夕法尼亚州立大学继续扩建其校园物业,HIPswitches的灵活性使设施团队能够连接到最偏远的地点。就在最近,Walker的团队在一座建筑物中部署了一个带有蜂窝连接的HIP开关他在玉米地的中间,需要花费更多的时间和金钱才能建立光纤连接。这种蜂窝功能是Walker发现比他最初预期更有用的功能。 “我们能够部署在以前无法实现的地方。”这个故事,“宾夕法尼亚州立大学保护楼宇自动化,物联网交通与微分段”最初由Network World出版。

Tags:

Add a Comment

电子邮件地址不会被公开。 必填项已用*标注