透過管理軟體(如 DCIM、BMS、EPMS)監控資料中心和分散式 IT 實體基礎架構,意味著將電力、冷卻、環境與安全監控設備接入 IP 網路,實現遠端監控與設備控制。使用這類管理軟體能提高實體基礎架構系統的可用性和韌性,並提升 IT 工作負載的運行效率。
然而,這些管理網路通常延伸至遠端伺服器、企業 IT 系統、行動設備以及第三方雲端服務,這也為駭客入侵提供了潛在的攻擊途徑。因此,為了降低網路安全風險,供應商以及資料中心的設計、安裝、營運和維護團隊需要持續採取對策。
最近,我與施耐德電機的網路安全顧問 Katie Hargraves 共同撰寫了一份白皮書《資料中心電力與冷卻基礎架構系統的網路安全指南》。在這份文件中,我們構建了一個完整的框架,詳述了資料中心生命週期各階段的最佳安全實踐。我們強調了第一步的關鍵:仔細評估供應商及其產品。
供應商在設計、開發和支援其連網 IoT 產品時對安全性的重視程度,應該成為您選擇解決方案的關鍵考量。務必選擇那些在安全問題上主動、開放且透明的供應商。
但如果不親自面試供應商並開啟“誇大偵測器”進行測試,您如何確定他們是否真的具備良好的安全意識,並確保產品從安全角度設計完善呢?最簡單的方式是確認其產品是否通過了適用於供應商的 IEC 62443 認證。沒有這項認證,資料中心和分散式 IT 操作員將不得不投入大量時間和精力來檢驗是否符合各種要求。而如果有了認證,這些額外的工作就不再需要。施耐德電機近期宣布,其用於連接 UPS、冷卻單元、機架 PDU 和其他基礎架構設備的網路管理卡 3 平台,已通過全球領先檢測機構 TUVRheinland 頒發的 IEC 62443-4-2 認證。
國際電工委員會(IEC)62443 系列標準主要針對“工業自動化和控制系統(IACS)”的網路安全問題。雖然該標準最初是為 IACS 制定,但現已被應用於其他類型的系統,如連接至網路的電力、冷卻和 IT 設備的監控系統。有時您會看到它被標示為“ISA/IEC 62443”或“ISA 62443”,其中 ISA 指的是國際自動化協會。該標準由 ISA 的 ISA99 委員會制定,後來被 IEC 採用並正式納入 IEC 標準。
驗證供應商對標準的應用與合規性
IEC 62443 認證在網路安全領域至關重要,它提供了一個系統化的框架,用來評估並提升基礎架構系統的安全性。認證能夠證實供應商是否真正遵循這個框架及其所有要求。
儘管這項標準已經存在多年,但對於 UPS、資料中心冷卻系統、電力分配單元(PDU)等設備和其管理軟體來說,取得該認證的供應商仍然相對少見。這很可能是因為取得這項認證需要投入大量時間與精力,且目前政府並未強制要求供應商必須取得。因此,一些供應商可能會使用模糊不清的說法,如「我們的產品符合要求」或「依據 IEC 標準設計」等,讓買家誤以為他們已完全合規並通過認證。但這與經過第三方獨立實驗室正式認證是截然不同的。所以,買家務必要多加謹慎。
IEC 62443 系列標準概述
IEC 的部落格文章很好地概述了 IEC 62443 系列標準,因此我將重點整理如下:IEC 62443 不僅涵蓋實體基礎架構設備或系統的技術層面,還包括工作流程、應對措施,甚至是參與開發的員工。這是一套綜合性的標準,因為並非所有的風險都來自技術本身。例如,負責開發或營運 UPS、冷卻系統等基礎設施的員工,必須具備充分的訓練、知識與技能,才能保障安全。
該標準系列由四大部分組成:
該標準系列由四大部分組成:
- IEC 62443-1:闡述了適用於整套標準的術語、概念、模型、政策及流程。
- IEC 62443-2:描述了與 IACS 安全相關的方法與流程,涵蓋補丁管理以及開發與支援連網設備的服務提供商或供應商的安全計畫要求。
- IEC 62443-3:針對系統層級的要求,包含網路技術的使用、系統設計的風險評估,並界定系統的安全要求和等級。
- IEC 62443-4:著重於產品層級的安全要求,涵蓋產品開發的各個階段(如安全開發生命周期)、產品使用元件的要求及安全合規性評估。此評估可確認標準在實際應用中的正確實施。
認證如何確保供應商產品的安全性
IEC 62443 認證確保供應商的產品符合特定的安全標準。正如前文提到,獨立的第三方認證意味著供應商確實遵守了框架的所有要求。以下重點概述了認證涵蓋的內容:
- 標準化安全要求
IEC 62443 訂立了一套專為工業控制系統設計的標準化安全要求,涵蓋存取控制、網路安全、事件應對等多方面。要取得認證,供應商必須證明其產品符合這些標準。 - 風險評估
認證過程中,供應商產品需經過全面的風險評估,以識別在工業環境中可能面臨的安全風險與威脅。 - 安全測試
供應商產品必須接受嚴格的安全測試,包括滲透測試與漏洞掃描,以確保其能抵禦常見的網路攻擊並應對多種潛在的安全威脅。 - 安全開發流程
認證還評估供應商在產品設計與開發過程中是否遵循安全開發流程,如安全編碼、設計審查與漏洞管理等。 - 安全部署與配置
認證也檢視產品在工業環境中的安全部署與配置方式,確保最終用戶能夠以最小風險的方式使用該產品。 - 文件與合規性
供應商需要提供完整的產品安全文件,讓用戶能夠理解並遵循 IEC 62443 的安全標準。 - 持續改進
IEC 62443 認證並非一次性認證,供應商必須持續監控並提升產品的安全性,且在新產品推出時,必須進行再認證,這需要長期的投入與研發。 - 獨立第三方評估
認證由獨立的第三方機構或實驗室進行,這增加了供應商安全聲明的可信度,確保安全措施的客觀性與有效性。 - 符合產業最佳實踐
IEC 62443 與全球工業控制系統的安全最佳實踐接軌,成為工業、物聯網及 IT 基礎架構安全領域公認的框架。
認證帶來網路安全的保障
總結來說,IEC 62443 認證確保供應商針對資料中心和分散式 IT 環境設計的產品符合明確的安全標準,並經過全面的測試與評估。這大大降低了關鍵基礎設施與工業系統的網路安全風險,讓用戶對產品的安全性與可靠性更加有信心。選擇具備該認證的產品,能顯著減少您在安全驗證與合規上的工作量,並帶來安心保障。
作者:Patrick Donovan | 原文連結
延伸閱讀相關連結
