了解组织是否拥有支持向云迁移的技能、人员和政策。 在 OT 组织考虑将其任何运营技术解决方案迁移到云之前,他们首先需要了解其组织的准备情况。在这种情况下,组织准备就绪是指了解您是否拥有支持向云迁移的技能、人员和政策。 笔记:OT 环境可能面临更大的云迁移挑战,因为它们依赖于物理系统,而这些系统通常包含并非为互联网络设计的遗留硬件。云迁移不应孤立执行,而需要被视为组织更广泛的网络安全战略的一部分。 可以获得云专业知识吗?与所有新技术一样,云需要一套特殊的技能和专业知识来设计、部署和维护安全的解决方案。当许多 OT 组织从本地环境迁移时,组织中可能尚不存在这些特定于云的技能。在开始云迁移策略之前,OT 组织需要考虑需要在内部培养哪些技能。另一种选择是考虑托管服务提供商 (MSP)。NCSC 制定了有关使用 MSP 管理云服务的指南。 如果云托管的 SCADA 仅用作冷备用,您还应确保定期进行锻炼和培训,以确保技能得到保持。具备云托管 SCADA 特定技能的员工应具有明确定义的职责,作为事件响应计划的一部分。 是否考虑过所需的政策和流程?迁移到云是大多数 OT 组织运营方式的根本转变。从本地网络(传统上可能是气隙的并且远离互联网连接)迁移到默认情况下通常连接互联网的环境需要组织重新评估其网络安全策略和程序。 如果不重新评估这些策略,您就不可能应对云带来的变化速度、连接性的增加和新技术,同时将安全性作为您的规划的核心。这些策略应考虑NCSC 使用云平台安全指南中讨论的适应云的原则。 是否考虑过共享服务的影响?在设计云托管 SCADA 解决方案时,需要仔细考虑所有外部连接和共享服务。OT 供应商通常直接提供维护服务和/或安全功能(由于技术的专有性质)。您应该考虑与共享服务或第三方解决方案的连接如何影响关键 SCADA 数据的完整性。 如前所述,如果组织内缺乏云技能,则可能会选择 MSP 来提供解决方案。组织还应该意识到,尽管 MSP 将带来大量云专业知识,但他们可能并不总是在 SCADA 系统方面经验丰富。组织必须确保其 OT 主题专家 (SME) 参与设计过程,以解决该部门所需的细微差别。 第三方是第三个攻击面,因此应仔细考虑 MSP 如何实施其安全控制。“使用 MSP 管理您的云服务”博客中提供了有关 MSP 注意事项的进一步建议。需要了解的一个关键要素是所选 MSP 将如何提供云解决方案,因为这可能包括:
组织应该清楚地了解云环境和根管理员帐户的所有权。如果 MSP 拥有底层云帐户,那么 MSP 妥协影响其服务的客户环境的风险就会大得多。CNI 组织已经成为先进对手的有吸引力的目标;单个 MSP 或第三方服务/集成为多个 CNI 组织提供服务可能会进一步增加风险。 |
|