基于零信任架构的医疗设备安全

由云安全联盟发布了《基于零信任架构的医疗设备安全》这篇报告。以下是对该报告的简单概括，更多内容请前往原报告进行下载查看。实施零信任需要解决身份、设备、网络、应用和数据等安全支柱。需要强大的设备发现、监控、微隔离和加密技术。细粒度的访问控制、多因素认证和持续验证为设备和数据流创建了分层保护。

1.零信任

随着云计算、移动设备和医疗物联网（IoMT）设备的广泛应用，强大的边界防御和定义的网络边界的理念已经消失。此外，如今的工作人员更加分散，远程工作者需要随时随地、在任何设备上进行访问。医疗机构需要为所有资源提供安全访问，无论用户的位置在哪里。

零信任（Zero Trust）原则消除了对设备、主体和网络的信任假设。零信任专注于无论网络位置、主体或资产如何，实施基于风险的访问控制，确保安全访问。它提供了一系列的概念，旨在通过实施严格的访问控制和特权管理，最大程度地减少执行过程中的不确定性9。它基于网络已被入侵的假设，所有的访问授权是由信息系统和服务的需要最终决策的。10用户只能看到和访问允许他们执行指定任务的基础架构组件。

零信任要求设备健康检查、数据级别的保护、强大的身份架构以及策略级的微隔离，以在医疗机构的数字资源周围创建细粒度的信任区域。零信任实时评估访问请求和通信行为。访问权限不断根据 HDO 的资源进行重新调整。以下图表是美国国家标准与技术研究院（NIST）11提供的零信任架构示意图。组织需要实施全面的信息安全和弹性实践，以使零信任有效。在平衡现有的网络安全政策和指南、身份和访问管理、持续监控以及最佳实践的基础上，零信任架构可以防范常见的威胁，提升组织的安全性。

2.医疗设备管理项目

在讨论为医疗设备实施零信任之前，需要注意的是，由于大多数医疗机构拥有大量设备，尝试手动管理将非常耗时。医疗机构需要工具来管理网络的微细分、执行策略、识别漏洞，并提供终端检测和响应。 此外，他们还需要一个能够查看所有设备的管理系统。管理系统应提供所有设备及其位置的完整清单。清单应包括对设备进行设备身份识别，以提供足够具体和详细的清单，以便对资源请求进行近实时的有效授权决策。市面上有许多专门用于医疗设备管理系统，这些系统还可以识别与医疗设备相关的漏洞和风险。无论 HDO 选择哪种产品，该产品都应提供医疗设备生态系统的完整图景。

3.身份

成熟度模型的第一个支柱是身份（Identity）。身份成熟度模型的功能包括身份验证、身份信息存储和身份风险评估。身份是零信任架构的核心组成部分。成熟度模型从简单口令验证转向使用多种因素进行验证，并在所有交互过程中持续验证。身份指的是唯一描述用户或实体的属性或属性集合。 HDO 应确保正确用户和设备在正确的时间能够访问正确的资源13。在零信任的环境下，对接入到网络中的设备进行验证，是设备获得信任的一种重要手段。而IoMT 设备的问题是，它们可能无法像其他网络设备一样进行身份验证。HDO 可能无法利用控制平面验证IoMT 设备身份，而且 IoMT 设备无法安装可信模块（TPM）。其他一些方法可以为IoMT设备提供一定程度的信任。14这些方法将在后面“网络”章节部分进行讨论。

在将零信任策略应用于医疗设备之前，HDO 必须知道存在哪些设备及它们的功能，用途和位置。因为 HDO 通常使用的设备数量众多。所以这可能特别具有挑战性。而且，在许多情况下，HDO 可能只知道设备 IP 地址是属于那个子网的。15 HDO 需要一种可靠的方法来发现、分类和清点管辖范围内的所有医疗设备。收录的设备信息，应尽可能囊括设备的品牌、功能、位置、应用程序/端口和行为等信息。入网医疗设备是否安全依赖于对其的身份认证。只有经过身份认证入网的医疗设备，才会被视为可信的，能够按预期执行操作的。

医疗设备属性应被当做设备安全运行环境信任状态的上下文信息，且设备的安全运行环境信任状态是动态的。医疗设备属性结合设备强标识、运行环境、当前运行条件等信息将被持续地用于判定安全操作环境的安全性。使用医疗设备管理系统可以使HDO收集有关每个医疗器械的所有相关信息。这些信息可以用于确定应将哪些策略应用于哪个设备中。

3.设备

第二个支柱是设备。设备是可以连接到网络的任何硬件资产，包括IoMT 设备以及相关管理终端和人机交互终端。设备成熟度模型包括合规监视、数据访问和资产管理三个部分。HDOs 必须确保只有满足安全合规要求的设备才能访问到服务和数据。设备成熟度模型会将执行策略推向边缘侧的终端设备，以增强向用户直接提供服务和数据的能力，而无需通过传统的人工操作设备进行路由。16 虽然联网的医疗设备提高了 HDOs 优质医疗服务的能力，但它们也带来了安全问题，使病人和 HDOs 面临网络安全和信息泄露的风险。

4.网络

第三个支柱是网络。网络是指开放的通信媒介，包括内部网络、无线和互联网。网络成熟度模型包括隔离、威胁防护和加密三块内容。HDO 需要根据应用程序工作流的需求来调整网络隔离和保护，而不是传统网络隔离中固有的隐式信任。

医疗设备的联网是造成安全风险的原因。虽然安全源于设备，但HDOs 必须设法解决网络拓扑问题。当企业局域网中的设备需要连接其他设备时，它们需要一个标准来识别彼此。这个标准就是 IEEE 802.1X20 20。通过使用 802.1X 协议能够增强医疗设备的安全性。IEEE 802.1X 是 IEEE 802.1X 工作组定义的一个标准，该标准定义了在有线和无线网络中采用身份验证实现基于端口的访问控制。RADIUS 服务根据用户的凭据或证书进行身份鉴别。

需要注意的是，并不是所有的医疗设备都可以使用 802.1X 中提供的安全认证方式。在接入边缘侧，最好、最安全的解决方案是利用网络情报。通过MAC 认证旁路(MAB)，认证服务器可以使用客户端设备的 MAC 地址对其进行认证，而不是通过这里概述的EAPOL 认证过程。MAB 使用 MAC 地址来确定网络访问级别。MAB 在网络边缘为不支持IEEE 802.1X 的 IoMT 设备提供可见性和基于身份的访问控制。支持MAB 的端口可以根据尝试连接的设备的 MAC 地址动态启用或禁用。

在 MAB 认证之前，设备的身份是未知的，流量被阻断。交换机检查单个报文，并学习和认证源 MAC 地址。MAB 认证成功后，设备的身份变为已知，来自该设备的流量就被允许通过。23 MAB 不能检查除 MAC 地址外的其它身份标识项，这使它不能成为一个安全的身份认证选项，因为 MAC 地址很容易仿冒。使用医疗设备管理系统和微隔离才是安全的。医疗设备管理系统知道设备处于哪个网段，能够识别特定设备的传输通信，更难以仿冒设备。

在 CSA 云安全联盟的 “医疗设备入云的风险管理”白皮书中，强调了医疗设备分段和隔离的重要性。24在零信任的环境中，我们需要更进一步实现微隔离。虽然微隔离听起来像是对隔离的一种微小的增量改进，但实际上它代表着整体关注点的重大改变。传统的网络隔离关注的是网络性能和管理。然而，微隔离解决的是安全性和业务敏捷性相关的问题。微隔离是动态变化的 IT 环境中减少风险和自适应安全的强有力方法。微隔离通过将IT 环境划分为可控的隔离域来解决阻止横向移动的挑战，允许基于应用概念的安全规则，当应用程序和基础设施发生变化时自动重新配置，从而使安全具有动态性。

微隔离创建跨云和数据中心环境的安全域，使工作负载彼此隔离来分别的保证它们的安全。防火墙策略基于零信任安全方法隔离工作负载之间的东西向流量，以减少攻击面，并防止威胁的横向移动以阻止入侵。医疗设备管理系统可以将策略推到策略执行点执行动态策略配置。 所有医疗设备流量都应使用医疗设备管理系统和安全监控与响应软件进行监控。例如：EDR、MDR、NDR 和 XDR。如果发现异常，HDO 可以执行限制横向移动和防止恶意软件和非法活动传播的策略。此外，所有的网络流量都应该被加密。

5.应用

第四个支柱是应用，包括在本地和云端执行的应用程序。应用程序成熟度模型的功能包括访问授权、威胁防护、可访问性和应用程序安全。HDOs 需要将安全防护与应用工作流紧密结合起来，以确保具有提供足够的安全所需的可见性和理解力。26 确保医疗设备应用程序的安全性是防止设备被攻击的关键。零信任安全模型可以做到这一点，但零信任不是一个产品，而是一种可以转化为安全的网络和应用架构的方法和准则。本质上，它是一个解决方案生态系统的融合，能够确保默认情况下没有任何内部或外部的用户或设备是被信任的，在获得应用程序访问权限之前需要进行验证。

6.数据

第五个支柱是数据。数据应该在设备、应用进程和网络上受到保护。数据成熟度模型功能是资产管理、访问决策和加密。 HDO 应该采用以数据为中心的安全方法。HDO需要识别、分类和清点所有数据资产。31 医疗设备产生大量的面向各种用途的电子保护健康信息(ePHI)，这些信息数据用于诊断、监测和治疗患者，有助于提供安全有效的医疗保健。此外，这些数据还可用于人口健康和预防分析的大数据分析。这些数据在传输和静止时都必须得到保护。在零信任环境中，必须标识敏感数据、映射所有数据流和标识所有存储。

零信任框架下的数据使用是基于颗粒化的访问控制。零信任数据管理侧重于基于零信任原则的基础、以数据为中心的网络空间安全方案。无论数据位于何处，数据都受到保护，对单个 HDO 资源的访问基于单个会话，动态策略通过对所有数据源的访问控制来保护企业业务。通过不断地对数据进行核算，并建立与位置、特权、应用程序需求和行为相匹配的信任区域和访问控制，可以实现所有数据的管理可见性。

在零信任架构中使用异常检测和机器学习的预测分析记录所有访问尝试，并分析这些异常行为或可疑活动的尝试。由于系统可以识别任何异常，自动拒绝访问请求并发出警报，因此 HDO 可以主动防御攻击。32 在零信任环境中，数据使用需要考虑多个阶段。数据可以是静态、动态或使用中的数据。这些阶段中的每一个都对数据管理和安全性提出了挑战。 数据保护从控制访问开始。访问控制应确定谁可以查看数据、更改数据以及删除数据，并且必须确定和强制实施。但在此之前，静态数据应该被加密。此外，传输中的所有数据都必须加密。

在零信任中，数据是需要保护的资源。这意味着所有数据访问都必须通过PDP 和PEP，以确保执行以身份为中心的架构的安全。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）