文章总结： 本文探讨运营技术（OT）环境中零信任架构的实施策略，主张采用边界优先方法而非改造老旧设备。核心观点包括OT与IT零信任的区别在于硬件边界如网闸，建议通过分段、单向数据传输等技术保护遗留系统，并给出五个实施步骤：资产发现、微分段、权限管理、风险评估和人才培养。文章强调零信任应是持续韧性旅程而非一次性合规任务。 综合评分： 78 文章分类： 解决方案,技术标准,安全建设,OT安全,云安全

OT系统的零信任应该从边界开始而不是锅炉房

数世咨询

2026年4月30日 13:33 河北

在小说阅读器读本章

去阅读

点亮上方「★星标 」更多干货内容，不再错过！

本文关键看点：

#01

OT环境有其特殊性，其边界的定义、实现手段和优先级与IT存在关键区别。

#02

与软件定义边界的IT零信任不同，OT是硬件边界，如网闸。

#03

OT零信任的成功关键在于在网络的逻辑或物理边界上建立强大、可靠的防护，而不是试图深入“锅炉房”去改造每一个本身不具备零信任能力的老旧设备。

▍以下正文内容基于英文原文编译，可能存在语义偏差，请以原文为准。

✦

以下为正文

✦

“永不信任，始终验证”是一个合理原则。但当组织从云工作负载转向运营系统时，理论很快与现实发生碰撞。

在运营技术（OT）环境中，零信任仍然是一个关键目标，但在每个系统上统一应用IT风格的模型会带来高成本和高复杂性，却无法带来相称的风险降低。

澳大利亚关键基础设施的正确道路不是一刀切的方法，而是分阶段的、基于边界的方法——在承认遗留约束的同时，逐步提升韧性。

边界优先、分阶段的方法

一条更实用的道路是将零信任视为一种架构学科，应用在能产生最大风险降低的地方，并从内向外构建。这首先要强化处理OT数据的企业应用和服务，在这些地方，组织可以现实地执行强身份验证、持续验证和最小权限。

在此基础上，运营商可以在OT与IT之间的关键数据流周围定义清晰的安全边界，而不是试图让每个现场设备都成为”零信任原生”。这种边界优先的立场有利于渐进式项目，使组织能够优先处理高后果系统、实现可见的里程碑，并避免拖累许多OT转型的”全有或全无”陷阱。

通过有针对性的控制保护遗留系统

由于许多遗留设备无法安装代理，甚至无法生成日志，组织必须通过架构控制来间接保护它们。硬件强制的单向数据传输就是一个很好的例子——数据二极管在物理上允许信息从OT网段传出，但不能传回，无论软件如何配置，都能切断大类的远程攻击。

GME与Owl Cyber Defense的合作将这一概念应用于澳大利亚关键基础设施领域。通过这种合作关系，单向数据传输技术与过滤和标记相结合。这种设置允许将受限的OT和物联网设备的数据安全地摄取到现代的、符合零信任的环境中。

通过将这些设备隔离在二极管后面，运营商可以将稀缺的工程工作和证书管理精力集中在更能分析数据并采取行动的高级系统上，而不是试图改造现场的每个传感器。

为故障排除、人才和自动化做准备

一个在成熟度热图上看起来很好、但无法日常维护的零信任项目，本身就是另一种脆弱性。运营商需要考虑谁将管理公钥基础设施、证书续期如何自动化，以及如何在分段网络和分层控制中诊断故障。这些考虑应该纳入初始架构，而不是在第一个工具部署后才作为事后考虑。

对于许多澳大利亚组织来说，答案将是内部能力与可信合作伙伴的混合——无论是边界技术（如数据二极管和下一代网关）的托管服务，还是为设计零信任框架提供支持的专业服务。重要的不是在内部拥有所有技能，而是在出现问题时确保有正确的专业知识和遥测技术来快速发现和修复问题。

将原则转化为行动：五个下一步

一旦组织就基于边界的策略达成一致，并接受OT零信任是一段旅程，挑战就变成了从哪里开始。

一套务实的步骤有助于将战略转化为执行，而不会让团队不堪重负。

• 了解网络上真正有什么：发现每个设备、系统和”影子IT”资产，包括藏在柜子或墙壁中的遗留硬件，并用物理检查验证自动扫描结果。这样做时，组织应该预期会发现承担关键功能却无人认领、未打补丁的设备，并相应地规划预算以进行零信任所需的现代化改造。
• 分段以缩小爆炸半径：创建微分段，使用户、服务器和应用程序只能与所需的对象通信，将任何破坏控制在一个小区域而不是整个网络。这通过VLAN、强制控制、下一代防火墙等机制实现，在高风险情况下还包括单向二极管（用于物联网、备份等）。
• 收紧访问管理和角色：定期审计和清理人员和机器的权限，消除随着人员岗位调动和网段之间的临时连接变为永久连接而出现的”权限蔓延”。这些审计确保预期的隔离和角色分离仍然符合实际情况。
• 切合实际地确定范围和预算：领导者需要评估业务风险，确定皇冠上的明珠资产和最高影响的攻击路径，然后估算在技术和技能方面需要什么来首先强化这些资产。使用成熟度模型来设定可实现的里程碑，让董事会能够理解权衡，而不是为开放式、企业范围的重建提供资金。
• 投资于人才和持续运营：成熟的零信任环境通常依赖数十种专业工具和紧密分段的网络域。如果没有理解这些组件如何协同的人员，组织创造的架构在纸面上是安全的，但在实践中却很脆弱。有些组织会在内部建立这些能力，而另一些则依赖可信的合作伙伴或部分网络领导，但所有组织都需要一个明确的持续运营计划，而不仅仅是初始部署。

将零信任作为OT韧性之旅

对于关键基础设施运营商来说，零信任应该少被视为合规清单，多被视为降低不可避免的故障和入侵影响的持续旅程。这一旅程始于对遗留约束的诚实可见性，然后画出智能边界。从那里，在重要的地方使用硬件强制的单向传输，并将高级控制集中在可以完全应用的地方。

通过采取可管理的、基于边界的方法，澳大利亚组织可以在不让运营陷入停顿的情况下实质性地提升网络韧性，而不是试图对现场的每个设备进行不可能的即时升级。

* 本文为泽钧编译，https://www.cyberdaily.au/security/13443-op-ed-why-zero-trust-for-ot-should-start-at-the-boundary-not-the-boiler-room 注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

更多推荐

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数世咨询 《OT系统的零信任应该从边界开始而不是锅炉房》