Architektura zabezpečení pro řešení IoT
Při návrhu a architektuře řešení IoT je důležité porozumět potenciálním hrozbám a zahrnout odpovídající ochranu. Když pochopíte, jak může útočník ohrozit systém, pomůže vám to zajistit, aby se od počátku proběhla příslušná zmírnění rizik.
Modelování hrozeb
Microsoft doporučuje při návrhu řešení IoT používat proces modelování hrozeb. Pokud nejste obeznámeni s modelováním hrozeb a životním cyklem zabezpečeného vývoje, přečtěte si:
Zabezpečení v IoT
V rámci modelování hrozeb je užitečné rozdělit architekturu IoT do několika zón:
- Zařízení
- Brána pole
- Cloudová brána
- Služba
Každá zóna má často vlastní data a požadavky na ověřování a autorizaci. Zóny můžete také použít k izolaci poškození a omezení dopadu zón nízké důvěryhodnosti na zóny s vyšší důvěryhodností.
Každá zóna je oddělená hranicí vztahu důvěryhodnosti, která se v následujícím diagramu zobrazuje jako tečkovaná červená čára. Představuje přechod dat z jednoho zdroje do jiného. Během tohoto přechodu můžou být data vystavena následujícím hrozbám:
- Falšování identity
- Manipulace
- Popírání odpovědnosti
- Zveřejnění informací
- Odepření služby
- Zvýšení oprávnění
Další informace najdete v modelu STRIDE.
Pomocí strIDE můžete namodelovat hrozby pro jednotlivé komponenty v rámci každé zóny. V následujících částech se budeme zabývat jednotlivými komponentami a konkrétními aspekty zabezpečení a řešeními, které je potřeba zavést.
Zbývající část tohoto článku podrobněji popisuje hrozby a zmírnění těchto zón a komponent.
Zóna zařízení
Prostředí zařízení je prostor kolem zařízení, kde je možný fyzický přístup a digitální přístup k zařízení v místní síti. Předpokládá se, že místní síť je odlišná a izolovaná od veřejného internetu, ale potenciálně překlenovaná s veřejným internetem. Prostředí zařízení zahrnuje jakoukoli bezdrátovou bezdrátovou technologii s krátkým dosahem, která umožňuje komunikaci mezi dvěma účastníky zařízení. Nezahrnuje žádnou technologii virtualizace sítě, která vytváří iluzi takové místní sítě. Nezahrnuje sítě veřejných operátorů, které vyžadují, aby v rámci veřejného síťového prostoru komunikovala nějaká dvě zařízení, pokud by měla narazit na komunikační vztah peer-to-peer.
Zóna brány pole
Brána pole je zařízení, zařízení nebo serverový počítačový software pro obecné účely, který funguje jako prostředek pro povolení komunikace a potenciálně jako systém řízení zařízení a centrum pro zpracování dat zařízení. Zóna brány pole zahrnuje samotnou bránu pole a všechna zařízení k ní připojená. Brány pole fungují mimo vyhrazené zařízení pro zpracování dat, obvykle jsou vázané na umístění, mohou být předmětem fyzického narušení a mají omezenou provozní redundanci. Brána pole je obvykle věc, kterou útočník může fyzicky sabotovat, pokud získá fyzický přístup.
Brána pole se liší od směrovače provozu v tom, že má aktivní roli při správě přístupu a toku informací. Brána pole má dvě různé plochy. Jeden směřuje k zařízením, která jsou k němu připojená, a představuje vnitřní část zóny. Druhá strana je určená všem externím stranám a je okrajem zóny.
Zóna cloudové brány
Cloudová brána je systém, který umožňuje vzdálenou komunikaci z a do zařízení nebo bran pole nasazených ve více lokalitách. Cloudová brána obvykle umožňuje cloudový systém řízení a analýzy dat nebo federaci takových systémů. V některých případech může cloudová brána okamžitě usnadnit přístup k zařízením pro zvláštní účely z terminálů, jako jsou tablety nebo telefony. V zóně cloudové brány brání provozní opatření cílenému fyzickému přístupu a nemusí být nutně vystavena infrastruktuře veřejného cloudu.
Cloudová brána může být namapovaná na překryv virtualizace sítě, aby se cloudová brána a všechna její připojená zařízení nebo brány pole odizolovaly od jakéhokoli jiného síťového provozu. Samotná cloudová brána není řídicím systémem zařízení ani zařízením pro zpracování nebo ukládání dat zařízení. tato zařízení jsou v rozhraní s cloudovou bránou. Zóna cloudové brány zahrnuje samotnou cloudovou bránu spolu se všemi branami pole a zařízeními, která jsou k ní přímo nebo nepřímo připojená. Okraj zóny je odlišný povrch, přes který komunikují všechny externí strany.
Zóna služeb
Služba v tomto kontextu je jakákoli softwarová komponenta nebo modul, který komunikuje se zařízeními prostřednictvím pole nebo cloudové brány. Služba může shromažďovat data ze zařízení a řídit je a řídit. Služba je mediátor, který v rámci své identity působí vůči branám a dalším subsystémům za účelem:
- Ukládání a analýza dat
- Vydávání příkazů pro zařízení na základě přehledů dat nebo plánů
- Zpřístupnění informací a možností řízení autorizovaným koncovým uživatelům
Zařízení IoT
Zařízení IoT jsou často zařízení pro speciální účely, od jednoduchých teplotních senzorů až po složité výrobní linky, ve kterých jsou tisíce součástí. Mezi příklady funkcí zařízení IoT patří:
- Měření a hlášení podmínek prostředí
- Soustružnické ventily
- Řízení serva
- Zvuky budíků
- Zapnutí nebo vypnutí světel
Účel těchto zařízení určuje jejich technický návrh a dostupný rozpočet pro jejich výrobu a plánovanou životnost. Kombinace těchto faktorů omezuje dostupný provozní rozpočet energie, fyzickou stopu a dostupné možnosti úložiště, výpočetních prostředků a zabezpečení.
Mezi věci, které se můžou pokazit u automatizovaného nebo vzdáleně řízeného zařízení IoT, patří:
- Fyzické vady
- Vady řídicí logiky
- Úmyslné neoprávněné vniknutí a manipulace.
Následky těchto selhání mohou být závažné, například zničené výrobní pozemky, vyhořelé budovy nebo zranění a smrt. Proto je k dispozici panel zabezpečení pro zařízení, která můžou hýbat, nebo zařízení, která hlásí data ze snímačů. Výsledkem jsou příkazy, které způsobují přesun.
Interakce ovládacích prvků zařízení a dat zařízení
Připojená zařízení pro zvláštní účely mají značný počet potenciálních ploch interakce a vzorců interakce, z nichž všechny je třeba zvážit, aby se zajistil rámec pro zabezpečení digitálního přístupu k těmto zařízením. Digitální přístup označuje operace, které se provádějí prostřednictvím softwaru a hardwaru, nikoli prostřednictvím přímého fyzického přístupu k zařízení. Fyzický přístup může být například řízen umístěním zařízení do místnosti se zámkem na dveřích. I když pomocí softwaru a hardwaru nejde fyzický přístup odepřít, je možné přijmout opatření, která zabrání fyzickému přístupu, aby vedl k rušení systému.
Při zkoumání vzorců interakce se podívejte na řízení zařízení a data zařízení se stejnou úrovní pozornosti. Ovládací prvek zařízení označuje všechny informace poskytnuté zařízení s úmyslem změnit jeho chování. Data zařízení odkazují na informace, které zařízení vysílá jakékoli jiné straně o svém stavu a zjištěném stavu jeho prostředí.
Modelování hrozeb pro referenční architekturu Azure IoT
Tato část používá referenční architekturu Azure IoT k předvedení, jak přemýšlet o modelování hrozeb pro IoT a jak řešit zjištěné hrozby:
Následující diagram poskytuje zjednodušené zobrazení referenční architektury pomocí modelu diagramu toku dat:
Architektura odděluje možnosti zařízení a brány pole. Tento přístup umožňuje používat bezpečnější zařízení brány pole. Zařízení brány pole můžou komunikovat s cloudovou bránou pomocí zabezpečených protokolů, které obvykle vyžadují větší výpočetní výkon, než může jednoduché zařízení, jako je termostat, samo poskytnout. V diagramu zóny služeb Azure je služba Azure IoT Hub cloudovou bránou.
Na základě architektury popsané výše jsou v následujících částech uvedeny některé příklady modelování hrozeb. Příklady se zaměřují na základní prvky modelu hrozeb:
- Procesy
- Komunikace
- Storage
Procesy
Tady je několik příkladů hrozeb v kategorii procesů. Hrozby jsou rozdělené do kategorií na základě modelu STRIDE:
Falšování identity: Útočník může extrahovat kryptografické klíče ze zařízení, a to buď na úrovni softwaru, nebo hardwaru. Napadený pak použije tyto klíče pro přístup k systému z jiného fyzického nebo virtuálního zařízení pomocí identity původního zařízení.
Odepření služby: Zařízení může být znemožněno fungovat nebo komunikovat tím, že zasahuje do rádiových frekvencí nebo vysekává dráty. Například bezpečnostní kamera, která měla úmyslně vyřadit napájení nebo síťové připojení, nemůže vůbec hlásit data.
Manipulace: Útočník může částečně nebo zcela nahradit software na zařízení. Pokud jsou kryptografické klíče zařízení dostupné pro kód útočníků, může pak použít identitu zařízení.
Manipulace: Bezpečnostní kamera, která zobrazuje viditelný snímek prázdné chodby, by mohla být zaměřena na fotografii takové chodby. Senzor kouře nebo požáru může hlásit někoho, kdo pod ním drží zapalovač. V obou případech může být zařízení technicky plně důvěryhodné vůči systému, ale hlásí manipulované informace.
Manipulace: Útočník může pomocí extrahovaných kryptografických klíčů zachytit a potlačit data odesílaná ze zařízení a nahradit je falešnými daty ověřenými odcizenými klíči.
Zpřístupnění informací: Pokud na zařízení běží manipulovaný software, může takový zmanipulovaný software potenciálně unikat data neoprávněným stranám.
Zpřístupnění informací: Útočník může pomocí extrahovaných kryptografických klíčů vložit kód do komunikační cesty mezi zařízením a bránou pole nebo cloudovou bránou, aby si odčerpávala informace.
Odepření služby: Zařízení je možné vypnout nebo převést do režimu, ve kterém není možná komunikace (což je záměrné u mnoha průmyslových strojů).
Manipulace: Zařízení je možné překonfigurovat tak, aby fungovalo ve stavu neznámém řídicímu systému (mimo známé parametry kalibrace) a poskytovalo tak data, která mohou být nesprávně interpretována.
Zvýšení oprávnění: Zařízení, které dělá konkrétní funkci, může být nuceno dělat něco jiného. Například ventil, který je naprogramován tak, aby se otevřel v polovině cesty, může být podveden, aby se otevřel celou cestu.
Falšování identity, falšování nebo odmítání: Pokud není zabezpečeno (což se u vzdálených ovládacích prvků uživatele stává zřídka), může útočník anonymně manipulovat se stavem zařízení. Dobrou ilustrací je dálkový ovladač, který dokáže vypnout jakoukoli televizi.
Následující tabulka ukazuje příklady zmírnění těchto hrozeb. Hodnoty ve sloupci hrozby jsou zkratky:
- Falšování identity (S)
- Manipulace (T)
- Odmítnutí (R)
- Zpřístupnění informací (I)
- Odepření služby (D)
- Zvýšení oprávnění (E)
| Součást | Hrozba | Omezení rizik | Riziko | Implementace |
|---|---|---|---|---|
| Zařízení | S | Přiřazení identity k zařízení a ověření zařízení | Nahrazení zařízení nebo jeho části jiným zařízením. Jak poznáte, že mluvíte se správným zařízením? | Ověřování zařízení pomocí protokolu TLS (Transport Layer Security) nebo PROTOKOLU IPSec Infrastruktura by měla podporovat použití předsdíleného klíče (PSK) na zařízeních, která nezvládají úplnou asymetrickou kryptografii. Použijte Azure AD, OAuth. |
| TRID | Použijte na zařízení mechanismy pro manipulaci, například tím, že znesnadníte extrakci klíčů a dalšího kryptografického materiálu ze zařízení. | Riziko spočívá v případě, že někdo manipuluje se zařízením (fyzický zásah). Jak jste si jistí, že se zařízením nebylo manipulováno? | Nejúčinnějším zmírněním rizik je čip TPM (Trusted Platform Module). Čip TPM ukládá klíče ve speciálních obvodech na čipu, ze kterých se klíče nedají číst, ale dají se použít pouze pro kryptografické operace, které tento klíč používají. Šifrování paměti zařízení. Správa klíčů pro zařízení Podepsání kódu. | |
| E | Řízení přístupu k zařízení. Autorizační schéma. | Pokud zařízení umožňuje provádět jednotlivé akce na základě příkazů z vnějšího zdroje nebo dokonce napadených senzorů, umožňuje útoku provádět operace, které nejsou jinak přístupné. | Máte schéma autorizace pro zařízení. | |
| Field Gateway | S | Ověřování brány Field v cloudové bráně (například na základě certifikátů, psk nebo na základě deklarace identity) | Pokud někdo může z falšovat bránu Field Gateway, může se prezentovat jako jakékoli zařízení. | TLS RSA/PSK, IPSec, RFC 4279. Všechny stejné problémy s úložištěm klíčů a ověřením identity zařízení obecně – nejlepším případem je použití čipu TPM. Rozšíření 6LowPAN pro IPSec pro podporu sítí WSN (Wireless Sensor Networks). |
| TRID | Ochrana brány Field Gateway před manipulací (TPM) | Útoky s falšováním identity, které ošidí cloudovou bránu domnění, že se jedná o bránu v terénu, můžou vést ke zpřístupnění informací a manipulaci s daty. | Šifrování paměti, čipy TPM, ověřování. | |
| E | Mechanismus řízení přístupu pro Field Gateway |
Komunikace
Tady je několik příkladů hrozeb v kategorii komunikace. Hrozby jsou rozdělené do kategorií na základě modelu STRIDE:
Odepření služby: Omezená zařízení jsou obecně ohrožena službou DoS, když aktivně poslouchají příchozí připojení nebo nevyžádané datagramy v síti. Útočník může otevřít mnoho připojení paralelně a buď je nebude obsluhovat, nebo je obsluhovat pomalu, nebo zahltit zařízení nevyžádaným provozem. V obou případech je možné zařízení efektivně vykreslit jako nefunkční v síti.
Falšování identity, zpřístupnění informací: Omezená zařízení a zařízení pro speciální účely mají často 1 pro všechny bezpečnostní zařízení, jako je ochrana heslem nebo PIN kódem. Někdy se plně spoléhají na důvěryhodnost sítě a udělují přístup k informacím libovolnému zařízení ve stejné síti. Pokud je síť chráněná sdíleným klíčem, který se odhalí, může útočník ovládat zařízení nebo sledovat přenášená data.
Falšování identity: Útočník může zachytit nebo částečně přepsat vysílání a falšovat původce.
Manipulace: Útočník může zachytit nebo částečně přepsat vysílání a odeslat nepravdivé informace.
Zpřístupnění informací: Útočník může odposlouchat vysílání a získat informace bez autorizace.
Odepření služby: Útočník může zaseknout signál vysílání a odmítnout distribuci informací.
Následující tabulka ukazuje příklady zmírnění těchto hrozeb:
| Součást | Hrozba | Omezení rizik | Riziko | Implementace |
|---|---|---|---|---|
| IoT Hub zařízení | TID | (D) Šifrování provozu protokolem TLS (PSK/RSA) | Odposlouchávání nebo zasahování do komunikace mezi zařízením a bránou | Zabezpečení na úrovni protokolu. S vlastními protokoly musíte zjistit, jak je chránit. Ve většině případů probíhá komunikace ze zařízení do IoT Hub (zařízení zahájí připojení). |
| Zařízení na zařízení | TID | (D) Protokol TLS (PSK/RSA) k šifrování provozu. | Čtení dat při přenosu mezi zařízeními Manipulace s daty. Přetížení zařízení novými připojeními | Zabezpečení na úrovni protokolu (MQTT,AMQP/HTTP/CoAP. S vlastními protokoly musíte zjistit, jak je chránit. Zmírněním hrozby DoS je vytvořit partnerský vztah zařízení přes cloudovou nebo polní bránu a nechat je, aby se vůči síti chovaly jenom jako klienti. Jakmile brána zprostředkuje partnerský vztah, může mezi partnerskými vztahy existovat přímé připojení. |
| Zařízení externí entity | TID | Silné párování externí entity se zařízením | Odposlouchávání připojení k zařízení. Narušení komunikace se zařízením | Bezpečné spárování externí entity se zařízením NFC/Bluetooth LE. Řízení provozního panelu zařízení (fyzické). |
| Cloudová brána field gateway | TID | Protokol TLS (PSK/RSA) k šifrování provozu. | Odposlouchávání nebo zasahování do komunikace mezi zařízením a bránou | Zabezpečení na úrovni protokolu (MQTT,AMQP/HTTP/CoAP). S vlastními protokoly musíte zjistit, jak je chránit. |
| Cloudová brána zařízení | TID | Protokol TLS (PSK/RSA) k šifrování provozu. | Odposlouchávání nebo zasahování do komunikace mezi zařízením a bránou | Zabezpečení na úrovni protokolu (MQTT,AMQP/HTTP/CoAP). S vlastními protokoly musíte zjistit, jak je chránit. |
Storage
Následující tabulka ukazuje příklad zmírnění rizik pro úložiště:
| Součást | Hrozba | Omezení rizik | Riziko | Implementace |
|---|---|---|---|---|
| Úložiště zařízení | TRID | Šifrování úložiště, podepisování protokolů | Čtení dat z úložiště, manipulace s telemetrickými daty Manipulace s daty ovládacích prvků příkazů ve frontě nebo v mezipaměti. Manipulace s balíčky konfigurace nebo aktualizace firmwaru při ukládání do mezipaměti nebo ve frontě místně může vést k ohrožení zabezpečení operačního systému nebo systémových komponent | Šifrování, kód pro ověřování zpráv (MAC) nebo digitální podpis. Pokud je to možné, silné řízení přístupu prostřednictvím seznamů řízení přístupu k prostředkům (ACL) nebo oprávnění. |
| Image operačního systému zařízení | TRID | Manipulace s operačním systémem / nahrazení komponent operačního systému | Oddíl operačního systému jen pro čtení, podepsaná image operačního systému, šifrování | |
| Úložiště field gateway (řazení dat do fronty) | TRID | Šifrování úložiště, podepisování protokolů | Čtení dat z úložiště, manipulace s telemetrickými daty, manipulace s daty ovládacích prvků příkazů ve frontě nebo v mezipaměti. Manipulace s balíčky konfigurace nebo aktualizace firmwaru (určenými pro zařízení nebo polní bránu) při ukládání do mezipaměti nebo ve frontě místně může vést k ohrožení zabezpečení operačního systému nebo systémových komponent. | BitLocker |
| Image operačního systému Field Gateway | TRID | Manipulace s operačním systémem / nahrazení komponent operačního systému | Oddíl operačního systému jen pro čtení, podepsaná image operačního systému, šifrování |
Další kroky
Další informace o zabezpečení IoT najdete tady: