Prozkoumání hloubkové strategie zabezpečení

5 min

Zabezpečení infrastruktury Internetu věcí (IoT) vyžaduje důkladnou strategii zabezpečení. Tato strategie vyžaduje zabezpečení dat v cloudu, ochranu integrity dat při přenosu přes veřejný internet a bezpečné zřizování zařízení. Každá vrstva vytváří větší záruku zabezpečení v celkové infrastruktuře.

Přispěvatelé a zabezpečení řešení IoT

Tuto strategii v oblasti zabezpečení je možné vyvíjet a spouštět s aktivní účastí různých hráčů zapojených do výroby, vývoje a nasazení zařízení a infrastruktury IoT. Následuje základní popis těchto hráčů.

Výrobce/integrátor hardwaru IoT: Obvykle jsou tito hráči výrobci hardwaru IoT, kteří nasazují hardware IoT, integrátory sestavující hardware od různých výrobců nebo dodavatelů poskytující hardware pro nasazení IoT vyrobené nebo integrované jinými dodavateli.
Vývojář řešení IoT: Vývoj řešení IoT obvykle provádí vývojář řešení. Tento vývojář může být součástí interního týmu nebo integrátora systému (SI), který se specializuje na tuto činnost. Vývojář řešení IoT může vyvíjet různé komponenty řešení IoT od nuly, integrovat různé opensourcové nebo opensourcové komponenty nebo přijmout akcelerátory řešení s menší adaptací.
Nasazovač řešení IoT: Po vytvoření řešení IoT je potřeba ho nasadit do pole. Tento proces zahrnuje nasazení hardwaru, propojení zařízení a nasazení řešení v hardwarových zařízeních nebo v cloudu.
Operátor řešení IoT: Po nasazení řešení IoT vyžaduje dlouhodobé operace, monitorování, upgrady a údržbu. Tyto úkoly může provádět interní tým, který zahrnuje odborníky na informační technologie, týmy pro provoz hardwaru a údržbu a odborníky na domény, kteří monitorují správné chování celkové infrastruktury IoT.

V následujících částech najdete osvědčené postupy pro každého z těchto hráčů, které pomáhají vyvíjet, nasazovat a provozovat zabezpečenou infrastrukturu IoT.

Výrobce/integrátor hardwaru IoT

Níže jsou uvedené osvědčené postupy pro výrobce hardwaru IoT a integrátory hardwaru.

Rozsah hardwaru na minimální požadavky: Návrh hardwaru by měl zahrnovat minimální funkce potřebné pro provoz hardwaru a nic dalšího. Příkladem je zahrnutí portů USB pouze v případě potřeby pro provoz zařízení. Tyto dodatečné funkce otevřou zařízení pro nežádoucí vektory útoku, kterým byste se měli vyhnout.
Kontrola proti manipulaci s hardwarem: Vytvořte mechanismy pro detekci fyzické manipulace, jako je otevření krytu zařízení nebo odebrání části zařízení. Tyto signály manipulace můžou být součástí datového streamu nahraného do cloudu, což může upozorňovat operátory těchto událostí.
Sestavení s využitím zabezpečeného hardwaru: Pokud COGS povoluje, sestavte funkce zabezpečení, jako je zabezpečené a šifrované úložiště, nebo funkce spouštění založené na čipu TPM (Trusted Platform Module). Díky těmto funkcím jsou zařízení bezpečnější a pomáhají chránit celkovou infrastrukturu IoT.
Zajištění zabezpečení upgradů: Upgrady firmwaru během životnosti zařízení jsou nevyhnutelné. Vytváření zařízení se zabezpečenými cestami pro upgrady a kryptografické zajištění verzí firmwaru umožní zabezpečení zařízení během a po upgradu.

Vývojář řešení IoT

Níže jsou uvedené osvědčené postupy pro vývojáře řešení IoT:

Postupujte podle metodologie vývoje zabezpečeného softwaru: Vývoj zabezpečeného softwaru vyžaduje základní myšlení o zabezpečení od vzniku projektu až po jeho implementaci, testování a nasazení. Volby platforem, jazyků a nástrojů mají vliv na tuto metodologii. Životní cyklus vývoje zabezpečení společnosti Microsoft poskytuje podrobný přístup k vytváření zabezpečeného softwaru.
Výběr opensourcového softwaru s opatrností: Opensourcový software poskytuje příležitost rychle vyvíjet řešení. Při výběru opensourcového softwaru zvažte úroveň aktivity komunity pro každou opensourcovou komponentu. Aktivní komunita zajišťuje podporu softwaru a zjištění a řešení problémů. Případně nemusí být podporovaný nejasný a neaktivní opensourcový softwarový projekt a pravděpodobně se nezjistí problémy.
Integrace s opatrností: Na hranici knihoven a rozhraní API existuje mnoho chyb zabezpečení softwaru. Funkce, které nemusí být vyžadovány pro aktuální nasazení, můžou být stále dostupné prostřednictvím vrstvy rozhraní API. Aby se zajistilo celkové zabezpečení, nezapomeňte zkontrolovat všechna rozhraní součástí, která jsou integrovaná, kvůli chybám zabezpečení.

Nasazení řešení IoT

Pro nasazující řešení IoT platí následující osvědčené postupy:

Bezpečné nasazení hardwaru: Nasazení IoT můžou vyžadovat nasazení hardwaru v nezabezpečených umístěních, jako jsou veřejné prostory nebo nepřístupná národní prostředí. V takových situacích se ujistěte, že nasazení hardwaru je v maximálním rozsahu odolné proti manipulaci. Pokud jsou na hardwaru k dispozici usb nebo jiné porty, ujistěte se, že jsou bezpečně pokryté. Mnoho vektorů útoku je může použít jako vstupní body.
Zachovejte ověřovací klíče v bezpečí: Během nasazování každé zařízení vyžaduje ID zařízení a přidružené ověřovací klíče vygenerované cloudovou službou. Udržujte tyto klíče fyzicky v bezpečí i po nasazení. Jakýkoli ohrožený klíč může zneužít škodlivé zařízení k maskování jako existujícího zařízení.

Operátor řešení IoT

Pro operátory řešení IoT platí následující osvědčené postupy:

Udržujte systém v aktualizovaném stavu: Ujistěte se, že jsou operační systémy zařízení a všechny ovladače zařízení upgradovány na nejnovější verze. Pokud ve Windows 10 (IoT nebo jiných cenových úrovních) zapnete automatické aktualizace, Microsoft ho udržuje v aktualizovaném stavu a poskytuje zabezpečený operační systém pro zařízení IoT. Udržování dalších operačních systémů (například Linux) v aktualizovaném stavu pomáhá zajistit, aby byly také chráněné proti škodlivým útokům.
Ochrana před škodlivými aktivitami: Pokud operační systém povolí, nainstalujte nejnovější antivirové a antimalwarové funkce na každý operační systém zařízení. Tento postup může pomoct zmírnit většinu externích hrozeb. Většinu moderních operačníchsystémůch
Auditování často: Auditování infrastruktury IoT pro problémy související se zabezpečením je klíčové při reakci na incidenty zabezpečení. Většina operačních systémů poskytuje integrované protokolování událostí, které by se mělo často kontrolovat, aby se zajistilo, že nedošlo k narušení zabezpečení. Informace o auditu je možné odesílat jako samostatný stream telemetrie do cloudové služby, kde je možné je analyzovat.
Fyzicky chrání infrastrukturu IoT: Nejhorší bezpečnostní útoky na infrastrukturu IoT se spouští pomocí fyzického přístupu k zařízením. Jednou z důležitých bezpečnostních postupů je ochrana před škodlivým použitím portů USB a jiným fyzickým přístupem. Jedním z klíčů k odhalení porušení zabezpečení, ke kterým mohlo dojít, je protokolování fyzického přístupu, jako je použití portu USB. Znovu platí, že Windows 10 (IoT a další skladové položky) umožňují podrobné protokolování těchto událostí.
Ochrana cloudových přihlašovacích údajů: Přihlašovací údaje pro ověřování cloudu používané ke konfiguraci a provozu nasazení IoT jsou možná nejjednodušším způsobem, jak získat přístup a ohrozit systém IoT. Chraňte přihlašovací údaje tím, že často měníte heslo a nepoužívejte tyto přihlašovací údaje na veřejných počítačích.

Možnosti různých zařízení IoT se liší. Některá zařízení můžou být počítače s běžnými stolními operačními systémy a některá zařízení můžou používat velmi lehké operační systémy. Osvědčené postupy zabezpečení popsané dříve můžou být pro tato zařízení použitelná v různých stupních. Pokud jsou k dispozici, měli byste dodržovat osvědčené postupy zabezpečení a nasazení od výrobců těchto zařízení.

Některá starší a omezená zařízení nemusí být navržená speciálně pro nasazení IoT. Tato zařízení můžou mít možnost šifrovat data, připojovat se k internetu nebo poskytovat pokročilé auditování. V těchto případech může moderní a zabezpečená brána polí agregovat data ze starších zařízení a poskytovat zabezpečení potřebné pro připojení těchto zařízení přes internet. Brány polí můžou poskytovat zabezpečené ověřování, vyjednávání šifrovaných relací, příjem příkazů z cloudu a mnoho dalších funkcí zabezpečení.

Pokračovat