Biztonsági architektúra IoT-megoldásokhoz
Az IoT-megoldások tervezésekor és tervezésekor fontos tisztában lenni a lehetséges veszélyforrásokkal, és megfelelő védelemmel kell védekezni. Ha tisztában van azzal, hogy a támadók hogyan veszélyeztethetik a rendszert, a kezdetektől biztosíthatja, hogy a megfelelő kockázatcsökkentések érvényben legyenek.
Fenyegetésmodellezés
A Microsoft azt javasolja, hogy az IoT-megoldás kialakítása részeként használjon fenyegetésmodellezési folyamatot. Ha nem ismeri a fenyegetésmodellezést és a biztonságos fejlesztési életciklust, tekintse meg a következő témakört:
- Fenyegetésmodellezés
- Ajánlott fejlesztési eljárások biztonságossá tételéhez az Azure-ban
- Útmutató az első lépésekhez
Biztonság az IoT-ben
A fenyegetésmodellezési gyakorlat részeként hasznos, ha az IoT-architektúrát több zónára osztja:
- Eszköz
- Mezőátjáró
- Felhőátjáró
- Szolgáltatás
Minden zóna gyakran rendelkezik saját adatokkal, valamint hitelesítési és engedélyezési követelményekkel. Zónákkal elkülönítheti a károkat, és korlátozhatja az alacsony megbízhatósági zónáknak a magasabb megbízhatósági zónákra gyakorolt hatását.
Minden zónát egy megbízhatósági határ választ el egymástól, amely pontozott piros vonalként jelenik meg az alábbi ábrán. Az adatok egyik forrásból a másikba való átmenetét jelöli. Az áttűnés során az adatokra a következő fenyegetések vonatkozhatnak:
- Identitáshamisítás
- Illetéktelen adatmódosítás
- Letagadhatóság
- Információfelfedés
- Szolgáltatásmegtagadás
- Jogosultsági szint emelése
További információt a STRIDE-modellben talál.
A STRIDE használatával modellezheti a fenyegetéseket az egyes zónákon belüli összetevőkre. A következő szakaszok részletesen ismertetik az egyes összetevőket, valamint az egyes biztonsági szempontokat és megoldásokat, amelyeket végre kell tenni.
A cikk hátralévő részében részletesebben tárgyaljuk az ilyen zónák és összetevők veszélyforrásait és kockázatcsökkentéseit.
Eszközzóna
Az eszközkörnyezet az eszköz körüli terület, ahol a fizikai hozzáférés és az eszközhöz való helyi hálózati digitális hozzáférés megvalósítható. A helyi hálózat feltételezi, hogy különálló és szigetelt a nyilvános internettől , de potenciálisan át van hidalva a nyilvános internethez. Az eszközkörnyezet tartalmaz minden olyan rövid hatótávolságú vezeték nélküli rádiótechnológiát, amely lehetővé teszi az eszközök társközi kommunikációját. Nem tartalmaz olyan hálózatvirtualizálási technológiát, amely egy ilyen helyi hálózat illúzióját kelti. Nem tartalmazza azokat a nyilvános operátori hálózatokat, amelyekhez két eszköznek kell kommunikálnia a nyilvános hálózati térben, ha társközi kommunikációs kapcsolatot szeretne létesíteni.
Mezőátjáró-zóna
A mezőátjárók olyan eszköz-, berendezés- vagy általános célú kiszolgálói számítógépes szoftverek, amelyek kommunikációt engedélyezőként, és potenciálisan eszközvezérlő rendszerként és eszközadat-feldolgozási központként szolgálnak. A mezőátjáró zónája magában foglalja magát a mezőátjárót és a hozzá tartozó összes eszközt. A helyszíni átjárók a dedikált adatfeldolgozási létesítményeken kívül működnek, általában helyhez kötöttek, fizikai behatolásnak vannak kitéve, és korlátozott működési redundanciával rendelkeznek. A mezőátjárók általában olyan dolgok, amelyeket a támadók fizikailag szabotálhatnak, ha fizikai hozzáférést szereznek.
A mezőátjáró abban különbözik a forgalmi útválasztóktól, hogy aktív szerepet töltött be a hozzáférés és az információáramlás kezelésében. A mezőátjáró két különböző felülettel rendelkezik. Az egyik a hozzá csatlakoztatott eszközökkel néz szembe, és a zóna belsejét jelöli. A másik az összes külső féllel szemben áll, és a zóna pereme.
Felhőátjáró-zóna
A felhőátjáró olyan rendszer, amely távoli kommunikációt tesz lehetővé a több helyen üzembe helyezett eszközökről vagy helyszíni átjárókról. A felhőátjáró általában lehetővé teszi a felhőalapú vezérlő- és adatelemzési rendszert, vagy az ilyen rendszerek összevonását. Bizonyos esetekben a felhőátjárók azonnal megkönnyíthetik a speciális célú eszközökhöz való hozzáférést a terminálokról, például táblagépekről vagy telefonokról. A felhőátjáró-zónában az üzemeltetési intézkedések megakadályozzák a célzott fizikai hozzáférést, és nem feltétlenül vannak kitéve nyilvános felhőinfrastruktúrának.
A felhőátjárók leképezhetők egy hálózati virtualizálási átfedésbe, hogy elszigetelje a felhőátjárót és annak összes csatlakoztatott eszközét vagy mezőátjáróját a többi hálózati forgalomtól. Maga a felhőátjáró nem eszközvezérlő rendszer, nem az eszközadatok feldolgozására vagy tárolására szolgáló létesítmény; ezek a létesítmények a felhőátjáróval vannak összeköttetésben. A felhőátjáró-zóna magában foglalja magát a felhőátjárót, valamint a hozzá közvetlenül vagy közvetve kapcsolódó összes helyszíni átjárót és eszközt. A zóna pereme egy különálló felület, amin minden külső fél kommunikál.
Szolgáltatási zóna
A szolgáltatás ebben a környezetben minden olyan szoftverösszetevő vagy modul, amely egy mező- vagy felhőátjárón keresztül kapcsolódik az eszközökhöz. A szolgáltatások adatokat gyűjthetnek az eszközökről, és vezérelhetik azokat. A szolgáltatás olyan közvetítő, amely identitása alapján jár el az átjárók és más alrendszerek felé, hogy:
- Adatok tárolása és elemzése
- Parancsok kiadása az eszközökhöz adatelemzések vagy ütemezések alapján
- Információ- és vezérlési képességek elérhetővé tétele a jogosult végfelhasználók számára
IoT-eszközök
Az IoT-eszközök gyakran speciális célú eszközök, amelyek az egyszerű hőmérsékletérzékelőktől az összetett gyári gyártósorokig terjednek, amelyekben több ezer összetevő található. Példa az IoT-eszközök képességeire:
- Környezeti feltételek mérése és jelentése
- Esztergálási szelepek
- A servos szabályozása
- Riasztások hangjelzése
- Világítás be- és kikapcsolása
Ezeknek az eszközöknek a rendeltetése meghatározza a műszaki kialakításukat, valamint az éles és ütemezett élettartamukhoz rendelkezésre álló költségvetést. Ezeknek a tényezőknek a kombinációja korlátozza a rendelkezésre álló üzemeltetési energiaköltségvetést, a fizikai lábnyomot, valamint a rendelkezésre álló tárolási, számítási és biztonsági képességeket.
Az automatizált vagy távvezérlésű IoT-eszközökkel kapcsolatos hibák a következők:
- Fizikai hibák
- Vezérlőlogika hibái
- Szándékos jogosulatlan behatolás és manipuláció.
Ezeknek a hibáknak a következményei súlyosak lehetnek, mint például a megsemmisített gyártási tételek, az épületek leégtek, vagy sérülés és halál. Ezért van egy magas biztonsági sáv az olyan eszközökhöz, amelyek áthelyezik a dolgokat, vagy amelyek olyan érzékelőadatokat jelentenek, amelyek olyan parancsokat eredményeznek, amelyek a dolgok áthelyezését okozzák.
Eszközvezérlés és eszközadatok interakciói
A csatlakoztatott speciális célú eszközök jelentős számú lehetséges interakciós felülettel és interakciós mintával rendelkeznek, amelyek mindegyiket figyelembe kell venni, hogy keretet biztosítson az eszközökhöz való digitális hozzáférés biztosításához. A digitális hozzáférés olyan műveletekre utal, amelyeket szoftveren és hardveren keresztül hajtanak végre, nem pedig az eszközhöz való közvetlen fizikai hozzáférésen keresztül. A fizikai hozzáférést például úgy lehet szabályozni, hogy az eszközt egy ajtózárral rendelkező helyiségbe helyezi. Bár a fizikai hozzáférés nem tagadható meg szoftverrel és hardverrel, intézkedéseket lehet tenni annak megakadályozására, hogy a fizikai hozzáférés a rendszer interferenciához vezessen.
Az interakciós minták megismerése során azonos szintű figyelmet kell fordítania az eszközvezérlésre és az eszközadatokra . Az eszközvezérlés minden olyan információra utal, amely az eszköz viselkedésének módosítására irányul. Az eszközadatok olyan információkra utalnak, amelyeket az eszköz bármely más félnek bocsát ki az állapotáról és a környezet megfigyelt állapotáról.
Fenyegetésmodellezés az Azure IoT referenciaarchitektúrához
Ez a szakasz az Azure IoT referenciaarchitektúráját használja az IoT fenyegetésmodellezésére és az azonosított fenyegetések kezelésére:
Az alábbi diagram egyszerűsített képet nyújt a referenciaarchitektúráról egy adatfolyam-diagrammodell használatával:
Az architektúra elkülöníti az eszköz és a mezőátjáró képességeit. Ez a megközelítés lehetővé teszi, hogy biztonságosabb mezőátjáró-eszközöket használjon. A mezőátjáró-eszközök biztonságos protokollok használatával kommunikálhatnak a felhőátjáróval, ami általában nagyobb feldolgozási teljesítményt igényel, mint egy egyszerű eszköz, például egy termosztát. A diagram Azure Services-zónájában a Azure IoT Hub szolgáltatás a felhőalapú átjáró.
A korábban felvázolt architektúra alapján az alábbi szakaszok néhány fenyegetésmodellezési példát mutatnak be. A példák a fenyegetésmodell alapvető elemeire összpontosítanak:
- Folyamatok
- Kommunikáció
- Tárolás
Folyamatok
Íme néhány példa a folyamatok kategóriájában található fenyegetésekre. A fenyegetések a STRIDE-modell alapján vannak kategorizálva:
Hamisítás: A támadók a szoftver vagy a hardver szintjén is kinyerhetnek titkosítási kulcsokat az eszközről. A megtámadott ezután ezeket a kulcsokat használja a rendszer eléréséhez egy másik fizikai vagy virtuális eszközről az eredeti eszköz identitásának használatával.
Szolgáltatásmegtagadás: Az eszköz működésképtelenné vagy kommunikálhatóvá válik a rádiófrekvenciák zavarásával vagy a vezetékek vágásával. Például egy olyan megfigyelő kamera, amely szándékosan kiütötte az energia- vagy hálózati kapcsolatát, egyáltalán nem tud adatokat jelenteni.
Illetéktelen módosítás: A támadók részben vagy teljesen lecserélhetik az eszközön található szoftvert. Ha az eszköz titkosítási kulcsai elérhetők a támadók kódja számára, akkor használhatja az eszköz identitását.
Illetéktelen beavatkozás: Egy megfigyelő kamerát, amely egy üres folyosó látható spektrumú képét mutatja, egy ilyen folyosó fényképére lehetne célozni. Egy füst- vagy tűzérzékelő jelentheti, hogy valaki öngyújtót tart alatta. Mindkét esetben előfordulhat, hogy az eszköz technikailag teljesen megbízható a rendszerrel szemben, de manipulált információkat jelent.
Illetéktelen módosítás: A támadók kinyert titkosítási kulcsokat használhatnak az eszközről küldött adatok elfogására és letiltására, és lecserélhetik azokat az ellopott kulcsokkal hitelesített hamis adatokra.
Információfelfedés: Ha az eszköz manipulált szoftvert futtat, az ilyen manipulált szoftverek illetéktelen személyeknek is kiszivárogtathatják az adatokat.
Információfelfedés: A támadók kinyert titkosítási kulcsokkal kódot injektálhatnak az eszköz és a mezőátjáró vagy a felhőátjáró közötti kommunikációs útvonalba az információk szifonjának kivezetéséhez.
Szolgáltatásmegtagadás: Az eszköz kikapcsolható vagy olyan módba kapcsolható, ahol a kommunikáció nem lehetséges (ami sok ipari gépen szándékos).
Illetéktelen módosítás: Az eszköz újrakonfigurálható úgy, hogy a vezérlőrendszer számára ismeretlen állapotban működjön (az ismert kalibrálási paramétereken kívül), és így olyan adatokat adjon meg, amelyek félreérthetők
Jogosultsági szint emelése: Egy adott függvényt használó eszköz másra is kényszeríthető. Például egy félúton nyitott szelepet meg lehet csapni, hogy teljesen megnyíljon.
Spoofing/Tampering/Repudiation: Ha nem biztonságos (ez ritkán fordul elő a fogyasztói távvezérlők esetében), a támadók névtelenül módosíthatják az eszköz állapotát. Egy jó ábra egy távvezérlés, amely kikapcsolhatja a TV-t.
Az alábbi táblázat az ilyen fenyegetésekre vonatkozó példákat mutatja be. A fenyegetés oszlop értékei rövidítések:
- Hamisítás (S)
- Illetéktelen módosítás (T)
- Megtagadás (R)
- Információfelfedés (I)
- Szolgáltatásmegtagadás (D)
- Jogosultságszint emelése (E)
| Összetevő | Fenyegetés | Kockázatcsökkentés | Kockázat | Implementálás |
|---|---|---|---|---|
| Eszköz | S | Identitás hozzárendelése az eszközhöz és az eszköz hitelesítése | Az eszköz vagy az eszköz egy részének cseréje más eszközre. Honnan tudja, hogy a megfelelő eszközzel beszél? | Az eszköz hitelesítése a Transport Layer Security (TLS) vagy az IPSec használatával. Az infrastruktúrának támogatnia kell az előre megadott kulcs (PSK) használatát azokon az eszközökön, amelyek nem képesek teljes aszimmetrikus titkosítást kezelni. Használja Azure AD, OAuth parancsot. |
| TRID | Illetéktelen hozzáférés-gátló mechanizmusokat alkalmazhat az eszközre, például úgy, hogy nehéz lehetetlenné tenni a kulcsok és más titkosítási anyagok kinyerése az eszközről. | A kockázat az, ha valaki módosítja az eszközt (fizikai interferencia). Honnan tudja, hogy az eszközt nem módosították. | A leghatékonyabb kockázatcsökkentés egy megbízható platformmodul (TPM). A TPM speciális chip-kapcsolatcsoportokban tárolja a kulcsokat, amelyekből a kulcsok nem olvashatók, de csak a kulcsot használó titkosítási műveletekhez használhatók. Az eszköz memóriatitkosítása. Az eszköz kulcskezelése. A kód aláírása. | |
| E | Az eszköz hozzáférés-vezérlése. Engedélyezési séma. | Ha az eszköz lehetővé teszi az egyes műveletek végrehajtását külső forrásból származó parancsok vagy akár sérült érzékelők alapján, lehetővé teszi, hogy a támadás más módon nem elérhető műveleteket végezzen. | Az eszköz engedélyezési sémája. | |
| Mezőátjáró | S | A Mezőátjáró hitelesítése a Felhőátjáróhoz (például tanúsítványalapú, PSK- vagy jogcímalapú).) | Ha valaki meg tudja hamisításra használni a Mezőátjárót, akkor bármilyen eszközként megjelenítheti magát. | TLS RSA/PSK, IPSec, RFC 4279. Az eszközök általános kulcstárolási és igazolási problémái – a legjobb megoldás a TPM használata. 6LowPAN-bővítmény az IPSec-hez a vezeték nélküli érzékelőhálózatok (WSN) támogatásához. |
| TRID | A mezőátjáró védelme az illetéktelen módosítással szemben (TPM) | Az olyan hamisítási támadások, amelyek becsapják a felhőátjárót, és azt hiszik, hogy a helyszíni átjáróval beszél, az információ nyilvánosságra hozatalát és az adatok illetéktelen befolyásolását eredményezheti | Memóriatitkosítás, TPM-k, hitelesítés. | |
| E | A Mezőátjáró hozzáférés-vezérlési mechanizmusa |
Kommunikáció
Íme néhány példa a kommunikációs kategóriába tartozó fenyegetésekre. A fenyegetések a STRIDE-modell alapján vannak kategorizálva:
Szolgáltatásmegtagadás: A korlátozott eszközök általában DoS-fenyegetés alatt állnak, amikor aktívan figyelik a bejövő kapcsolatokat vagy a kéretlen datagramokat egy hálózaton. A támadók számos kapcsolatot nyithatnak meg párhuzamosan, és nem szervizelhetik őket, vagy lassan szervizelhetik őket, vagy eláraszthatják az eszközt kéretlen forgalommal. Az eszköz mindkét esetben működésképtelenné válik a hálózaton.
Hamisítás, információfelfedés: A korlátozott eszközök és a speciális célú eszközök gyakran rendelkeznek mindenhez tartozó biztonsági szolgáltatással, például jelszóval vagy PIN-kóddal. Néha teljes mértékben megbíznak a hálózatban, és hozzáférést biztosítanak az információkhoz minden eszköznek ugyanazon a hálózaton. Ha a hálózatot egy közzétett megosztott kulcs védi, a támadók irányíthatják az eszközt, vagy megfigyelhetik az általa továbbított adatokat.
Hamisítás: a támadó elfoghatja vagy részlegesen felülbírálhatja a közvetítést, és elkobozhatja a kezdeményezőt.
Illetéktelen módosítás: A támadók elfoghatják vagy részlegesen felülbírálhatják a közvetítést, és hamis információkat küldhetnek.
Információfelfedés: A támadók lehallgathatják a közvetítést, és engedély nélkül szerezhetnek be információkat.
Szolgáltatásmegtagadás: A támadók blokkolhatják a szórási jelet, és megtagadhatják az információterjesztést.
Az alábbi táblázat az alábbi fenyegetésekre vonatkozó példákat mutatja be:
| Összetevő | Fenyegetés | Kockázatcsökkentés | Kockázat | Implementálás |
|---|---|---|---|---|
| Eszköz IoT Hub | TID | (D) TLS (PSK/RSA) a forgalom titkosításához | Az eszköz és az átjáró közötti kommunikáció lehallgatása vagy zavarása | Biztonság protokollszinten. Az egyéni protokollokkal ki kell találnia, hogyan védheti meg őket. A legtöbb esetben a kommunikáció az eszközről a IoT Hub (az eszköz kezdeményezi a kapcsolatot). |
| Eszközről eszközre | TID | (D) TLS (PSK/RSA) a forgalom titkosításához. | Az eszközök közötti átvitel alatt lévő adatok beolvasása. Illetéktelen hozzáférés az adatokhoz. Az eszköz túlterhelése új kapcsolatokkal | Biztonság protokollszinten (MQTT/AMQP/HTTP/CoAP). Az egyéni protokollokkal ki kell találnia, hogyan védheti meg őket. A DoS-fenyegetés kockázatcsökkentése az, ha az eszközöket egy felhőbeli vagy egy helyszíni átjárón keresztül társviszonyba léptetik, és csak ügyfélként használják őket a hálózat felé. Miután az átjáró közvetítői a társviszonyt, lehetséges, hogy közvetlen kapcsolat van a társviszonyok között. |
| Külső entitáseszköz | TID | A külső entitás erős párosítása az eszközzel | Az eszköz kapcsolatának lehallgatása. Az eszköz kommunikációjának megzavarása | A külső entitás biztonságos párosítása az NFC/Bluetooth LE eszközhöz. Az eszköz működési paneljének vezérlése (fizikai). |
| Field Gateway Cloud Gateway | TID | TLS (PSK/RSA) a forgalom titkosításához. | Az eszköz és az átjáró közötti kommunikáció lehallgatása vagy zavarása | Biztonság protokollszinten (MQTT/AMQP/HTTP/CoAP). Az egyéni protokollokkal ki kell találnia, hogyan védheti meg őket. |
| Eszközfelhő-átjáró | TID | TLS (PSK/RSA) a forgalom titkosításához. | Az eszköz és az átjáró közötti kommunikáció lehallgatása vagy zavarása | Biztonság protokollszinten (MQTT/AMQP/HTTP/CoAP). Az egyéni protokollokkal ki kell találnia, hogyan védheti meg őket. |
Tárolás
Az alábbi táblázat a tárolási fenyegetésekre vonatkozó példákat mutatja be:
| Összetevő | Fenyegetés | Kockázatcsökkentés | Kockázat | Implementálás |
|---|---|---|---|---|
| Eszköztároló | TRID | Tárolótitkosítás, a naplók aláírása | Adatok beolvasása a tárolóból, a telemetriai adatok illetéktelen használata. Az üzenetsorba helyezett vagy gyorsítótárazott parancsvezérlő adatok illetéktelen módosítása. A konfigurációs vagy belső vezérlőprogram frissítési csomagjainak helyi gyorsítótárazása vagy várólistára helyezése az operációs rendszer és/vagy rendszerösszetevők sérüléséhez vezethet | Titkosítás, üzenethitelesítési kód (MAC) vagy digitális aláírás. Ahol lehetséges, erős hozzáférés-vezérlés erőforrás-hozzáférés-vezérlési listákon (ACL-ek) vagy engedélyeken keresztül. |
| Eszköz operációsrendszer-lemezképe | TRID | Operációs rendszer illetéktelen beavatkozása /az operációs rendszer összetevőinek cseréje | Írásvédett operációsrendszer-partíció, aláírt operációsrendszer-lemezkép, titkosítás | |
| Mezőátjáró-tároló (az adatok várólistára helyezése) | TRID | Tárolótitkosítás, a naplók aláírása | Adatok beolvasása a tárolóból, a telemetriai adatok illetéktelen módosítása, az üzenetsorba helyezett vagy gyorsítótárazott parancsvezérlő adatok módosítása. A konfigurációs vagy belső vezérlőprogram frissítési csomagjainak (eszközökre vagy mezőátjárókra szánt) helyi gyorsítótárazása vagy várólistára helyezése az operációs rendszer és/vagy rendszerösszetevők sérüléséhez vezethet | BitLocker |
| Mezőátjáró operációs rendszer képe | TRID | Operációs rendszer illetéktelen beavatkozása /az operációs rendszer összetevőinek cseréje | Írásvédett operációsrendszer-partíció, aláírt operációsrendszer-lemezkép, titkosítás |
Következő lépések
Az IoT-biztonságról az alábbiakban olvashat bővebben: