Share via


Biztonsági architektúra IoT-megoldásokhoz

Az IoT-megoldások tervezésekor és tervezésekor fontos tisztában lenni a lehetséges veszélyforrásokkal, és megfelelő védelemmel kell védekezni. Ha tisztában van azzal, hogy a támadók hogyan veszélyeztethetik a rendszert, a kezdetektől fogva biztosíthatja, hogy a megfelelő megoldásokat elvégezhesse.

Fenyegetésmodellezés

A Microsoft azt javasolja, hogy az IoT-megoldásterv részeként használjon fenyegetésmodellezési folyamatot. Ha nem ismeri a fenyegetésmodellezést és a biztonságos fejlesztési életciklust, tekintse meg a következőt:

Biztonság az IoT-ben

Az IoT-architektúra több zónára osztható a fenyegetésmodellezési gyakorlat részeként:

  • Eszköz
  • Mezőátjáró
  • Felhőátjáró
  • Szolgáltatás

Minden zóna gyakran rendelkezik saját adatokkal, valamint hitelesítési és engedélyezési követelményekkel. Zónákkal elkülönítheti a károkat, és korlátozhatja az alacsony megbízhatósági zónáknak a magasabb megbízhatósági zónákra gyakorolt hatását.

Minden zónát egy megbízhatósági határ választ el egymástól, amely pontozott piros vonalként jelenik meg az alábbi ábrán. Ez az adatok egyik forrásból a másikba való átmenetét jelöli. Az áttűnés során az adatokra a következő fenyegetések vonatkozhatnak:

  • Identitáshamisítás
  • Illetéktelen adatmódosítás
  • Letagadhatóság
  • Információfelfedés
  • Szolgáltatásmegtagadás
  • Jogosultsági szint emelése

További információkért tekintse meg a STRIDE modellt.

A diagram that shows the zones and trust boundaries in a typical IoT solution architecture.

A STRIDE használatával modellezheti az egyes zónákon belüli egyes összetevők fenyegetéseit. A következő szakaszok részletesen ismertetik az egyes összetevőket, valamint az egyes biztonsági szempontokat és megoldásokat, amelyeket végre kell helyezni.

A cikk további része részletesebben ismerteti ezen zónák és összetevők fenyegetéseit és kockázatcsökkentéseit.

Eszközzóna

Az eszközkörnyezet az eszköz körüli terület, ahol a fizikai hozzáférés és az eszközhöz való helyi hálózati digitális hozzáférés megvalósítható. A helyi hálózat feltételezi, hogy különálló és szigetelt a nyilvános internettől , de potenciálisan át van osztva a nyilvános internettől. Az eszközkörnyezet tartalmaz minden olyan rövid hatótávolságú vezeték nélküli rádiótechnológiát, amely lehetővé teszi az eszközök egyenrangú kommunikációját. Nem tartalmaz olyan hálózatvirtualizálási technológiát, amely egy ilyen helyi hálózat illúzióját kelti. Nem tartalmaznak olyan nyilvános operátori hálózatokat, amelyekhez két eszköznek kell kommunikálnia a nyilvános hálózati térben, ha társközi kommunikációs kapcsolatot szeretnének létesíteni.

Mezőátjáró zóna

A mezőátjárók olyan eszköz-, berendezés- vagy általános célú kiszolgálói számítógépes szoftverek, amelyek kommunikációs engedélyezőként és potenciálisan eszközvezérlő rendszerként és eszközadat-feldolgozási központként is szolgálnak. A mezőátjáró zónája magában foglalja magát a mezőátjárót és a hozzá csatlakoztatott összes eszközt. A helyszíni átjárók a dedikált adatfeldolgozási létesítményeken kívül működnek, általában helyhez kötöttek, fizikai behatolásnak vannak kitéve, és korlátozott működési redundanciájuk van. A helyszíni átjáró általában olyan dolog, amelyet a támadó fizikailag szabotálhat, ha fizikai hozzáférést szerez.

A mezőátjáró abban különbözik a forgalmi útválasztóktól, hogy aktív szerepet játszott a hozzáférés és az információáramlás kezelésében. A mezőátjáró két különböző felülettel rendelkezik. Az egyik a hozzá csatlakoztatott eszközökkel néz szembe, és a zóna belsejét jelöli. A másik arcok az összes külső fél, és a peremén a zóna.

Felhőátjáró-zóna

A felhőátjárók olyan rendszerek, amelyek lehetővé teszik a több helyen üzembe helyezett eszközökről vagy helyszíni átjárókról való távoli kommunikációt. A felhőátjáró általában lehetővé teszi a felhőalapú vezérlő- és adatelemzési rendszert, vagy az ilyen rendszerek összevonását. Bizonyos esetekben a felhőátjárók azonnal megkönnyíthetik a különleges célú eszközökhöz való hozzáférést a terminálokról, például táblagépekről vagy telefonokról. A felhőátjáró zónában az üzemeltetési intézkedések megakadályozzák a célzott fizikai hozzáférést, és nem feltétlenül vannak kitéve nyilvános felhőinfrastruktúra számára.

A felhőátjárók leképezhetők egy hálózatvirtualizálási átfedésbe, hogy elszigetelje a felhőátjárót és annak összes csatlakoztatott eszközét vagy mezőátjáróját bármely más hálózati forgalomtól. Maga a felhőátjáró nem eszközvezérlő rendszer, nem pedig az eszközadatok feldolgozására vagy tárolására szolgáló létesítmény; ezek a létesítmények a felhőátjáróval kommunikálnak. A felhőátjáró zónája magában foglalja magát a felhőátjárót, valamint az összes helyszíni átjárót és eszközt, amely közvetlenül vagy közvetve hozzá van kapcsolva. A zóna széle egy különálló felület, amelyen minden külső fél kommunikál.

Szolgáltatási zóna

A szolgáltatás ebben a kontextusban minden olyan szoftverösszetevő vagy modul, amely egy mező- vagy felhőátjárón keresztül kapcsolódik az eszközökhöz. A szolgáltatás adatokat gyűjthet az eszközökről, és vezérelheti és vezérelheti ezeket az eszközöket. A szolgáltatás egy közvetítő, amely identitása alapján jár el az átjárók és más alrendszerek felé a következőkkel:

  • Adatok tárolása és elemzése
  • Parancsok kiadása az eszközökhöz adatelemzések vagy ütemezések alapján
  • Információk és vezérlési képességek felfedése a jogosult végfelhasználók számára

IoT-eszközök

Az IoT-eszközök gyakran speciális célú eszközök, amelyek az egyszerű hőmérsékletérzékelőktől az összetett gyári gyártósorokig terjednek, amelyekben több ezer összetevő található. Példa az IoT-eszközök képességeire:

  • Környezeti feltételek mérése és jelentése
  • Esztergálási szelepek
  • A servos szabályozása
  • Riasztások hangjelzése
  • Világítás be- és kikapcsolása

Ezeknek az eszközöknek a rendeltetése határozza meg a műszaki tervezésüket és az éles és ütemezett élettartamukhoz rendelkezésre álló költségvetést. E tényezők kombinációja korlátozza a rendelkezésre álló üzemeltetési energiaköltségvetést, a fizikai lábnyomot, valamint a rendelkezésre álló tárolási, számítási és biztonsági képességeket.

Az automatizált vagy távolról vezérelt IoT-eszközökkel kapcsolatos problémák a következők:

  • Fizikai hibák
  • Logikai hibák szabályozása
  • Szándékos illetéktelen behatolás és manipuláció.

Ezeknek a hibáknak a következményei súlyosak lehetnek, mint például a tönkrement termelési tételek, az épületek leégtek, vagy sérülés és halál. Ezért van egy magas biztonsági sáv azoknak az eszközöknek, amelyek áthelyezik a dolgokat, vagy amelyek olyan érzékelőadatokat jelentenek, amelyek olyan parancsokat eredményeznek, amelyek a dolgok áthelyezését okozzák.

Eszközvezérlés és eszközadatok interakciói

Csatlakozás speciális célú eszközök jelentős számú lehetséges interakciós felülettel és interakciós mintával rendelkeznek, amelyek mindegyiket figyelembe kell venni, hogy keretet biztosítson az eszközökhöz való digitális hozzáférés biztosításához. A digitális hozzáférés olyan műveletekre utal, amelyeket szoftveren és hardveren keresztül hajtanak végre, nem pedig az eszközhöz való közvetlen fizikai hozzáférésen keresztül. A fizikai hozzáférést például úgy lehet szabályozni, hogy az eszközt egy ajtózárral ellátott szobába helyezik. Bár a fizikai hozzáférés nem tagadható meg szoftverrel és hardverrel, intézkedéseket lehet tenni annak érdekében, hogy a fizikai hozzáférés ne vezessen rendszer-interferencia-hez.

Az interakciós minták megismerése során azonos szintű figyelmet kell fordítania az eszközvezérlésre és az eszközadatokra . Az eszközvezérlés minden olyan információra utal, amely az eszköz viselkedésének módosítására irányul. Az eszközadatok olyan információk, amelyeket az eszköz bármely más félnek bocsát ki az állapotáról és a környezet megfigyelt állapotáról.

Fenyegetésmodellezés az Azure IoT referenciaarchitektúrához

Ez a szakasz az Azure IoT referenciaarchitektúrájának használatával mutatja be, hogyan gondolkodhat az IoT fenyegetésmodellezéséről és az azonosított fenyegetések elhárításáról:

Diagram that shows the Azure IoT reference architecture.

Az alábbi diagram egyszerűsített képet nyújt a referenciaarchitektúráról egy adatfolyam-diagrammodell használatával:

A data flow diagram derived from the Azure IoT reference architecture.

Az architektúra elkülöníti az eszköz és a mezőátjáró képességeit. Ezzel a módszerrel biztonságosabb helyszíni átjáróeszközöket használhat. A mezőátjáró-eszközök biztonságos protokollokkal kommunikálhatnak a felhőátjáróval, ami általában nagyobb feldolgozási teljesítményt igényel, mint egy egyszerű eszköz, például egy termosztát. A diagram Azure Services-zónájában az Azure IoT Hub szolgáltatás a felhőátjáró.

A korábban felvázolt architektúra alapján az alábbi szakaszok néhány fenyegetésmodellezési példát mutatnak be. A példák a fenyegetésmodell alapvető elemeire összpontosítanak:

  • Folyamatok
  • Kommunikáció
  • Storage

Folyamatok

Íme néhány példa a folyamatok kategóriájában található fenyegetésekre. A fenyegetések a STRIDE-modell alapján vannak kategorizálva:

Hamisítás: A támadó titkosító kulcsokat nyerhet ki egy eszközről, akár szoftveres, akár hardveres szinten. A támadás ezután ezekkel a kulcsokkal éri el a rendszert egy másik fizikai vagy virtuális eszközről az eredeti eszköz identitásának használatával.

Szolgáltatásmegtagadás: Az eszköz működésképtelenné vagy kommunikációra képtelenné válik, ha zavarja a rádiófrekvenciákat vagy a vezetékeket. Egy olyan megfigyelő kamera például, amely szándékosan kiütötte a tápellátását vagy a hálózati kapcsolatát, egyáltalán nem tud adatokat jelenteni.

Illetéktelen módosítás: A támadó részben vagy teljesen lecserélheti az eszközön található szoftvert. Ha az eszköz titkosítási kulcsai elérhetők a támadók kódja számára, akkor használhatja az eszköz identitását.

Illetéktelen beavatkozás: Egy megfigyelő kamera, amely egy üres folyosó látható spektrumú képét mutatja, egy ilyen folyosó fényképére irányulhat. Egy füst- vagy tűzérzékelő jelentheti, hogy valaki öngyújtó van alatta. Mindkét esetben előfordulhat, hogy az eszköz technikailag teljesen megbízható a rendszerrel szemben, de manipulált információkat jelent.

Illetéktelen beavatkozás: A támadó kinyert titkosítási kulcsokkal elfoghatja és letilthatja az eszközről küldött adatokat, és lecserélheti azokat hamis adatokra, amelyeket az ellopott kulcsokkal hitelesítettek.

Információfeltárás: Ha az eszköz manipulált szoftvert futtat, az ilyen manipulált szoftverek potenciálisan adatokat szivároghatnak ki jogosulatlan felek számára.

Információfelfedés: A támadó kinyert titkosítási kulcsokkal kódot injektálhat az eszköz és a mezőátjáró vagy a felhőátjáró közötti kommunikációs útvonalba az információk szifonálásához.

Szolgáltatásmegtagadás: Az eszköz kikapcsolható vagy olyan módba kapcsolható, ahol a kommunikáció nem lehetséges (ami sok ipari gépen szándékos).

Illetéktelen beavatkozás: Az eszköz újrakonfigurálható úgy, hogy a vezérlőrendszer számára ismeretlen állapotban működjön (az ismert kalibrációs paramétereken kívül), és így olyan adatokat adjon meg, amelyek félreérthetők

Jogosultsági szint emelése: Egy adott függvényt használó eszköz másra kényszeríthető. Például egy félúton való megnyitásra programozott szelepet meg lehet csapni, hogy teljesen megnyíljon.

Spoofing/Tampering/Repudiation: Ha nem biztonságos (ami ritkán fordul elő a fogyasztói távvezérlők esetében), a támadók névtelenül módosíthatják az eszköz állapotát. A jó ábra egy távvezérlő, amely bármilyen TV-t kikapcsolhat.

Az alábbi táblázat az ilyen fenyegetésekre vonatkozó példákat mutatja be. A fenyegetés oszlop értékei rövidítések:

  • Hamisítás (S)
  • Illetéktelen módosítás (T)
  • Elutasítás (R)
  • Információfeltárás (I)
  • Szolgáltatásmegtagadás (D)
  • Jogosultság emelése (E)
Komponens Fenyegetés Mitigation Kockázat Implementáció
Eszköz S Identitás hozzárendelése az eszközhöz és az eszköz hitelesítése Az eszköz vagy az eszköz egy részének cseréje más eszközre. Honnan tudja, hogy a megfelelő eszközzel beszél? Az eszköz hitelesítése a Transport Layer Security (TLS) vagy az IPSec használatával. Az infrastruktúrának támogatnia kell az előmegosztott kulcs (PSK) használatát azokon az eszközökön, amelyek nem képesek a teljes aszimmetrikus titkosítás kezelésére. Használja a Microsoft Entra ID, OAuth azonosítót.
TRID Használjon illetéktelen hozzáférés-gátló mechanizmusokat az eszközre, például úgy, hogy megnehezíti a kulcsok és más titkosítási anyagok kinyerése az eszközről. A kockázat az, ha valaki módosítja az eszközt (fizikai interferencia). Az biztos, hogy az eszközt nem módosították. A leghatékonyabb megoldás egy megbízható platformmodul (TPM). A TPM speciális chip-kapcsolatcsoportban tárolja a kulcsokat, amelyekből a kulcsok nem olvashatók, de csak a kulcsot használó titkosítási műveletekhez használhatók. Az eszköz memóriatitkosítása. Az eszköz kulcskezelése. A kód aláírása.
E Az eszköz hozzáférés-vezérlése. Engedélyezési séma. Ha az eszköz lehetővé teszi az egyéni műveletek végrehajtását külső forrásból származó parancsok vagy akár sérült érzékelők alapján, lehetővé teszi, hogy a támadás olyan műveleteket végezzen, amelyek egyébként nem érhetők el. Az eszköz engedélyezési sémája.
Mezőátjáró S A Mezőátjáró hitelesítése a Cloud Gateway felé (például tanúsítványalapú, PSK- vagy jogcímalapú).) Ha valaki meg tudja hamisítást okozni a Field Gatewayben, akkor bármilyen eszközként megjelenítheti magát. TLS RSA/PSK, IPSec, RFC 4279. Az eszközök általános kulcstárolási és igazolási aggályai – a legjobb esetben a TPM használata ajánlott. 6LowPAN-bővítmény az IPSec-hez a vezeték nélküli érzékelőhálózatok (WSN) támogatásához.
TRID A mezőátjáró védelme illetéktelen beavatkozás ellen (TPM) Az olyan hamisítási támadások, amelyek becsapják a felhőátjárót, és azt hiszik, hogy a helyszíni átjáróval beszél, információfeltárást és adatmeghamisítást eredményezhet Memóriatitkosítás, TPM-k, hitelesítés.
E Hozzáférés-vezérlési mechanizmus a Field Gatewayhez

Kommunikáció

Íme néhány példa a kommunikációs kategóriába tartozó fenyegetésekre. A fenyegetések a STRIDE-modell alapján vannak kategorizálva:

Szolgáltatásmegtagadás: A korlátozott eszközök általában DoS-fenyegetés alatt állnak, amikor aktívan figyelik a bejövő kapcsolatokat vagy a kéretlen datagramokat a hálózaton. A támadók számos kapcsolatot nyithatnak meg párhuzamosan, és nem tudják őket kiszolgálni vagy lassan kiszolgálni, vagy kéretlen forgalommal eláraszthatják az eszközt. Az eszköz mindkét esetben működésképtelenné válik a hálózaton.

Hamisítás, információfelfedés: A korlátozott eszközök és a speciális célú eszközök gyakran rendelkeznek mindenhez tartozó biztonsági lehetőséggel, például jelszó- vagy PIN-kódvédelemmel. Néha teljesen megbíznak a hálózatban, és hozzáférést biztosítanak az információkhoz minden eszközhöz ugyanazon a hálózaton. Ha a hálózatot egy megosztott kulcs védi, amely nyilvánosságra kerül, a támadó szabályozhatja az eszközt, vagy megfigyelheti az általa továbbított adatokat.

Hamisítás: a támadó elfoghatja vagy részlegesen felülbírálhatja a közvetítést és a hamisítót.

Illetéktelen beavatkozás: A támadó elfoghatja vagy részlegesen felülbírálhatja a közvetítést, és hamis információkat küldhet.

Információfeltárás: A támadók lehallgathatják a közvetítést, és engedély nélkül szerezhetnek be információkat.

Szolgáltatásmegtagadás: A támadó blokkolhatja a közvetítési jelet, és megtagadhatja az információk terjesztését.

Az alábbi táblázat az alábbi fenyegetésekre vonatkozó példákat mutatja be:

Komponens Fenyegetés Mitigation Kockázat Implementáció
Eszköz IoT Hub TID (D) TLS (PSK/RSA) a forgalom titkosításához Az eszköz és az átjáró közötti kommunikáció lehallgatása vagy megzavarása Biztonság protokollszinten. Az egyéni protokollok használatával ki kell találnia, hogyan védheti meg őket. A legtöbb esetben a kommunikáció az eszközről az IoT Hubra történik (az eszköz kezdeményezi a kapcsolatot).
Eszközről eszközre TID (D) TLS (PSK/RSA) a forgalom titkosításához. Adatok olvasása az eszközök közötti átvitel során. Illetéktelen hozzáférés az adatokhoz. Az eszköz túlterhelése új kapcsolatokkal Biztonság protokollszinten (MQTT/AMQP/HTTP/CoAP). Az egyéni protokollok használatával ki kell találnia, hogyan védheti meg őket. A DoS-fenyegetés elhárításához felhőbeli vagy helyszíni átjárón keresztül kell társeszközöket létesíteni, és csak ügyfélként kell működniük a hálózat felé. Miután az átjáró közvetíti a társviszonyt, lehetséges, hogy közvetlen kapcsolat áll fenn a társviszonyok között.
Külső entitáseszköz TID A külső entitás erős párosítása az eszközzel Az eszközhöz való kapcsolat lehallgatása. Az eszköz kommunikációjának megzavarása A külső entitás biztonságos párosítása az NFC/Bluetooth LE eszközhöz. Az eszköz működési paneljének vezérlése (Fizikai).
Field Gateway Cloud Gateway TID TLS (PSK/RSA) a forgalom titkosításához. Az eszköz és az átjáró közötti kommunikáció lehallgatása vagy megzavarása Biztonság protokollszinten (MQTT/AMQP/HTTP/CoAP). Az egyéni protokollok használatával ki kell találnia, hogyan védheti meg őket.
Eszközfelhő-átjáró TID TLS (PSK/RSA) a forgalom titkosításához. Az eszköz és az átjáró közötti kommunikáció lehallgatása vagy megzavarása Biztonság protokollszinten (MQTT/AMQP/HTTP/CoAP). Az egyéni protokollok használatával ki kell találnia, hogyan védheti meg őket.

Storage

Az alábbi táblázat a tárolási fenyegetésekre vonatkozó példákat mutatja be:

Komponens Fenyegetés Mitigation Kockázat Implementáció
Eszköztároló TRID Tárolótitkosítás, a naplók aláírása Adatok beolvasása a tárolóból, a telemetriai adatok illetéktelen használata. Az üzenetsorba helyezett vagy gyorsítótárazott parancsvezérlő adatok illetéktelen módosítása. A konfigurációs vagy belső vezérlőprogram frissítési csomagjainak helyi gyorsítótárazása vagy várólistára helyezése az operációs rendszer és/vagy a rendszerösszetevők sérüléséhez vezethet Titkosítás, üzenethitelesítési kód (MAC) vagy digitális aláírás. Ahol lehetséges, erős hozzáférés-vezérlés erőforrás-hozzáférés-vezérlési listákon (ACL-eken) vagy engedélyeken keresztül.
Eszköz operációsrendszer-lemezképe TRID Operációs rendszer illetéktelen beavatkozása /az operációs rendszer összetevőinek cseréje Írásvédett operációsrendszer-partíció, aláírt operációsrendszer-lemezkép, titkosítás
Field Gateway Storage (az adatok várólistára helyezése) TRID Tárolótitkosítás, a naplók aláírása Adatok beolvasása a tárolóból, a telemetriai adatok illetéktelen módosítása, az üzenetsorba helyezett vagy gyorsítótárazott parancsvezérlő adatok módosítása. A konfigurációs vagy belső vezérlőprogram frissítési csomagjainak (eszközökre vagy mezőátjárókra szánt) helyi gyorsítótárazása vagy várólistára helyezése az operációs rendszer és/vagy rendszerösszetevők sérüléséhez vezethet BitLocker
Mezőátjáró operációs rendszer képe TRID Operációs rendszer illetéktelen beavatkozása /az operációs rendszer összetevőinek cseréje Írásvédett operációsrendszer-partíció, aláírt operációsrendszer-lemezkép, titkosítás

Következő lépések

Az IoT-biztonságról az alábbiakban olvashat bővebben: