2020年12月30日
物联网网络安全和 PKI 需要建立信任
物联网网络安全很难,其原因在于涉及边缘设备的物联网项目固有的复杂性。移动部件和依赖项越多,采用适当的安全态势就越困难。有人说,完美不是当没有更多的功能可以添加到产品中时,而是当没有更多的功能可以删除时。安全性也是如此。我们把东西保存得越简单,它们就越安全。
物联网网络安全的核心在于回答以下问题:谁将被允许在何时何地对哪些设备进行哪些更改。要回答这个问题,我们可以看看物联网生态系统中的 3 个主要利益相关者:人、设备和软件。这三个利益相关者之间的相互作用构成了Triangle of Trust™的框架。正确完成后,信任三角™ 旨在确保只有“合适的人,才能对合适的边缘设备进行合适的更改”。通过这个三角形的镜头定义和构建安全姿势,可以确保整体视野,并始终保持对球的关注,而不会引起专业词汇的干扰。
by Thomas Ryd
来自 Stadtwerke Leipzig GMBH 的 IT 顾问 Stefan Hartleib 和物联网开发人员 Max Mueller 为 The Device Chronicle 撰稿。 正如我们来自莱比锡市政府的专家所解释的那样,具有 OTA 软件更新的边缘设备在市政能源管理中发挥着越来越重要的作用。
物联网网络安全认证
第一个挑战是确保演员的真实性。我们如何确保人们是他们声称的人,或者边缘设备和软件他们报告的内容?身份验证确保真实性。人们可以通过简单的用户/密码或更高级的多因素身份验证方法来验证自己。边缘设备和软件通过简单的独特属性(如 mac 地址和软件版本)进行身份验证,以使用更高级的公共私钥(软件/硬件)密钥。如果做得正确,身份验证使我们能够信任信任三角中所有参与者的真实性。任何冒名顶替者都无法进入系统。
物联网网络安全授权
一旦建立了真实性信任,下一步就是创建和执行关于这些参与者被允许做什么的规则。最佳实践是采用零信任模型,这意味着默认情况下一切都被拒绝。所有允许的操作都必须由适当的利益相关者明确表达和批准。授权通常会影响角色。角色继续分配给人员、软件和设备。开发人员角色和管理员角色是许多组织中的两个典型角色。这两个角色将被分配不同的授权。例如,可能允许开发人员角色对影响在受限测试环境中运行的设备的软件进行更改,而管理员角色则可以对在生产中运行的设备进行软件更改,在现场为真实客户提供服务。如果正确完成,授权规则可确保仅对设备和软件进行授权更改,然后任何对手都无法对系统进行恶意更改。
物联网网络安全和 PKI 实践
如上所述,当 Triangle of Trust™ 与适当的身份验证和授权相结合时,您将能够设计一个适当安全的物联网生态系统。 现在,让我们根据如何在连接的设备中通过无线方式更新固件和软件来查看这种方法。
保护人员和后端要通过无线方式更新远程物联网设备,必须有一个后端管理系统来存储新软件并指示适当的设备进行更新。 后端系统应提供适当的登录系统,以确保其用户的真实性;
- 用于人为GUI访问的多因素登录
- 用于可编程 API 访问的私钥/公钥
接下来,后端应提供基于角色的访问控制,以确保对操作进行适当的授权。 推荐的开始可能是:
- 管理员 – 对所有内容的完全访问权限,包括将软件更新部署到边缘设备
- CI – 用于持续集成系统。 它只能在后端系统上上传和删除软件
- 只读 – 用户可以查看支持所需的连接设备和部署的状态,但不能进行任何更改。
安全的 OTA 软件更新
为了确保软件从源头(开发者)到最终目的地(客户设备)的完整性,我们依赖于后端。必须只允许授权用户将新软件上传和部署到连接的设备。为确保没有人篡改传输中的软件,OTA 软件更新机制应确保:
- 软件从后端到连接设备的加密传输
- 签署软件以确保真实性和完整性
- 软件与目标边缘设备之间的兼容性,以确保新软件正常工作
- 各种软件部分的完整性检查以避免损坏。
保护 PKI 中的设备
显然,我们不希望任何人通过简单地知道后端 IP 地址和其他内部设置就能够获取设备,并将其连接到后端。为了确保只有正确的设备被授权访问后端,需要一个适当的设备载入(配置)系统。在与设备有视觉接触的小规模和内部设施中,手动(人工)接受新设备可能就足够了。大规模或设备不在视线范围内,其他措施适用。保护和确保设备的供应和持续真实性的方法是使用
- 私钥/公钥/PKI基础设施
- 密钥存储在软件中(良好),或密钥存储在硬件中(最佳)
- 单向握手(良好)或双向握手(最好,例如双向 TLS)
- 安全启动以确保从头到尾的完整性。
PKI 中的安全 OTA 软件更新
就是这样。安全后端系统与安全软件和设备相结合,构成了连接设备的安全 OTA 软件更新过程的组成部分。可以在系统中编写和设计更多内容以使其更加安全。一个巨大的行业随时准备为您提供帮助。但是通过遵循这些简单的步骤,您的物联网设备可能比世界上所有部署的物联网设备的 99.999% 更安全!
这个事实的一个很大的有益影响是被利用的机会减少了。黑客总是寻找阻力最小的路径,那么为什么要花时间尝试渗透您的安全设备,因为那里存在许多其他且更不安全的设备?回答:他们不会。最佳实践建议分层构建物联网网络安全,以便深入了解。Triangle of Trust™(信任三角) 勾勒出基本深度,通过采用这些深度,您因错误原因登上头条新闻头条的可能性将大大降低。
物联网网络安全中的错误
这篇博文主张采用围绕信任三角™ 概念的零信任模型作为保护物联网系统的一种简单而智能的方法。这些指南从操作的角度保护物联网系统。考虑到这一点,您可以在晚上睡得很安稳,知道只有合适的人才能对合适的设备进行合适的更改。如果出现任何问题,将很容易跟踪问题并进行改进。
然而,围绕物联网设备安全性的另一个非常重要的方面与可以被对手利用的错误有关。为了防止这种情况,您需要一个严格的常见漏洞和暴露 (CVE) 修补机制。此外,拥有一个适当的渗透系统来检测错误,从简单到基于人工智能的超级威胁检测系统,将是无价的。最后,如果出现更糟糕的情况,您将需要日志记录和监控来恢复和恢复。如何最好地解决这些问题,值得自己撰写另一篇完整的博客文章。
阅读麦基嘉如何解决海事和航运行业的 OTA 软件更新和物联网网络安全(OTA software updating and IoT cybersecurity)问题。
你有任何问题吗? 请单击HERE提问。
Source :
Source :