Internet věcí zabezpečení (IoT)
Při navrhování systému je důležité pochopit potenciální hrozby pro daný systém a odpovídajícím způsobem přidat patřičnou ochranu, protože systém je navržený a navržený. Je důležité navrhnout produkt od začátku s ohledem na zabezpečení, protože porozumět tomu, jak útočník může ohrozit zabezpečení systému, pomáhá zajistit, aby byla na začátku vhodná omezení.
Zabezpečení začíná modelem hrozeb
Společnost Microsoft pro své produkty používala dlouhodobé modely hrozeb a v rámci veřejně dostupného procesu modelování hrozeb společnosti. Zkušenost ze společnosti ukazuje, že modelování má neočekávané výhody nad rámec okamžitého porozumění, které hrozby jsou v souvislosti s nimi. Například také vytvoří způsob pro otevřenou diskuzi s ostatními mimo vývojový tým, což může vést k novým nápadům a vylepšením v produktu.
Cílem modelování hrozeb je pochopit, jak může útočník ohrozit systém a pak zajistit, aby byla zajištěna vhodná omezení. Modelování hrozeb vynutí, aby tým návrhu zvážil omezení rizik, protože systém je navržený spíše než po nasazení systému. Tato skutečnost je kriticky důležitá, protože retrofitting zabezpečení ochrany nesčetných zařízení v poli je neproveditelné, náchylné k chybám a ponechávají zákazníky v ohrožení.
Řada vývojových týmů má vynikající úlohu, která zachytí funkční požadavky pro systém, který má výhody pro zákazníky. Ale identifikace nezjevných způsobů, které může někdo zneužít, je ale náročnější. Modelování hrozeb může vývojářům pomáhat s tím, co může útočník dělat a proč. Modelování hrozeb je strukturovaný proces, který vytváří diskuzi o rozhodnutích o návrhu zabezpečení v systému, a také o změnách návrhu, které se provedou způsobem, který má vliv na zabezpečení. I když je model hrozby prostě dokumentem, tato dokumentace také představuje ideální způsob, jak zajistit kontinuitu znalostí, podobu uchování zkušeností a rychlé zprovoznění nového týmu. Nakonec je výsledkem modelování hrozeb, že vám umožní vzít v úvahu další aspekty zabezpečení, jako třeba jaké závazky zabezpečení, které chcete zákazníkům poskytnout. Tyto závazky ve spojení se zaměřením na modelování hrozeb a testování řešení Internet věcí (IoT).
Kdy provést modelování hrozeb
Modelování hrozeb nabízí největší hodnotu, když ji zachováte do fáze návrhu. Při navrhování máte největší flexibilitu v provádění změn, které eliminují hrozby. Odstranění hrozeb podle návrhu je požadovaný výsledek. Je mnohem snazší než přidávání rizik, jejich testování a zajištění jejich aktuálnosti a navíc, takové vyloučení není vždy možné. Je obtížnější eliminovat hrozby, když se produkt stane vyšším, a nakonec vyžaduje více práce a mnohem těžší kompromisy než modelování hrozeb ve vývoji.
Co je potřeba vzít v úvahu pro modelování hrozeb
Měli byste se podívat na řešení jako celek a také se zaměřit na následující oblasti:
- Funkce zabezpečení a ochrany osobních údajů
- Funkce, jejichž chyby jsou relevantní zabezpečení
- Funkce, které se dotkne hranice vztahu důvěryhodnosti
Kdo provádí modelování hrozeb
Modelování hrozeb je proces podobný jinému. Je vhodné považovat dokument modelu hrozeb jako jakoukoli jinou komponentu řešení a ověřit ho. Řada vývojových týmů má vynikající úlohu, která zachytí funkční požadavky pro systém, který má výhody pro zákazníky. Ale identifikace nezjevných způsobů, které může někdo zneužít, je ale náročnější. Modelování hrozeb může vývojářům pomáhat s tím, co může útočník dělat a proč.
Jak provádět modelování hrozeb
Proces modelování hrozeb se skládá ze čtyř kroků; postup je následující:
- Modelování aplikace
- Zobrazení výčtu hrozeb
- Zmírnění hrozeb
- Ověření rizik
Kroky procesu
Při sestavování modelu hrozeb Pamatujte na tři pravidla, která vám pomůžeme:
Vytvořte diagram z referenční architektury.
Začátek šířky – první. Získejte přehled a pochopte systém jako celek před úplným začnete. Tento přístup vám pomůže zajistit, že na správných místech máte hlubokou podrobně.
Zařídit proces, nepovolujte vám procesovou jednotku. Pokud ve fázi modelování zjistíte problém a chcete ho prozkoumat, navštivte! Nebojte se, že budete muset postupovat podle těchto kroků slavishly.
Hrozby
Mezi čtyři základní prvky modelu hrozeb patří:
Procesy, jako jsou webové služby, služby Win32 a NIX procesy démon. Některé komplexní entity (například brány polí a senzory) je možné v případě, že není možné technické procházení k podrobnostem v těchto oblastech, abstrakce jako proces.
Úložiště dat (uložená data jsou uložená, například konfigurační soubor nebo databáze)
Tok dat (kde se data pohybují mezi ostatními elementy v aplikaci)
Externí entity (cokoli, co komunikuje se systémem, ale nejsou pod kontrolou aplikace, příklady zahrnují uživatele a satelitní kanály)
Všechny prvky v diagramu architektury podléhají různým hrozbám; v tomto článku najdete klávesové zkratky pro rozteč. Přečtěte si znovu modelování hrozeb a Projděte si další informace o elementech pro rozteč.
Na různé prvky diagramu aplikace se vztahují určité hrozby pro rozteč:
- Na procesy se vztahuje rozteč
- Toky dat podléhají TID.
- Úložiště dat podléhají TID a někdy R, pokud jsou úložiště dat soubory protokolu.
- Externí entity podléhají SRD
Zabezpečení v IoT
Připojená zařízení pro zvláštní účely mají významný počet potenciálních oblastí a způsobů interakce interakce, které je potřeba vzít v úvahu, aby poskytovaly rozhraní pro zabezpečení digitálního přístupu k těmto zařízením. Pojem "Digitální přístup" se tady používá k rozlišení všech operací, které se provedou prostřednictvím přímých interakcí zařízení, kde je zajištěné zabezpečení přístupu prostřednictvím fyzického řízení přístupu. Například umístění zařízení do místnosti s zámkem na dveřích. I když se fyzický přístup nedá odepřít pomocí softwaru a hardwaru, můžou být podniknuty míry, aby se zabránilo fyzickému přístupu od vedoucího k rušení systému.
Při zkoumání vzorců interakce si prohlédněte "řízení zařízení" a "data zařízení" se stejnou úrovní pozornosti. "Ovládací prvek zařízení" může být klasifikován jako jakákoli informace, která je poskytnuta každé ze smluvních stran, s cílem změnit nebo ovlivnit jeho chování směrem ke stavu nebo stavu jeho prostředí. "Data zařízení" je možné klasifikovat jako všechny informace, které zařízení vysílá do jakékoli jiné strany o jeho stavu a pozorovaném stavu jeho prostředí.
Aby bylo možné optimalizovat osvědčené postupy zabezpečení, doporučujeme, aby byla typická architektura IoT v rámci cvičení modelování hrozeb rozdělena do několika součástí nebo zón. Tyto zóny jsou plně popsané v této části a zahrnují:
- Zařízení
- Pole Brána,
- Cloudové brány a
- Orgány.
Zóny představují širší způsob segmentace řešení; Každá zóna má často vlastní data a požadavky na ověřování a autorizaci. Zóny je také možné použít k izolaci škod a omezení dopadu zóny s nízkým vztahem důvěryhodnosti ve vyšších zónách důvěryhodnosti.
Každá zóna je oddělena hranicí vztahu důvěryhodnosti, která je zaznamenána jako tečkovaná červená čára v následujícím diagramu. Představuje přechod dat/informací z jednoho zdroje do druhého. Během tohoto přechodu mohou být data/informace předmětem falšování identity, manipulace, odmítnutí, zpřístupnění informací, odepření služby a zvýšení úrovně oprávnění (Rozteč).
Komponenty, které jsou znázorněné v rámci každé hranice, se také vztahují k tomu, aby bylo možné celé řešení 360 zobrazit. Následující části jsou podrobnější na jednotlivých součástech a konkrétních tématech týkajících se zabezpečení a řešeních, která by měla být zavedena.
Následující části popisují standardní komponenty, které se obvykle nacházejí v těchto zónách.
Zóna zařízení
Prostředí zařízení je bezprostřední fyzické místo kolem zařízení, kde je možné použít fyzický přístup nebo místní síť peer-to-peer Digital Access k zařízení. Předpokládá se, že "místní síť" je síť, která je odlišná a izolovaná od sítě, ale je potenciálně připojená k veřejnému Internetu, a zahrnuje libovolné technologie bezdrátového přijímače s krátkým rozsahem, která umožňuje komunikaci zařízení peer-to-peer. Neobsahuje žádnou technologii virtualizace sítě, která vytváří dojem takové místní sítě, a také nezahrnuje sítě veřejných operátorů, které vyžadují, aby všechna dvě zařízení komunikovala přes veřejné síťové místo, pokud museli zadat komunikační vztah peer-to-peer.
Zóna brány pole
Pole Brána je zařízení nebo zařízení nebo nějaký počítačový software pro obecné účely, který funguje jako komunikační aktivátor a případně jako systém řízení zařízení a centrum zpracování dat zařízení. Zóna brány pole zahrnuje samotnou bránu pole a všechna zařízení, která jsou k němu připojená. V takovém případě jsou brány polí závislé mimo vyhrazená zařízení pro zpracování dat, obvykle se jedná o umístění, které může podléhat fyzickému vniknutí a má omezenou provozní redundanci. To vše znamená, že brána pole je obvykle jedna z nich se může dotýkat a napadení zařízení při vědomí, co je jeho funkce.
Brána pole se liší od pouhého směrovače provozu v tom, že má aktivní roli při správě přístupu a informačního toku, což znamená, že se jedná o aplikační entitu a připojení k síti nebo terminálu relace. Zařízení nebo brána firewall pro překlad adres (NAT) naopak nezpůsobuje, že se jedná o brány pole, protože nejsou explicitním připojením nebo terminály relace, ale také s připojením k trasám (nebo blokem) nebo relacím. Brána pole má dvě samostatné oblasti Surface. Jedna ploška zařízení, která jsou k němu připojená a která představují uvnitř zóny, a druhá se všemi externími stranami a je hraniční oblastí.
Zóna cloudové brány
Cloudová brána je systém, který umožňuje vzdálenou komunikaci ze zařízení nebo bran polí z několika různých lokalit napříč veřejným síťovým prostorem, obvykle směrem ke cloudovému řídicímu a analytickému systému, který je federací takových systémů. V některých případech může cloudová brána okamžitě usnadnit přístup k zařízením pro zvláštní účely z terminálů, jako jsou tablety nebo telefony. V tomto kontextu je "cloud" určený k odkazování na vyhrazený systém zpracování dat, který není vázaný na stejnou lokalitu jako připojená zařízení nebo brány polí. Provozní opatření také v cloudové zóně zabraňují cílovému fyzickému přístupu a nemusí být nutně vystavena infrastruktuře "veřejného cloudu".
Cloudová brána může být potenciálně namapovaná na překryvnou vrstvu virtualizace sítě, aby se cloudová brána a všechna její připojená zařízení nebo brány polí namapovali na jakýkoli jiný síťový provoz. Samotná cloudová brána není řídicím systémem zařízení ani zařízením pro zpracování nebo ukládání dat zařízení. rozhraní těchto zařízení s cloudovou bránou. Zóna cloudové brány zahrnuje samotnou cloudovou bránu spolu se všemi field gateways a zařízeními, které jsou k ní přímo nebo nepřímo připojené. Hrana zóny je odlišná povrchová oblast, přes které komunikují všechny externí strany.
Zóna služeb
"Služba" je definována pro tento kontext jako jakákoli softwarová komponenta nebo modul, který se nachází ve vzájemném propojení se zařízeními prostřednictvím brány pole nebo cloudu pro shromažďování a analýzu dat a také pro příkazy a řízení. Služby jsou mediátory. Jednají pod svou identitou vůči branám a dalším subsystémům, ukládají a analyzují data, autonomním způsobem vystavují zařízením příkazy na základě přehledů nebo plánů dat a zpřístupňuje informace a možnosti řízení oprávněným koncovým uživatelům.
Informační zařízení versus zařízení pro zvláštní účely
Počítače, telefony a tablety jsou primárně interaktivní informační zařízení. Telefony a tablety jsou explicitně optimalizované tak, aby maximalizoval životnost baterie. Pokud možno částečně vypne, když uživatel hned nebude komunikovat, nebo když nepojádří služby, jako je přehrávání hudby nebo navádění vlastníka na konkrétní místo. Z hlediska systémů tato zařízení informačních technologií vystupují hlavně jako profesionálové vůči lidem. Jsou to "lidé pohánějící" a navrhují akce a "senzory lidí", které shromažďují vstupy.
Zařízení pro zvláštní účely, od jednoduchých senzorů teploty až po složité výrobní linky v továrně s tisíci součástmi, se liší. Tato zařízení mají mnohem větší rozsah, a i když poskytují určité uživatelské rozhraní, jsou z velké části vymezená na propojení s prostředky ve fyzickém světě nebo je do nich integrovat. Měří a hlásí okolnosti prostředí, přetáčou ventily, řídí řízení, zvukové alarmy, přepínače a dělají spoustu dalších úkolů. Pomáhají při práci, pro kterou je informační zařízení příliš obecné, příliš nákladné, příliš velké nebo příliš přemostěné. Konkrétní účel okamžitě určuje svůj technický návrh a také dostupný peněžní rozpočet pro provoz výroby a plánované životnosti. Kombinace těchto dvou klíčových faktorů omezuje dostupný rozpočet na provozní energii, fyzickou stopu a tedy dostupné možnosti úložiště, výpočetních prostředků a zabezpečení.
Pokud se u automatizovaných zařízení nebo zařízení s možností vzdáleného řízení něco "pokazí", například fyzické vady nebo závady logiky řízení pro neoprávněné neoprávněné vniknutí a manipulaci s nimi. Může dojít ke zničení výrobních míst, budovám se může podařít nebo slánout a lidé mohou být zaměněni nebo dokonce umřou. Jedná se o úplně jinou třídu škod, než když někdo vymění limit odcizené platební karty. Panel zabezpečení pro zařízení, která něco přesouvat, a také pro data ze snímačů, která nakonec způsobí, že se věci přesunou, musí být vyšší než v jakémkoli scénáři elektronického obchodování nebo bankovnictví.
Ovládání zařízení a interakce s daty zařízení
Připojená zařízení pro zvláštní účely mají velký počet potenciálních prostorů interakce a vzorů interakce, z nichž všechna je třeba zvážit, aby poskytovala rámec pro zabezpečení digitálního přístupu k ům. Termín "digitální přístup" se zde používá k odlišení od všech operací, které se provádějí prostřednictvím přímé interakce se zařízeními, kde se zabezpečení přístupu zajišťuje prostřednictvím fyzického řízení přístupu. Například umístění zařízení do místnosti se zámkem na prahu. I když fyzický přístup není možné odepřít pomocí softwaru a hardwaru, je možné přijmout opatření, která zabrání fyzickému přístupu, aby to vedlo k narušení systému.
Při zkoumání vzorů interakce se při modelování hrozeb podívejte na "řízení zařízení" a "data zařízení" se stejnou úrovní pozornosti. "Řízení zařízení" se může klasifikovat jako jakékoli informace, které do zařízení poskytuje kterákoli strana s cílem změnit nebo ovlivnit jeho chování vůči svému stavu nebo stavu jeho prostředí. "Data zařízení" lze klasifikovat jako jakékoli informace, které zařízení vysílá jakékoli jiné straně o svém stavu a zjištěném stavu svého prostředí.
Modelování hrozeb pro referenční architekturu Azure IoT
Microsoft používá dříve popsané rozhraní k modelování hrozeb pro Azure IoT. Následující část používá konkrétní příklad referenční architektury Azure IoT k předvedení toho, jak se zamyslet nad modelováním hrozeb pro IoT a jak identifikovat hrozby řešit. Tento příklad identifikuje čtyři hlavní oblasti zaměření:
- Zařízení a zdroje dat
- Přenos dat,
- Zpracování událostí a zařízení a
- Zobrazení
Následující diagram poskytuje zjednodušené zobrazení architektury IoT od Microsoftu pomocí modelu diagramu datových Flow, který používá Microsoft Threat Modeling Tool:
Je důležité si uvědomit, že architektura odděluje možnosti zařízení a brány. Tento přístup umožňuje uživateli využívat zařízení brány, která jsou bezpečnější: jsou schopná komunikovat s cloudovou bránou pomocí zabezpečených protokolů, což obvykle vyžaduje větší režijní náklady na zpracování, které může nativní zařízení , jako je termostat, poskytovat samostatně. V zóně služeb Azure předpokládejme, že cloudovou bránu reprezentuje Azure IoT Hub služba.
Zdroje dat a zařízení / přenos dat
Tato část se zabývá architekturou, která byla nastíněna dříve v rámci modelování hrozeb, a poskytuje přehled o tom, jak řešte některé ze vnitřních problémů. Tento příklad se zaměřuje na základní prvky modelu hrozeb:
- Procesy (jak pod vaším řízením, tak i externími položkami)
- Komunikace (také nazývaná toky dat)
- Storage (také nazývaná úložiště dat)
Procesy
V každé z kategorií popsaných v architektuře Azure IoT se tento příklad pokouší zmírnit řadu různých hrozeb v různých fázích, ve které existují data a informace: proces, komunikace a úložiště. Následuje přehled nejběžnějších hrozeb v kategorii "proces", po kterých následuje přehled toho, jak je možné tyto hrozby nejlépe zmírnit:
Falšování identity (S): Útočník může extrahovat materiál kryptografického klíče ze zařízení na úrovni softwaru nebo hardwaru a následně přistupovat k systému s jiným fyzickým nebo virtuálním zařízením pod identitou zařízení, ze které byl tento materiál klíče převzat. Dobrým ilustrací jsou vzdálené ovládací prvky, které mohou zapnout libovolný tv a které jsou oblíbenými nástroji.
Denial of Service (D): Zařízení může být neschopné fungovat nebo komunikovat tím, že naruší rádiové frekvence nebo vodiče. Například monitorovací kamera, která měla napájení nebo síťové připojení záměrně vyřazené, nemůže vůbec hlásit data.
Manipulace (T): Útočník může částečně nebo zcela nahradit software běžící na zařízení, což může nahrazený software umožnit využít skutečnou identitu zařízení, pokud by pro neoprávněný program byl k dispozici klíčový materiál nebo kryptografická zařízení, ve které jsou klíče. Útočník může například využít extrahovaný materiál klíče k zachycení a potlačení dat ze zařízení na komunikační cestě a k jejich nahrazení za falešná data ověřená odcizeným materiálem klíče.
Zpřístupnění informací (I): Pokud zařízení běží s manipulovaným softwarem, může takový manipulovaný software potenciálně prozrazení dat neoprávněným stranám. Útočník může například využít extrahovaný materiál klíče k vložení do komunikační cesty mezi zařízením a kontrolerem nebo bránou pole nebo cloudovou bránou k odsííní informací.
Elevation of Privilege (E): Zařízení, které dělá konkrétní funkci, může být nucené udělat něco jiného. Například ošemetné, které je naprogramované tak, aby otevřelo polovinu cesty, může být záludné, aby se otevřela celou cestu.
| Komponenta | Hrozba | Omezení rizik | Riziko | Implementace |
|---|---|---|---|---|
| Zařízení | S | Přiřazení identity k zařízení a ověření zařízení | Nahrazení zařízení nebo části zařízení jiným zařízením. Jak víte, že mluvíte se správným zařízením? | Ověřování zařízení pomocí protokolu TLS (Transport Layer Security) nebo IPSec. Infrastruktura by měla podporovat používání před sdíleného klíče (PSK) na zařízeních, která nezvládnou úplnou asymetrickou kryptografii. Využití Azure AD, OAuth |
| TRID | Použijte na zařízení mechanismy neoprávněné manipulace, například tím, že z něj znemožníte extrahovat klíče a další kryptografické materiály. | Riziko je v případě, že někdo zařízení manipuluje (fyzická interference). Jak jste si jistí, že s tímto zařízením nebylo manipulováno? | Nejefektivnějším omezením rizik je funkce čipu TPM (Trusted Platform Module), která umožňuje ukládání klíčů ve speciálních obvodech na čipu, ze kterých není možné klíče číst, ale je možné ho použít pouze pro kryptografické operace, které klíč používají, ale klíč nikdy neodhalí. Šifrování paměti zařízení. Správa klíčů pro zařízení. Podepisování kódu | |
| E | Řízení přístupu k zařízení. Schéma autorizace. | Pokud zařízení umožňuje provádět jednotlivé akce na základě příkazů z vnějšího zdroje nebo dokonce ohrožených senzorů, umožňuje útoku provádět operace, které nejsou jinak přístupné. | Schéma autorizace pro zařízení | |
| Field Gateway | S | Ověřování brány Field v cloudové bráně (například na základě certifikátu, PSK nebo založené na deklaraci identity) | Pokud někdo může zfalšovat Field Gateway, může se prezentovat jako jakékoli zařízení. | TLS RSA/PSK, IPSec, RFC 4279. Obecně platí, že se jedná o stejné úložiště klíčů a ověřování zařízení – v nejlepším případě je použití čipu TPM. 6 RozšířeníLowPAN pro PROTOKOL IPSec pro podporu sítí s bezdrátovými senzory (WSN). |
| TRID | Ochrana field gateway před manipulací (TPM) | Útoky falšování, které ošidují cloudovou bránu tím, že si myslí, že hovoří s bránou field gateway, by mohly způsobit zpřístupnění informací a manipulaci s daty. | Šifrování paměti, tpm, ověřování. | |
| E | Mechanismus řízení přístupu pro Field Gateway |
Tady je několik příkladů hrozeb v této kategorii:
Falšování identity: Útočník může extrahovat materiál kryptografického klíče ze zařízení na úrovni softwaru nebo hardwaru a následně přistupovat k systému s jiným fyzickým nebo virtuálním zařízením pod identitou zařízení, ze které byl tento materiál klíče převzat.
Denial of Service(Odepření služby): Zařízení může být neschopné fungovat nebo komunikovat tím, že naruší rádiové frekvence nebo vodiče. Například monitorovací kamera, která měla napájení nebo síťové připojení záměrně vyřazené, nemůže vůbec hlásit data.
Manipulace: Útočník může částečně nebo zcela nahradit software běžící na zařízení, což může nahradit software tak, aby využil skutečnou identitu zařízení, pokud by pro neoprávněný program byl k dispozici klíčový materiál nebo kryptografická zařízení s klíči.
Manipulace: Snímek obrazovky, který znázorňuje viditelný snímek prázdného okolí, by mohl být zaměřený na fotografii takového sádře. Senzor kouře nebo požáru může nahlašovat, že pod ní někdo drží lehčí. V obou případech může být zařízení technicky vůči systému plně důvěryhodné, ale hlásí manipulované informace.
Manipulace: Útočník může využít extrahovaný materiál klíče k zachycení a potlačení dat ze zařízení na komunikační cestě a nahradit je falešnými daty ověřených pomocí odcizeného klíče.
Zpřístupnění informací: Pokud zařízení běží s manipulovaným softwarem, může takový manipulovaný software potenciálně prozrazení dat neoprávněným stranám.
Zpřístupnění informací: Útočník může využít extrahovaný materiál klíče k vložení do komunikační cesty mezi zařízením a kontrolerem nebo bránou pole nebo cloudovou bránou k odsouňování informací.
Denial of Service(Odepření služby): Zařízení je možné vypnout nebo přepnout do režimu, kdy není možná komunikace (což je záměrné na mnoha průmyslových strojích).
Manipulace: Zařízení je možné překonfigurovat tak, aby se provozoval ve stavu neznámém pro řídicí systém (mimo známé parametry a poskytovalo tak data, která lze špatně interpretovat).
Zvýšení oprávnění: Zařízení, které dělá konkrétní funkci, může být nucené udělat něco jiného. Například ošemetné, které je naprogramované tak, aby otevřelo polovinu cesty, může být záludné, aby se otevřela celou cestu.
Falšování, manipulace nebo repudiace: Pokud není zabezpečená (což se zřídka stává u vzdálených ovládacích prvků uživatelů), útočník může se stavem zařízení manipulovat anonymně. Dobrým ilustrací jsou vzdálené ovládací prvky, které mohou zapnout libovolný tv a které jsou oblíbenými nástroji.
Komunikace
Hrozby kolem komunikační cesty mezi zařízeními, zařízeními a branami polí a bránou zařízení a cloudu. Následující tabulka obsahuje pokyny týkající se otevřených soketů na zařízení nebo vpn:
| Komponenta | Hrozba | Omezení rizik | Riziko | Implementace |
|---|---|---|---|---|
| Device IoT Hub | TID | (D) Šifrování provozu protokolem TLS (PSK/RSA) | Odposlouchávání nebo narušování komunikace mezi zařízením a bránou | Zabezpečení na úrovni protokolu. U vlastních protokolů potřebujete zjistit, jak je chránit. Ve většině případů probíhá komunikace ze zařízení do IoT Hub (zařízení inicializuje připojení). |
| Připojení zařízení k zařízení | TID | (D) TLS (PSK/RSA) pro šifrování provozu. | Čtení dat během přenosu mezi zařízeními Manipulace s daty. Přetížení zařízení novými připojeními | Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP. U vlastních protokolů potřebujete zjistit, jak je chránit. Zmírnění hrozby DoS je vytvoření partnerského vztahu zařízení přes cloudovou nebo field bránu a nechat je jednat pouze jako klienti směrem k síti. Partnerský vztah může po zprostředkování bránou vést k přímému připojení mezi partnerskými vztahy. |
| Zařízení externí entity | TID | Silné párování externí entity se zařízením | Odposlouchávání připojení k zařízení Narušování komunikace se zařízením | Bezpečné spárování externí entity se zařízením NFC/Bluetooth LE Řízení provozního panelu zařízení (fyzické) |
| Cloudová brána field gateway | TID | TLS (PSK/RSA) pro šifrování provozu. | Odposlouchávání nebo narušování komunikace mezi zařízením a bránou | Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP). U vlastních protokolů potřebujete zjistit, jak je chránit. |
| Cloudová brána zařízení | TID | TLS (PSK/RSA) pro šifrování provozu. | Odposlouchávání nebo narušování komunikace mezi zařízením a bránou | Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP). U vlastních protokolů potřebujete zjistit, jak je chránit. |
Tady je několik příkladů hrozeb v této kategorii:
Odepření služby: Constrained devices are generally under DoS threat when they aktivně listen for inbound connections or unsolicited datagrams on a network, because an attacker can open many connections in parallel and not service them or service them slowly, or the device can be flooded with unsolicited traffic. V obou případech může být zařízení v podstatě nefunkčností sítě.
Falšování, zpřístupnění informací: Constrained devices and special-purpose devices often have one-for-all security facilities like password or PIN protection, or they rely on trusting the network, meaning they grant access to information when a device is on the same network, and that network is often protected by a shared key. To znamená, že při zveřejnění sdíleného tajného klíče do zařízení nebo sítě je možné ovládat zařízení nebo sledovat data vygenerovaná ze zařízení.
Falšování: Útočník může zachytit nebo částečně přepsat všesměrové vysílání a falšovat původce (prostředník).
Manipulace: Útočník může zachytit nebo částečně přepsat všesměrové vysílání a odeslat nepravdivé informace.
Zpřístupnění informací: Útočník může odposlouchávat vysílání a získávat informace bez autorizace.
Odepření služby: Útočník může zablokovat vysílání signálu a odepřít distribuci informací.
Storage
Každé zařízení a brána pole má nějakou formu úložiště (dočasné pro zařazování dat do fronty, úložiště bitových kopií operačního systému ).
| Komponenta | Hrozba | Omezení rizik | Riziko | Implementace |
|---|---|---|---|---|
| Úložiště zařízení | TRID | Storage šifrování a podepisování protokolů | Čtení dat z úložiště (data PII) a manipulace s telemetrickými daty Manipulace s daty řízení příkazů ve frontě nebo mezipaměti Manipulace s balíčky konfigurace nebo aktualizace firmwaru při místním ukládání do mezipaměti nebo ve frontě může vést k ohrožení zabezpečení operačního systému nebo systémových komponent | Šifrování, ověřovací kód zprávy (MAC) nebo digitální podpis. Pokud je to možné, silné řízení přístupu prostřednictvím seznamů řízení přístupu k prostředkům (ACL) nebo oprávnění. |
| Image operačního systému zařízení | TRID | Manipulace s operačním systémem / nahrazení komponent operačního systému | Oddíl operačního systému jen pro čtení, podepsaná image operačního systému, šifrování | |
| Úložiště služby Field Gateway (řazení dat do fronty) | TRID | Storage šifrování a podepisování protokolů | Čtení dat z úložiště (data PII), manipulace s telemetrickými daty, manipulace s daty řízení příkazů ve frontě nebo v mezipaměti. Manipulace s balíčky konfigurace nebo aktualizace firmwaru (určené pro zařízení nebo bránu pole) při místním ukládání do mezipaměti nebo ve frontě může vést k ohrožení zabezpečení operačního systému nebo systémových komponent | BitLocker |
| Image operačního systému field gateway | TRID | Manipulace s operačním systémem / nahrazení komponent operačního systému | Oddíl operačního systému jen pro čtení, podepsaná image operačního systému, šifrování |
Zpracování zařízení a událostí / zóna cloudové brány
Cloudová brána je systém, který umožňuje vzdálenou komunikaci ze zařízení nebo bran polí z několika různých lokalit napříč veřejným síťovým prostorem, obvykle směrem ke cloudovému řídicímu a analytickému systému, který je federací takových systémů. V některých případech může cloudová brána okamžitě usnadnit přístup k zařízením pro zvláštní účely z terminálů, jako jsou tablety nebo telefony. V tomto kontextu se "cloud" používá k odkazování na vyhrazený systém zpracování dat, který není vázaný na stejnou lokalitu jako připojená zařízení nebo brány pole, a kde provozní opatření brání cílovému fyzickému přístupu, ale nemusí nutně souviset s infrastrukturou "veřejného cloudu". Cloudová brána může být potenciálně namapovaná na překryvnou vrstvu virtualizace sítě, aby se cloudová brána a všechna její připojená zařízení nebo brány polí namapovali na jakýkoli jiný síťový provoz. Samotná cloudová brána není řídicím systémem zařízení ani zařízením pro zpracování nebo ukládání dat zařízení. rozhraní těchto zařízení s cloudovou bránou. Zóna cloudové brány zahrnuje samotnou cloudovou bránu spolu se všemi field gateways a zařízeními, které jsou k ní přímo nebo nepřímo připojené.
Cloudová brána je většinou vlastní kus softwaru běžící jako služba s vystavenými koncovými body, ke kterým se brána pole a zařízení připojují. Proto musí být navržen s vědomím zabezpečení. Při návrhu a vytváření této služby postupujte podle procesu SDL.
Zóna služeb
Řídicí systém (nebo kontroler) je softwarové řešení, které se používá k rozhraní se zařízením, bráně pole nebo cloudové bráně za účelem řízení jednoho nebo více zařízení a/nebo shromažďování a/nebo ukládání nebo analýzy dat zařízení za účelem prezentace nebo následné kontroly. Kontrolní systémy jsou jediné entity v rozsahu této diskuze, které mohou okamžitě usnadnit interakci s lidmi. Výjimkou jsou zprostředkující fyzické kontrolní povrchy na zařízeních, jako je přepínač, který umožňuje uživateli vypnout zařízení nebo změnit jiné vlastnosti a pro které neexistuje žádný funkční ekvivalent, ke kterému by bylo možné přistupovat digitálně.
Mezilehlé fyzické kontrolní povrchy jsou ty, kde řídicí logika omezuje funkci fyzického řídicího povrchu tak, aby bylo možné vzdáleně iniciovat ekvivalentní funkci nebo se vyhnout konfliktům vstupu se vzdáleným vstupem – tyto zprostředkující řídicí povrchy jsou koncepčně připojeny k místnímu řídicímu systému, který využívá stejné základní funkce jako jakýkoli jiný systém vzdáleného řízení, ke kterém může být zařízení připojeno paralelně. Hlavní hrozby pro cloud computing si můžete přečíst na stránce CSA (Cloud Security Alliance).
Další materiály
Další informace najdete v následujících článcích:
Viz také
Informace o IoT Hub zabezpečení si můžete přečíst v IoT Hub přístupu k IoT Hub příručce pro vývojáře.