Architettura di sicurezza di Internet delle coseInternet of Things security architecture

Quando si progetta un sistema, è importante comprendere le potenziali minacce e aggiungere le difese appropriate di conseguenza, perché il sistema è definito da una progettazione e un'architettura specifiche.When designing a system, it is important to understand the potential threats to that system, and add appropriate defenses accordingly, as the system is designed and architected. È particolarmente importante progettare il prodotto tenendo conto della sicurezza, perché comprendere in che modo un utente malintenzionato potrebbe compromettere un sistema aiuta ad implementare le misure appropriate sin dall'inizio.It is particularly important to design the product from the start with security in mind because understanding how an attacker might be able to compromise a system helps make sure appropriate mitigations are in place from the beginning.

La sicurezza inizia con un modello di rischioSecurity starts with a threat model

Da tempo Microsoft usa modelli di rischio per i suoi prodotti e ha reso disponibile al pubblico il suo processo aziendale di modellazione delle minacce.Microsoft has long used threat models for its products and has made the company’s threat modeling process publically available. L'esperienza aziendale dimostra che la modellazione comporta alcuni vantaggi imprevisti oltre l'immediata individuazione delle minacce più preoccupanti.The company experience demonstrates that the modelling has unexpected benefits beyond the immediate understanding of what threats are the most concerning. Ad esempio, crea anche un possibile approccio a una discussione aperta con persone esterne al team di sviluppo, che può condurre a nuove idee e a miglioramenti del prodotto.For example, it also creates an avenue for an open discussion with others outside the development team, which can lead to new ideas and improvements in the product.

L'obiettivo della modellazione delle minacce consiste nel comprendere in che modo un utente malintenzionato potrebbe compromettere un sistema e, di conseguenza, nell'assicurarsi che vengano attuate le misure appropriate.The objective of threat modeling is to understand how an attacker might be able to compromise a system and then make sure appropriate mitigations are in place. La modellazione delle minacce obbliga il team di progettazione a valutare misure di prevenzione durante la progettazione di un sistema, anziché durante la sua distribuzione.Threat modeling forces the design team to consider mitigations as the system is designed rather than after a system is deployed. Ciò è di fondamentale importanza, perché l'adeguamento retroattivo delle difese di sicurezza a una varietà di dispositivi non è fattibile, è soggetto a errori e mette a rischio i clienti.This fact is critically important, because retrofitting security defenses to a myriad of devices in the field is infeasible, error prone and will leave customers at risk.

Molti team di sviluppo svolgono un eccellente lavoro di acquisizione dei requisiti funzionali per il sistema da cui i clienti traggono vantaggio.Many development teams do an excellent job capturing the functional requirements for the system that benefit customers. Tuttavia, è molto più difficile identificare i modi impropri, ma non ovvi, in cui qualcuno potrebbe usare il sistema.However, identifying non-obvious ways that someone might misuse the system is more challenging. La modellazione delle minacce può aiutare i team di sviluppo a comprendere cosa potrebbe fare un utente malintenzionato e perché.Threat modeling can help development teams understand what an attacker might do and why. La modellazione delle minacce è un processo strutturato che favorisce una discussione sulle decisioni in merito alla progettazione di sicurezza nel sistema, nonché sulle modifiche alla progettazione effettuate lungo il percorso e che incidono sulla sicurezza.Threat modeling is a structured process that creates a discussion about the security design decisions in the system, as well as changes to the design that are made along the way that impact security. Mentre un modello di rischio è semplicemente un documento, questa documentazione rappresenta anche un modo ideale per garantire la continuità della conoscenza, la conservazione delle lezioni apprese e il rapido inserimento del nuovo team.While a threat model is simply a document, this documentation also represents an ideal way to ensure continuity of knowledge, retention of lessons learned, and help new team onboard rapidly. Infine, uno dei risultati della modellazione delle minacce consiste nella possibilità di prendere in considerazione altri aspetti della sicurezza, ad esempio quali impegni di sicurezza si vogliono fornire ai clienti.Finally, an outcome of threat modeling is to enable you to consider other aspects of security, such as what security commitments you wish to provide to your customers. Queste operazioni, in combinazione con la modellazione delle minacce, condurranno all'esecuzione di un test informato della soluzione Internet delle cose (IoT).These commitments in conjunction with threat modeling will inform and drive testing of your Internet of Things (IoT) solution.

Quando implementare la modellazione delle minacceWhen to threat model

La modellazione delle minacce offre il massimo valore aggiunto se incorporata nella fase di progettazione.Threat modeling offers the greatest value if it is incorporated into the design phase. Durante la progettazione, si può contare sulla massima flessibilità nell'apportare modifiche al fine di evitare le minacce.When you are designing, you have the greatest flexibility to make changes to eliminate threats. L'eliminazione delle minacce prevista da progettazione è il risultato auspicato.Eliminating threats by design is the desired outcome. È molto più semplice rispetto all'aggiunta e al test di misure preventive, oltre che al garantire che rimangano correnti; per di più, tale eliminazione non è sempre possibile.It is much easier than adding mitigations, testing them, and ensuring they remain current and moreover, such elimination is not always possible. È sempre più difficile eliminare minacce con l'evolversi di un prodotto, attività che, a sua volta, in ultima analisi richiederà un impegno maggiore e molti più compromessi rispetto alla modellazione delle minacce nella fase iniziale dello sviluppo.It becomes harder to eliminate threats as a product becomes more mature, and in turn will ultimately require more work and a lot harder tradeoffs than threat modeling early on in the development.

Dove implementare la modellazione delle minacceWhat to threat model

È consigliabile applicare la modellazione delle minacce all'intera soluzione e concentrarsi anche nelle aree seguenti:You should thread model the solution as a whole and also focus in the following areas:

  • Funzionalità di sicurezza e privacyThe security and privacy features
  • Funzionalità con errori di sicurezzaThe features whose failures are security relevant
  • Funzionalità che incontrano un limite di attendibilitàThe features that touch a trust boundary

Chi implementa la modellazione delle minacceWho threat models

La modellazione delle minacce è un processo come qualsiasi altro.Threat modeling is a process like any other. È consigliabile considerare il documento di modellazione delle minacce come qualsiasi altro componente della soluzione e convalidarlo.It is a good idea to treat the threat model document like any other component of the solution and validate it. Molti team di sviluppo svolgono un eccellente lavoro di acquisizione dei requisiti funzionali per il sistema da cui i clienti traggono vantaggio.Many development teams do an excellent job capturing the functional requirements for the system that benefit customers. Tuttavia, è molto più difficile identificare i modi impropri, ma non ovvi, in cui qualcuno potrebbe usare il sistema.However, identifying non-obvious ways that someone might misuse the system is more challenging. La modellazione delle minacce può aiutare i team di sviluppo a comprendere cosa potrebbe fare un utente malintenzionato e perché.Threat modeling can help development teams understand what an attacker might do and why.

Come implementare la modellazione delle minacceHow to threat model

Il processo di modellazione delle minacce è composto da quattro passaggi, elencati di seguito:The threat modeling process is composed of four steps; the steps are:

  • Modellazione dell'applicazioneModel the application
  • Enumerazione delle minacceEnumerate Threats
  • Attenuazione delle minacceMitigate threats
  • Convalida delle misure preventiveValidate the mitigations

Passaggi del processoThe process steps

Ci sono tre regole empiriche da tenere presenti durante la creazione di un modello di rischio:Three rules of thumb to keep in mind when building a threat model:

  1. Creare un diagramma basato sull'architettura di riferimento.Create a diagram out of reference architecture.
  2. Iniziare con la ricerca in ampiezza.Start breadth-first. Ottenere una panoramica e comprendere il sistema nel suo complesso, prima di addentrarsi.Get an overview, and understand the system as a whole, before deep-diving. Ciò garantisce un approfondimento nei posti giusti.This helps ensure that you deep-dive in the right places.
  3. È l'utente a guidare il processo, non il contrario.Drive the process, don’t let the process drive you. Se si riscontra un problema durante la fase di modellazione e lo si vuole esaminare, procedere pure:If you find an issue in the modeling phase and want to explore it, go for it! non è necessario seguire pedissequamente questa procedura.Don’t feel you need to follow these steps slavishly.

MinacceThreats

I quattro elementi principali di un modello di rischio sono i seguenti:The four core elements of a threat model are:

  • Processi (servizi web, servizi di Win32, * nix daemon e così via). Si noti che alcune entità complesse (ad esempio, i sensori e i gateway sul campo) possono essere astratte come processo quando non è possibile eseguire un drill-down tecnico in queste aree.Processes (web services, Win32 services, *nix daemons, etc. Note that some complex entities (for example field gateways and sensors) can be abstracted as a process when a technical drill down in these areas is not possible.
  • Archivi di dati (qualsiasi punto in cui sono memorizzati dati, ad esempio un file di configurazione o un database)Data stores (anywhere data is stored, such as a configuration file or database)
  • Flusso di dati (in cui i dati si spostano tra altri elementi nell'applicazione)Data flow (where data moves between other elements in the application)
  • Entità esterne (tutto ciò che interagisce con il sistema, ma non è sotto il controllo dell'applicazione, ad esempio utenti e immagini satellitari)External Entities (anything that interacts with the system, but is not under the control of the application, examples include users and satellite feeds)

Tutti gli elementi nel diagramma dell'architettura sono soggetti a varie minacce; verrà usato l'elemento mnemonico STRIDE.All elements in the architectural diagram are subject to various threats; we will use the STRIDE mnemonic. Per altre informazioni sugli elementi STRIDE, leggere il post di blog Threat Modeling Again, STRIDE (Nuova modellazione delle minacce, STRIDE).Read Threat Modeling Again, STRIDE to know more about the STRIDE elements.

Diversi elementi del diagramma applicazioni sono soggetti a determinate minacce STRIDE:Different elements of the application diagram are subject to certain STRIDE threats:

  • I processi sono soggetti a STRIDEProcesses are subject to STRIDE
  • I flussi di dati sono soggetti a TIDData flows are subject to TID
  • Gli archivi dati sono soggetti a TID e, talvolta, a R se gli archivi di dati sono file di log.Data stores are subject to TID, and sometimes R, if the data stores are log files.
  • Le entità esterne sono soggette a SRDExternal entities are subject to SRD

Sicurezza in IoTSecurity in IoT

I dispositivi per scopi specifici connessi tra loro sono caratterizzati da un numero significativo di potenziali superfici di attacco e di modelli di interazione, tutti da prendere in considerazione nel fornire un framework per la protezione dell'accesso digitale agli stessi.Connected special-purpose devices have a significant number of potential interaction surface areas and interaction patterns, all of which must be considered to provide a framework for securing digital access to those devices. Il termine "accesso digitale" viene qui usato per distinguerlo da qualsiasi altra operazione che preveda l'interazione diretta con i dispositivi laddove è presente la sicurezza dell'accesso attraverso il controllo di accesso fisicoThe term “digital access” is used here to distinguish from any operations that are carried out through direct device interaction where access security is provided through physical access control. (ad esempio, collocando il dispositivo in una stanza chiusa a chiave).For example, putting the device into a room with a lock on the door. Nonostante non sia possibile negare l'accesso fisico usando software e hardware, è però possibile adottare misure preventive per far sì che l'accesso fisico non conduca a intromissioni nel sistema.While physical access cannot be denied using software and hardware, measures can be taken to prevent physical access from leading to system interference.

Esplorando i modelli di interazione verranno presi in esame il controllo dei dispositivi e i dati del dispositivo con lo stesso livello di attenzione.As we explore the interaction patterns, we will look at “device control” and “device data” with the same level of attention. Per controllo dei dispositivi si intende qualsiasi informazione fornita a un dispositivo da qualsiasi parte, con l'obiettivo di cambiarne o influenzarne il comportamento nei riguardi del suo stesso stato o dello stato del relativo ambiente.“Device control” can be classified as any information that is provided to a device by any party with the goal of changing or influencing its behavior towards its state or the state of its environment. Per dati del dispositivo si intende qualsiasi informazione emessa da un dispositivo a qualsiasi altra parte riguardo il suo stato e lo stato osservato del relativo ambiente.“Device data” can be classified as any information that a device emits to any other party about its state and the observed state of its environment.

Allo scopo di ottimizzare le procedure consigliate di sicurezza, è consigliabile suddividere una tipica architettura IoT in svariati componenti/zone come parte dell'esercizio di modellazione delle minacce.In order to optimize security best practices, it is recommended that a typical IoT architecture be divided into several component/zones as part of the threat modeling exercise. Queste zone sono descritte dettagliatamente in questa sezione e includono:These zones are described fully throughout this section and include:

  • DispositivoDevice,
  • Gateway sul campoField Gateway,
  • Gateway cloudCloud gateways, and
  • ServiziServices.

Le zone rappresentano una segmentazione generica di una soluzione. Ogni zona spesso contiene dati e requisiti di autenticazione e autorizzazione specifici.Zones are broad way to segment a solution; each zone often has its own data and authentication and authorization requirements. Le zone possono anche essere usate per isolare i danni e limitare l'impatto delle zone di bassa attendibilità sulle zone di attendibilità superiore.Zones can also be used to isolation damage and restrict the impact of low trust zones on higher trust zones.

Ciascuna zona è separata da un limite di attendibilità, indicato dalla linea rossa punteggiata nel diagramma riportato di seguito.Each zone is separated by a Trust Boundary, which is noted as the dotted red line in the diagram below. Esso rappresenta una transizione di dati/informazioni da un'origine a un'altra.It represents a transition of data/information from one source to another. Durante questa transizione, i dati potrebbe essere soggetti a spoofing, manomissione, ripudio, divulgazione di informazioni, rifiuto del servizio ed elevazione dei privilegi, semplificati dall'acronimo STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege).During this transition, the data/information could be subject to Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service and Elevation of Privilege (STRIDE).

Aree di sicurezza IoT

Anche i componenti rappresentati all'interno di ogni limite sono soggetti a STRIDE, consentendo una visione della soluzione con una modellazione delle minacce a 360 gradi.The components depicted within each boundary are also subjected to STRIDE, enabling a full 360 threat modeling view of the solution. Le sezioni seguenti introducono ciascuno dei componenti, oltre ai problemi di sicurezza specifici e alle soluzioni che devono essere implementate.The sections below elaborate on each of the components and specific security concerns and solutions that should be put into place.

Le sezioni di seguito illustreranno i componenti standard in genere disponibili in queste zone.The sections that follows will discuss standard components typically found in these zones.

Zona DispositivoThe Device Zone

L'ambiente del dispositivo è lo spazio fisico immediato che circonda il dispositivo, in cui l'accesso fisico e/o l'accesso digitale peer-to-peer via "rete locale" al dispositivo è fattibile.The device environment is the immediate physical space around the device where physical access and/or “local network” peer-to-peer digital access to the device is feasible. Si presuppone che una "rete locale" sia una rete distinta e isolata dalla rete Internet pubblica (ma potenzialmente connessa con bridging alla stessa) che includa tutte le tecnologie wireless a corto raggio per consentire la comunicazione peer-to-peer dei dispositivi.A “local network” is assumed to be a network that is distinct and insulated from – but potentially bridged to – the public Internet, and includes any short-range wireless radio technology that permits peer-to-peer communication of devices. La stessa rete non include tecnologie di virtualizzazione delle reti che creino l'illusione di una rete locale, né reti di operatore pubblico che richiedano la comunicazione di una coppia qualsiasi di dispositivi in uno spazio di rete pubblica, qualora dovessero entrare in una relazione di comunicazione peer-to-peer.It does not include any network virtualization technology creating the illusion of such a local network and it does also not include public operator networks that require any two devices to communicate across public network space if they were to enter a peer-to-peer communication relationship.

Zona Gateway sul campoThe Field Gateway Zone

Un gateway sul campo è un dispositivo o un software per server di uso generico che agisce come componente che abilita la comunicazione e, potenzialmente, come sistema di controllo dei dispositivi e hub di elaborazione dei dati dei dispositivi.Field gateway is a device/appliance or some general-purpose server computer software that acts as communication enabler and, potentially, as a device control system and device data processing hub. La zona di un gateway sul campo include il gateway stesso e tutti i dispositivi collegati.The field gateway zone includes the field gateway itself and all devices that are attached to it. Come suggerisce il nome, i gateway sul campo operano all'esterno della struttura di elaborazione dei dati, sono solitamente associati alla posizione, sono potenzialmente soggetti a intrusioni e hanno una limitata ridondanza operativa.As the name implies, field gateways act outside dedicated data processing facilities, are usually location bound, are potentially subject to physical intrusion, and will have limited operational redundancy. Tutto ciò per affermare che un gateway sul campo è in genere un sistema che è possibile toccare e sabotare ben conoscendone la funzione.All to say that a field gateway is commonly a thing one can touch and sabotage while knowing what its function is.

Un gateway sul campo è diverso da un semplice router di traffico, perché ha avuto un ruolo attivo nella gestione dell'accesso e del flusso di informazioni. In altre parole, è un'entità orientata alle applicazioni e un terminale di sessione o di connessione di rete.A field gateway is different from a mere traffic router in that it has had an active role in managing access and information flow, meaning it is an application addressed entity and network connection or session terminal. I dispositivi o i firewall NAT, al contrario, non sono idonei come gateway sul campo perché non sono terminali di sessione o di connessione espliciti, ma piuttosto inoltrano (o bloccano) le connessioni o le sessioni che li attraversano.An NAT device or firewall, in contrast, do not qualify as field gateways since they are not explicit connection or session terminals, but rather a route (or block) connections or sessions made through them. Il gateway sul campo ha due distinte superfici di attacco:The field gateway has two distinct surface areas. una fronteggia i dispositivi ad esso collegati e rappresenta l'interno della zona e l'altra fronteggia tutte le parti esterne ed è il bordo della zona.One faces the devices that are attached to it and represents the inside of the zone, and the other faces all external parties and is the edge of the zone.

Zona Gateway cloudThe cloud gateway zone

Il gateway cloud è un sistema che consente la comunicazione remota da e verso dispositivi o gateway sul campo da più siti diversi attraverso lo spazio di rete pubblica, in genere verso un controllo basato su cloud e un sistema di analisi dei dati, una federazione di tali sistemi.Cloud gateway is a system that enables remote communication from and to devices or field gateways from several different sites across public network space, typically towards a cloud-based control and data analysis system, a federation of such systems. In alcuni casi, un gateway cloud può immediatamente facilitare l'accesso ai dispositivi per scopi specifici dai terminali, ad esempio tablet o telefoni.In some cases, a cloud gateway may immediately facilitate access to special-purpose devices from terminals such as tablets or phones. Nel contesto presentato in questo argomento, "cloud" fa riferimento a un sistema di elaborazione dati dedicato che non è associato allo stesso sito dei dispositivi o gateway sul campo collegati.In the context discussed here, “cloud” is meant to refer to a dedicated data processing system that is not bound to the same site as the attached devices or field gateways. In una zona cloud le misure operative impediscono anche l'accesso fisico mirato ed essa non è necessariamente esposta a un'infrastruttura di "cloud pubblico".Also in a Cloud Zone, operational measures prevent targeted physical access and is not necessarily exposed to a “public cloud” infrastructure.

Un gateway cloud potrebbe essere potenzialmente mappata a una sovrapposizione di virtualizzazione rete per isolare da qualsiasi altro traffico di rete il gateway cloud e tutti i relativi dispositivi o gateway sul campo collegati.A cloud gateway may potentially be mapped into a network virtualization overlay to insulate the cloud gateway and all of its attached devices or field gateways from any other network traffic. Il gateway cloud stesso non è né un sistema di controllo del dispositivo né una risorsa di elaborazione o archiviazione per i dati del dispositivo; tali funzionalità si interfacciano con il gateway cloud.The cloud gateway itself is neither a device control system nor a processing or storage facility for device data; those facilities interface with the cloud gateway. La zona di gateway cloud include il gateway cloud stesso assieme a tutti i gateway sul campo e ai dispositivi direttamente o indirettamente a esso collegati.The cloud gateway zone includes the cloud gateway itself along with all field gateways and devices directly or indirectly attached to it. Il bordo della zona è una superficie di attacco distinta in cui tutte le entità esterne comunicano.The edge of the zone is a distinct surface area where all external parties communicate through.

Zona ServiziThe services zone

Un "servizio" è definito per questo contesto come qualsiasi componente software o modulo che si interfaccia con i dispositivi attraverso un gateway sul campo o cloud per la raccolta e l'analisi dei dati, nonché per il controllo e il comando.A “service” is defined for this context as any software component or module that is interfacing with devices through a field- or cloud gateway for data collection and analysis, as well as for command and control. I servizi sono mediatori,Services are mediators. cioè operano con la loro identità nei gateway e in altri sottosistemi, archiviano e analizzano dati, inviano in maniera autonoma comandi ai dispositivi in base a informazioni dettagliate o pianificazioni dei dati ed espongono informazioni e funzionalità di controllo agli utenti finali autorizzati.They act under their identity towards gateways and other subsystems, store and analyze data, autonomously issue commands to devices based on data insights or schedules and expose information and control capabilities to authorized end-users.

Confronto tra dispositivi informativi e dispositivi per scopi specificiInformation-devices vs. special-purpose devices

PC, telefoni e tablet sono principalmente dispositivi informativi interattivi.PCs, phones, and tablets are primarily interactive information devices. Telefoni e tablet sono ottimizzati in modo esplicito per massimizzare la durata della batteria,Phones and tablets are explicitly optimized around maximizing battery lifetime. disattivandosi parzialmente quando non interagiscono nell'immediato con una persona oppure quando non forniscono servizi, come riprodurre musica o guidare il proprietario verso una particolare località.They preferably turn off partially when not immediately interacting with a person, or when not providing services like playing music or guiding their owner to a particular location. Dal punto di vista sistemico, questi dispositivi IT fungono principalmente da delegato verso le persone:From a systems perspective, these information technology devices are mainly acting as proxies towards people. sono "attuatori di persone" che suggeriscono azioni e "sensori di persone" che raccolgono input.They are “people actuators” suggesting actions and “people sensors” collecting input.

I dispositivi per scopi specifici, dai semplici sensori di temperatura alle complesse linee di produzione industriale che contengono migliaia di componenti, sono differenti.Special-purpose devices, from simple temperature sensors to complex factory production lines with thousands of components inside them, are different. Questi dispositivi hanno uno scopo molto più mirato e, anche se offrono una sorta di interfaccia utente, sono per lo più destinati a interfacciarsi con le risorse del mondo fisico o a esservi integrati.These devices are much more scoped in purpose and even if they provide some user interface, they are largely scoped to interfacing with or be integrated into assets in the physical world. Tali strumenti misurano e segnalano condizioni ambientali, girano valvole, controllano servomotori, fanno suonare allarmi, accendono luci ed eseguono molti altri compiti.They measure and report environmental circumstances, turn valves, control servos, sound alarms, switch lights, and do many other tasks. In poche parole, aiutano a eseguire operazioni per cui un dispositivo informativo è troppo generico, troppo costoso, troppo grande o troppo instabile.They help to do work for which an information device is either too generic, too expensive, too big, or too brittle. Lo scopo concreto ne determina immediatamente le tecniche di progettazione, come pure il budget monetario disponibile per la produzione e il periodo di funzionamento pianificato.The concrete purpose immediately dictates their technical design as well the available monetary budget for their production and scheduled lifetime operation. La combinazione di questi due fattori chiave vincola il budget energetico operativo disponibile, l'impronta fisica e quindi le funzionalità di archiviazione, calcolo e sicurezza disponibili.The combination of these two key factors constrains the available operational energy budget, physical footprint, and thus available storage, compute, and security capabilities.

Se si verifica un errore nei dispositivi automatizzati o controllabili a distanza, ad esempio, i difetti fisici o della logica di controllo possono condurre a una deliberata intrusione e manipolazione non autorizzata.If something “goes wrong” with automated or remote controllable devices, for example, physical defects or control logic defects to willful unauthorized intrusion and manipulation. Le conseguenze potrebbero essere fatali: lotti di produzione distrutti, edifici saccheggiati o ridotti in cenere, persone gravemente ferite o persino decedute.The production lots may be destroyed, buildings may be looted or burned down, and people may be injured or even die. Si tratta, ovviamente, di una classe di danno del tutto differente dal superamento del limite di spesa con una carta di credito trafugata.This is, of course, a whole different class of damage than someone maxing out a stolen credit card's limit. Il livello di sicurezza per i dispositivi che fanno muovere le cose, nonché per i dati del sensore che infine generano i comandi che fanno muovere le cose, deve essere maggiore rispetto a qualsiasi scenario bancario o di e-commerce.The security bar for devices that make things move, and also for sensor data that eventually results in commands that cause things to move, must be higher than in any e-commerce or banking scenario.

Interazioni tra controllo del dispositivo e dati del dispositivoDevice control and device data interactions

I dispositivi per scopi specifici connessi tra loro sono caratterizzati da un numero significativo di potenziali superfici di attacco e di modelli di interazione, tutti da prendere in considerazione nel fornire un framework per la protezione dell'accesso digitale agli stessi.Connected special-purpose devices have a significant number of potential interaction surface areas and interaction patterns, all of which must be considered to provide a framework for securing digital access to those devices. Il termine "accesso digitale" viene qui usato per distinguerlo da qualsiasi altra operazione che preveda l'interazione diretta con i dispositivi laddove è presente la sicurezza dell'accesso attraverso il controllo di accesso fisicoThe term “digital access” is used here to distinguish from any operations that are carried out through direct device interaction where access security is provided through physical access control. (ad esempio, collocando il dispositivo in una stanza chiusa a chiave).For example, putting the device into a room with a lock on the door. Nonostante non sia possibile negare l'accesso fisico usando software e hardware, è però possibile adottare misure preventive per far sì che l'accesso fisico non conduca a intromissioni nel sistema.While physical access cannot be denied using software and hardware, measures can be taken to prevent physical access from leading to system interference.

Esplorando i modelli di interazione verranno presi in esame il controllo dei dispositivi e i dati del dispositivo con lo stesso livello di attenzione mostrato durante la modellazione delle minacce.As we explore the interaction patterns, we will look at “device control” and “device data” with the same level of attention while threat modeling. Per controllo dei dispositivi si intende qualsiasi informazione fornita a un dispositivo da qualsiasi parte, con l'obiettivo di cambiarne o influenzarne il comportamento nei riguardi del suo stesso stato o dello stato del relativo ambiente.“Device control” can be classified as any information that is provided to a device by any party with the goal of changing or influencing its behavior towards its state or the state of its environment. Per dati del dispositivo si intende qualsiasi informazione emessa da un dispositivo a qualsiasi altra parte riguardo il suo stato e lo stato osservato del relativo ambiente.“Device data” can be classified as any information that a device emits to any other party about its state and the observed state of its environment.

Modellazione delle minacce nell'architettura di riferimento di Azure IoTThreat modeling the Azure IoT reference architecture

Microsoft usa il framework descritto in precedenza per eseguire la modellazione delle minacce per Azure IoT.Microsoft uses the framework outlined above to do threat modelling for Azure IoT. Nella sezione seguente verrà quindi usato un esempio concreto di Architettura di riferimento di Azure IoT per illustrare come gestire la modellazione delle minacce per IoT e come affrontare le minacce identificate.In the section below we therefore use the concrete example of Azure IoT Reference Architecture to demonstrate how to think about threat modelling for IoT and how to address the threats identified. In questo caso, sono state identificate quattro aree principali di interesse:In our case we identified four main areas of focus:

  • Dispositivi e origini datiDevices and Data Sources,
  • Trasporto dei datiData Transport,
  • Elaborazione di dispositivi ed eventiDevice and Event Processing, and
  • PresentazionePresentation

Modellazione delle minacce per Azure IoT

Il diagramma seguente offre una vista semplificata dell'Architettura IoT Microsoft con un modello di diagramma di flusso di dati che viene usato dallo strumento di modellazione delle minacce di Microsoft:The diagram below provides a simplified view of Microsoft’s IoT Architecture using a Data Flow Diagram model that is used by the Microsoft Threat Modeling Tool:

Modellazione delle minacce per Azure IoT con l'apposito strumento Microsoft

È importante notare che l'architettura separa le funzionalità del dispositivo e del gateway.It is important to note that the architecture separates the device and gateway capabilities. Ciò consente all'utente di sfruttare i dispositivi gateway, che sono più sicuri, perché capaci di comunicare con il gateway cloud usando protocolli di protezione. Ciò in genere richiede un maggiore carico di elaborazione rispetto a quanto un dispositivo nativo (ad esempio un termostato) potrebbe fornire autonomamente.This allows the user to leverage gateway devices that are more secure: they are capable of communicating with the cloud gateway using secure protocols, which typically requires greater processing overhead that a native device - such as a thermostat - could provide on its own. Nella zona servizi di Azure si suppone che il gateway cloud sia rappresentato dal servizio dell'hub IoT di Azure.In the Azure services zone, we assume that the Cloud Gateway is represented by the Azure IoT Hub service.

Dispositivo e origini dati/trasporto dei datiDevice and data sources/data transport

Questa sezione illustra l'architettura descritta in precedenza attraverso l'obiettivo della modellazione delle minacce e offre una panoramica su come risolvere alcuni problemi intrinseci.This section explores the architecture outlined above through the lens of threat modeling and gives an overview of how we are addressing some of the inherent concerns. L'articolo si concentra sugli elementi principali di un modello di rischio:We will focus on the core elements of a threat model:

  • Processi (quelli sotto il controllo degli utenti e gli elementi esterni)Processes (those under our control and external items)
  • Comunicazione (o flusso di dati)Communication (also called data flows)
  • Archiviazione (o archivi di dati)Storage (also called data stores)

ProcessiProcesses

In ognuna delle categorie descritte nell'architettura IoT di Azure, si proverà ad attenuare una serie di diverse minacce nelle varie fasi in cui esistono dati e/o informazioni: processo, comunicazione e archiviazione.In each of the categories outlined in the Azure IoT architecture, we try to mitigate a number of different threats across the different stages data/information exists in: process, communication, and storage. Di seguito viene fornita una panoramica di quelle più comuni per la categoria "processo", seguita da una panoramica su come sia meglio attenuarle:Below we give an overview of the most common ones for the “process” category, followed by an overview of how these could be best mitigated:

Spoofing (S): un utente malintenzionato potrebbe estrarre materiale della chiave crittografica da un dispositivo, a livello di software o di hardware, e successivamente accedere al sistema con un diverso dispositivo fisico o virtuale che assume l'identità del dispositivo da cui è stata estratta la chiave.Spoofing (S): An attacker may extract cryptographic key material from a device, either at the software or hardware level, and subsequently access the system with a different physical or virtual device under the identity of the device the key material has been taken from. Un buon esempio sono i telecomandi che possono accendere qualsiasi televisore e sono popolari strumenti per burloni.A good illustration is remote controls that can turn any TV and that are popular prankster tools.

Denial of Service (D): un dispositivo potrebbe essere messo fuori uso o reso incapace di comunicare tramite interferenza con le frequenze radio o taglio dei cavi.Denial of Service (D): A device can be rendered incapable of functioning or communicating by interfering with radio frequencies or cutting wires. Ad esempio, una videocamera di sorveglianza a cui sia stata intenzionalmente interrotta l'alimentazione o la connessione di rete non segnalerà alcun dato.For example, a surveillance camera that had its power or network connection intentionally knocked out will not report data, at all.

Manomissione (T): un utente malintenzionato potrebbe sostituire interamente o in parte il software in esecuzione sul dispositivo, consentendo potenzialmente al software sostituito di sfruttare l'autentica identità del dispositivo se il materiale della chiave o le strutture che lo contengono erano disponibili per il programma illecito.Tampering (T): An attacker may partially or wholly replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program. Ad esempio, un utente malintenzionato potrebbe sfruttare il materiale della chiave estratto per intercettare ed eliminare i dati dal dispositivo nel percorso di comunicazione e sostituirli con dati falsi che sono stati autenticati con il materiale della chiave trafugato.For example, an attacker may leverage extracted key material to intercept and suppress data from the device on the communication path and replace it with false data that is authenticated with the stolen key material.

Diffusione di informazioni (I): se sul dispositivo viene eseguito un software manipolato, questo potrebbe potenzialmente far trapelare dati a parti non autorizzate.Information Disclosure (I): If the device is running manipulated software, such manipulated software could potentially leak data to unauthorized parties. Ad esempio, un utente malintenzionato potrebbe sfruttare il materiale della chiave estratto per inserirsi automaticamente nel percorso di comunicazione tra il dispositivo e un controller o un gateway sul campo o un gateway di cloud per trafugare informazioni.For example, an attacker may leverage extracted key material to inject itself into the communication path between the device and a controller or field gateway or cloud gateway to siphon off information.

Elevazione dei privilegi (E): è possibile forzare un dispositivo che esegue una funzione specifica a eseguire un'altra operazione.Elevation of Privilege (E): A device that does specific function can be forced to do something else. Ad esempio, una valvola che è programmata per aprirsi a metà può essere indotta ad aprirsi completamente.For example, a valve that is programmed to open half way can be tricked to open all the way.

ComponenteComponent MinacciaThreat AttenuazioneMitigation RischioRisk ImplementazioneImplementation
DispositivoDevice SS Assegnazione dell'identità al dispositivo e autenticazione del dispositivoAssigning identity to the device and authenticating the device Sostituzione del dispositivo o di parte dello stesso con un altro dispositivoReplacing device or part of the device with some other device. Come stabilire che si sta comunicando con il dispositivo giusto?How do we know we are talking to the right device? Autenticazione del dispositivo con Transport Layer Security (TLS) o IPSec.Authenticating the device, using Transport Layer Security (TLS) or IPSec. L'infrastruttura deve supportare l'uso di una chiave precondivisa (PSK) nei dispositivi che non riescono a gestire la crittografia asimmetrica completa.Infrastructure should support using pre-shared key (PSK) on those devices that cannot handle full asymmetric cryptography. Usare Azure AD, OAuthLeverage Azure AD, OAuth
TRIDTRID Applicare meccanismi a prova di manomissione al dispositivo, ad esempio rendendo difficile, se non impossibile, estrarre chiavi e altro materiale crittografico dallo stesso.Apply tamperproof mechanisms to the device for example by making it very hard to impossible to extract keys and other cryptographic material from the device. Il rischio esiste se un utente sta manomettendo il dispositivo (intromissione fisica).The risk is if someone is tampering the device (physical interference). Come è possibile accertarsi che il dispositivo non sia stato manomesso.How are we sure, that device has not tampered with. La soluzione più efficace è una funzionalità TPM (Trusted Platform Module) che consente l'archiviazione delle chiavi in speciali circuiti su chip da cui non è possibile leggerle, ma solo usarle per le operazioni di crittografia che le adoperano, senza mai divulgarle.The most effective mitigation is a trusted platform module (TPM) capability that allows storing keys in special on-chip circuitry from which the keys cannot be read, but can only be used for cryptographic operations that use the key but never disclose the key. Crittografia della memoria del dispositivo.Memory encryption of the device. Gestione delle chiavi per il dispositivo.Key management for the device. Firma del codice.Signing the code.
EE Avere il controllo di accesso del dispositivo.Having access control of the device. Schema di autorizzazione.Authorization scheme. Se il dispositivo consente di eseguire singole azioni in base ai comandi da un'origine esterna o persino a sensori compromessi, l'attacco potrà eseguire operazioni non altrimenti accessibili.If the device allows for individual actions to be performed based on commands from an outside source, or even compromised sensors, it will allow the attack to perform operations not otherwise accessible. Avere uno schema di autorizzazione per il dispositivoHaving authorization scheme for the device
Gateway sul campoField Gateway SS Autenticazione del gateway sul campo al gateway cloud (basata sul certificato, PSK, basata su attestazione)Authenticating the Field gateway to Cloud Gateway (cert based, PSK, Claim based,..) Se qualcuno riesce a effettuare lo spoofing del gateway sul campo, questo potrà presentarsi come qualsiasi dispositivo.If someone can spoof Field Gateway, then it can present itself as any device. TLS RSA/PSK, IPSec, RFC 4279.TLS RSA/PSK, IPSec, RFC 4279. Tutti gli stessi principali problemi di archiviazione e attestazione dei dispositivi in generale: il miglior caso è l'uso di TPM.All the same key storage and attestation concerns of devices in general – best case is use TPM. Estensione 6LowPAN per IPSec per supportare le reti WSN (Wireless Sensor Network).6LowPAN extension for IPSec to support Wireless Sensor Networks (WSN).
TRIDTRID Proteggere il gateway sul campo da eventuali manomissioni (TPM)?Protect the Field Gateway against tampering (TPM?) Gli attacchi di spoofing che simulano la comunicazione tra il gateway cloud e il gateway sul campo potrebbero comportare la divulgazione delle informazioni e la manomissione dei datiSpoofing attacks that trick the cloud gateway thinking it is talking to field gateway could result in information disclosure and data tampering Crittografia della memoria, TPM, autenticazione.Memory encryption, TPM’s, authentication.
EE Meccanismo di controllo di accesso per il gateway sul campoAccess control mechanism for Field Gateway

Ecco alcuni esempi di minacce in questa categoria:Here are some examples of threats in this category:

Spoofing, ovvero il furto di identità: un utente malintenzionato potrebbe estrarre materiale della chiave crittografica da un dispositivo, a livello di software o hardware, e successivamente accedere al sistema con un diverso dispositivo fisico o virtuale che assume l'identità del dispositivo da cui è stata estratta la chiave.Spoofing: An attacker may extract cryptographic key material from a device, either at the software or hardware level, and subsequently access the system with a different physical or virtual device under the identity of the device the key material has been taken from.

Denial of Service: un dispositivo potrebbe essere messo fuori uso o reso incapace di comunicare tramite interferenza con le frequenze radio o taglio dei cavi.Denial of Service: A device can be rendered incapable of functioning or communicating by interfering with radio frequencies or cutting wires. Ad esempio, una videocamera di sorveglianza a cui sia stata intenzionalmente interrotta l'alimentazione o la connessione di rete non segnalerà alcun dato.For example, a surveillance camera that had its power or network connection intentionally knocked out will not report data, at all.

Manomissione: un utente malintenzionato potrebbe sostituire interamente o in parte il software in esecuzione sul dispositivo, consentendo potenzialmente al software sostituito di sfruttare l'autentica identità del dispositivo se il materiale della chiave o le strutture che lo contengono sono disponibili per il programma illecito.Tampering: An attacker may partially or wholly replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program.

Manomissione: una telecamera di sorveglianza che mostra l'immagine dello spettro visibile di un corridoio vuoto potrebbe essere puntata su una foto dello stesso corridoio.Tampering: A surveillance camera that’s showing a visible-spectrum picture of an empty hallway could be aimed at a photograph of such a hallway. Un sensore di fumo o antincendio potrebbe segnalare una persona che tiene un accendino acceso al di sotto dello stesso.A smoke or fire sensor could be reporting someone holding a lighter under it. In entrambi i casi, il dispositivo potrebbe essere tecnicamente del tutto attendibile nei confronti del sistema, ma segnalerà informazioni manipolate.In either case, the device may be technically fully trustworthy towards the system, but it will report manipulated information.

Manomissione: ad esempio, un utente malintenzionato potrebbe sfruttare il materiale della chiave estratto per intercettare ed eliminare i dati dal dispositivo nel percorso di comunicazione e sostituirli con dati falsi che sono stati autenticati con il materiale della chiave trafugato.Tampering: An attacker may leverage extracted key material to intercept and suppress data from the device on the communication path and replace it with false data that is authenticated with the stolen key material.

Manomissione: un utente malintenzionato potrebbe sostituire completamente o in parte il software in esecuzione nel dispositivo, consentendo potenzialmente al software sostituito di sfruttare l'autentica identità del dispositivo se il materiale della chiave o le strutture che lo contengono sono disponibili per il programma illecito.Tampering: An attacker may partially or completely replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program.

Diffusione di informazioni: se nel dispositivo viene eseguito un software manipolato, questo potrebbe potenzialmente far trapelare dati a parti non autorizzate.Information Disclosure: If the device is running manipulated software, such manipulated software could potentially leak data to unauthorized parties.

Diffusione di informazioni: un utente malintenzionato potrebbe sfruttare il materiale della chiave estratto per inserirsi automaticamente nel percorso di comunicazione tra il dispositivo e un controller oppure un gateway sul campo o un gateway cloud per trafugare informazioni.Information Disclosure: An attacker may leverage extracted key material to inject itself into the communication path between the device and a controller or field gateway or cloud gateway to siphon off information.

Denial of Service: il dispositivo potrebbe essere spento oppure commutato in una modalità in cui la comunicazione non è possibile, il che è intenzionale in molti macchinari industriali.Denial of Service: The device can be turned off or turned into a mode where communication is not possible (which is intentional in many industrial machines).

Manomissione: il dispositivo può essere riconfigurato in modo da operare in uno stato sconosciuto al sistema di controllo, al di fuori dei parametri di calibrazione noti, e quindi offrire dati che possono essere interpretati erroneamente.Tampering: The device can be reconfigured to operate in a state unknown to the control system (outside of known calibration parameters) and thus provide data that can be misinterpreted

Elevazione dei privilegi: è possibile forzare un dispositivo che esegue una funzione specifica a eseguire un'altra operazione.Elevation of Privilege: A device that does specific function can be forced to do something else. Ad esempio, una valvola che è programmata per aprirsi a metà può essere indotta ad aprirsi completamente.For example, a valve that is programmed to open half way can be tricked to open all the way.

Denial of Service: il dispositivo può essere commutato in uno stato in cui la comunicazione non è possibile.Denial of Service: The device can be turned into a state where communication is not possible.

Manomissione: il dispositivo può essere riconfigurato in modo da operare in uno stato sconosciuto al sistema di controllo, al di fuori dei parametri di calibrazione noti, e quindi offrire dati che possono essere interpretati erroneamente.Tampering: The device can be reconfigured to operate in a state unknown to the control system (outside of known calibration parameters) and thus provide data that can be misinterpreted.

Spoofing/Manomissione/Ripudio: se un dispositivo non è protetto, il che accade assai raramente con i telecomandi di consumo, un utente malintenzionato può manipolarne lo stato in maniera anonima.Spoofing/Tampering/Repudiation: If not secured (which is rarely the case with consumer remote controls) an attacker can manipulate the state of a device anonymously. Un buon esempio sono i telecomandi che possono accendere qualsiasi televisore e sono popolari strumenti per burloni.A good illustration is remote controls that can turn any TV and that are popular prankster tools.

ComunicazioneCommunication

Minacce presenti nel percorso di comunicazione tra dispositivi, dispositivi e gateway sul campo e dispositivo e gateway cloud.Threats around communication path between devices, devices and field gateways and device and cloud gateway. La tabella seguente contiene alcune indicazioni sui socket aperti nel dispositivo/VPN:The table below has some guidance around open sockets on the device/VPN:

ComponenteComponent MinacciaThreat AttenuazioneMitigation RischioRisk ImplementazioneImplementation
Dispositivo - Hub IoTDevice IoT Hub TIDTID (D)TLS (PSK/RSA) per crittografare il traffico(D)TLS (PSK/RSA) to encrypt the traffic Intercettazione o interferenza nella comunicazione tra il dispositivo e il gatewayEavesdropping or interfering the communication between the device and the gateway Sicurezza a livello di protocollo.Security on the protocol level. Con i protocolli personalizzati, è necessario capire come proteggerli.With custom protocols, we need to figure out how to protect them. Nella maggior parte dei casi, la comunicazione avviene dal dispositivo all'hub IoT (connessione avviata dal dispositivo).In most cases, the communication takes place from the device to the IoT Hub (device initiates the connection).
Dispositivo - dispositivoDevice Device TIDTID (D) TLS (PSK/RSA) per crittografare il traffico.(D)TLS (PSK/RSA) to encrypt the traffic. Lettura dei dati in transito tra i dispositivi.Reading data in transit between devices. Manomissione dei dati.Tampering with the data. Sovraccarico del dispositivo con nuove connessioniOverloading the device with new connections Sicurezza a livello di protocollo (MQTT/AMQP/HTTP/CoAP).Security on the protocol level (MQTT/AMQP/HTTP/CoAP. Con i protocolli personalizzati, è necessario capire come proteggerli.With custom protocols, we need to figure out how to protect them. La soluzione per la minaccia Denial of Service consiste nell'eseguire il peering dei dispositivi attraverso un gateway cloud o sul campo e far sì che agiscano solo da client verso la rete.The mitigation for the DoS threat is to peer devices through a cloud or field gateway and have them only act as clients towards the network. Il peering può comportare una connessione diretta tra i peer dopo che è stata negoziata dal gatewayThe peering may result in a direct connection between the peers after having been brokered by the gateway
Entità esterna - dispositivoExternal Entity Device TIDTID Associazione complessa dell'entità esterna al dispositivoStrong pairing of the external entity to the device Intercettazione della connessione al dispositivo.Eavesdropping the connection to the device. Interferenza nella connessione al dispositivoInterfering the communication with the device Associazione sicura dell'entità esterna al dispositivo NFC/Bluetooth LE.Securely pairing the external entity to the device NFC/Bluetooth LE. Controllo del pannello operativo del dispositivo (fisico)Controlling the operational panel of the device (Physical)
Gateway sul campo - Gateway cloudField Gateway Cloud Gateway TIDTID TLS (PSK/RSA) per crittografare il traffico.TLS (PSK/RSA) to encrypt the traffic. Intercettazione o interferenza nella comunicazione tra il dispositivo e il gatewayEavesdropping or interfering the communication between the device and the gateway Sicurezza a livello di protocollo (MQTT/AMQP/HTTP/CoAP).Security on the protocol level (MQTT/AMQP/HTTP/CoAP). Con i protocolli personalizzati, è necessario capire come proteggerli.With custom protocols, we need to figure out how to protect them.
Dispositivo - Gateway cloudDevice Cloud Gateway TIDTID TLS (PSK/RSA) per crittografare il traffico.TLS (PSK/RSA) to encrypt the traffic. Intercettazione o interferenza nella comunicazione tra il dispositivo e il gatewayEavesdropping or interfering the communication between the device and the gateway Sicurezza a livello di protocollo (MQTT/AMQP/HTTP/CoAP).Security on the protocol level (MQTT/AMQP/HTTP/CoAP). Con i protocolli personalizzati, è necessario capire come proteggerli.With custom protocols, we need to figure out how to protect them.

Ecco alcuni esempi di minacce in questa categoria:Here are some examples of threats in this category:

Denial of Service: i dispositivi limitati sono in genere a rischio Denial of Service quando restano attivamente in attesa di connessioni in ingresso o datagrammi non richiesti in una rete, perché un utente malintenzionato può aprire molte connessioni in parallelo non rendendole disponibili oppure rallentandole o ancora il dispositivo può essere inondato da traffico non richiesto.Denial of Service: Constrained devices are generally under DoS threat when they actively listen for inbound connections or unsolicited datagrams on a network, because an attacker can open many connections in parallel and not service them or service them very slowly, or the device can be flooded with unsolicited traffic. In entrambi i casi, il dispositivo può essere effettivamente reso inutilizzabile sulla rete.In both cases, the device can effectively be rendered inoperable on the network.

Spoofing, Diffusione di informazioni: i dispositivi limitati e con scopi specifici spesso prevedono funzionalità di sicurezza universali, come la protezione con PIN o password, oppure dipendono interamente dall'attendibilità della rete, ovvero consentono l'accesso alle informazioni quando un dispositivo si trova nella stessa rete, che spesso è protetta solo da una chiave condivisa.Spoofing, Information Disclosure: Constrained devices and special-purpose devices often have one-for-all security facilities like password or PIN protection, or they wholly rely on trusting the network, meaning they will grant access to information when a device is on the same network, and that network is often only protected by a shared key. Ciò significa che quando viene divulgato il segreto condiviso al dispositivo o alla rete, è possibile controllare il dispositivo oppure osservare i dati inviati dal dispositivo.That means that when the shared secret to device or network is disclosed, it is possible to control the device or observe data emitted from the device.

Spoofing: un utente malintenzionato potrebbe intercettare o parzialmente sostituire la trasmissione e rubare l'identità dell'iniziatore (attacco man in the middle)Spoofing: an attacker may intercept or partially override the broadcast and spoof the originator (man in the middle)

Manomissione: un utente malintenzionato può intercettare o sostituire parzialmente la trasmissione e inviare informazioni falseTampering: an attacker may intercept or partially override the broadcast and send false information

Diffusione di informazioni: un utente malintenzionato può intercettare una trasmissione e ottenere le informazioni senza autorizzazione Denial of Service: un utente malintenzionato può bloccare il segnale di trasmissione e negare la distribuzione di informazioniInformation Disclosure: an attacker may eavesdrop on a broadcast and obtain information without authorization Denial of Service: an attacker may jam the broadcast signal and deny information distribution

ArchiviazioneStorage

Ogni dispositivo e gateway sul campo prevede un tipo di archiviazione (temporanea per accodamento dei dati, archiviazione di immagini del sistema operativo).Every device and field gateway has some form of storage (temporary for queuing the data, operating system (OS) image storage).

ComponenteComponent MinacciaThreat AttenuazioneMitigation RischioRisk ImplementazioneImplementation
Archiviazione nel dispositivoDevice storage TRIDTRID Crittografia di archiviazione, firma dei logStorage encryption, signing the logs Lettura dei dati dalla risorsa di archiviazione (dati PII), manomissione dei dati di telemetria.Reading data from the storage (PII data), tampering with telemetry data. Manomissione dei dati di controllo del comando in coda o memorizzati nella cache.Tampering with queued or cached command control data. La manomissione di pacchetti di configurazione o aggiornamento del firmware memorizzati nella cache o in coda in locale può compromettere il sistema operativo e/o i componenti del sistemaTampering with configuration or firmware update packages while cached or queued locally can lead to OS and/or system components being compromised Crittografia, codice di autenticazione messaggi (MAC) o firma digitale.Encryption, message authentication code (MAC) or digital signature. Laddove possibile, un controllo di accesso complesso attraverso elenchi di controllo di accesso (ACL) o autorizzazioni.Where possible, strong access control through resource access control lists (ACLs) or permissions.
Immagine del sistema operativo del dispositivoDevice OS image TRIDTRID Manomissione del sistema operativo/sostituzione dei componenti del sistema operativoTampering with OS /replacing the OS components Partizione del sistema operativo di sola lettura, immagine del sistema operativo firmata, crittografiaRead-only OS partition, signed OS image, Encryption
Archiviazione Gateway sul campo (accodamento dei dati)Field Gateway storage (queuing the data) TRIDTRID Crittografia di archiviazione, firma dei logStorage encryption, signing the logs Lettura dei dati dalla risorsa di archiviazione (dati PII), manomissione dei dati di telemetria, manomissione dei dati di controllo del comando in coda o memorizzati nella cache.Reading data from the storage (PII data), tampering with telemetry data, tampering with queued or cached command control data. La manomissione di pacchetti di configurazione o aggiornamento del firmware (destinati ai dispositivi o al gateway sul campo) memorizzati nella cache o in coda in locale può compromettere il sistema operativo e/o i componenti del sistemaTampering with configuration or firmware update packages (destined for devices or field gateway) while cached or queued locally can lead to OS and/or system components being compromised BitLockerBitLocker
Immagine del sistema operativo Gateway sul campoField Gateway OS image TRIDTRID Manomissione del sistema operativo/sostituzione dei componenti del sistema operativoTampering with OS /replacing the OS components Partizione del sistema operativo di sola lettura, immagine del sistema operativo firmata, crittografiaRead-only OS partition, signed OS image, Encryption

Elaborazione di dispositivi ed eventi/zona gateway cloudDevice and event processing/cloud gateway zone

Un gateway cloud è un sistema che consente la comunicazione remota da e verso dispositivi o gateway sul campo da più siti diversi attraverso lo spazio di rete pubblica, in genere verso un controllo basato su cloud e un sistema di analisi dei dati, una federazione di tali sistemi.A cloud gateway is system that enables remote communication from and to devices or field gateways from several different sites across public network space, typically towards a cloud-based control and data analysis system, a federation of such systems. In alcuni casi, un gateway cloud può immediatamente facilitare l'accesso ai dispositivi per scopi specifici dai terminali, ad esempio tablet o telefoni.In some cases, a cloud gateway may immediately facilitate access to special-purpose devices from terminals such as tablets or phones. Nel contesto presentato in questo argomento, "cloud" fa riferimento a un sistema di elaborazione dati dedicato che non è associato allo stesso sito dei dispositivi o gateway sul campo collegati e in cui le misure operative prevengono l'accesso fisico mirato, ma che non rappresenta necessariamente un'infrastruttura di "cloud pubblico".In the context discussed here, “cloud” is meant to refer to a dedicated data processing system that is not bound to the same site as the attached devices or field gateways, and where operational measures prevent targeted physical access but is not necessarily to a “public cloud” infrastructure. Un gateway cloud potrebbe essere potenzialmente mappata a una sovrapposizione di virtualizzazione rete per isolare da qualsiasi altro traffico di rete il gateway cloud e tutti i relativi dispositivi o gateway sul campo collegati.A cloud gateway may potentially be mapped into a network virtualization overlay to insulate the cloud gateway and all of its attached devices or field gateways from any other network traffic. Il gateway cloud stesso non è né un sistema di controllo del dispositivo né una risorsa di elaborazione o archiviazione per i dati del dispositivo; tali funzionalità si interfacciano con il gateway cloud.The cloud gateway itself is neither a device control system nor a processing or storage facility for device data; those facilities interface with the cloud gateway. La zona di gateway cloud include il gateway cloud stesso assieme a tutti i gateway sul campo e ai dispositivi direttamente o indirettamente a esso collegati.The cloud gateway zone includes the cloud gateway itself along with all field gateways and devices directly or indirectly attached to it.

Un gateway cloud è in gran parte un software personalizzato ed eseguito come servizio, con endpoint esposti a cui si connettono i dispositivi e il gateway sul campo.Cloud gateway is mostly custom built piece of software running as a service with exposed endpoints to which field gateway and devices connect. Di conseguenza deve essere progettato tenendo presente la sicurezza.As such it must be designed with security in mind. Seguire il processo SDL per la progettazione e la creazione di questo servizio.Please follow SDL process for designing and building this service.

Zona ServiziServices zone

Un sistema di controllo (o controller) è una soluzione software che si interfaccia con un dispositivo o un gateway sul campo o un gateway cloud allo scopo di controllare uno o più dispositivi e/o raccogliere e/o archiviare e/o analizzare i dati del dispositivo per una presentazione o a scopo di controllo successivo.A control system (or controller) is a software solution that interfaces with a device, or a field gateway, or cloud gateway for the purpose of controlling one or multiple devices and/or to collect and/or store and/or analyze device data for presentation, or subsequent control purposes. I sistemi di controllo sono le uniche entità nell'ambito di questa discussione che possono immediatamente facilitare l'interazione con altri utenti.Control systems are the only entities in the scope of this discussion that may immediately facilitate interaction with people. L'eccezione è rappresentata dalle superfici di controllo fisiche intermedie nei dispositivi, ad esempio un interruttore che consente di disattivare il dispositivo o modificare altre proprietà e per cui non esiste alcun equivalente funzionale che sia accessibile in maniera digitale.The exception are intermediate physical control surfaces on devices, like a switch that allows a person to turn the device off or change other properties, and for which there is no functional equivalent that can be accessed digitally.

Le superfici di controllo fisiche intermedie sono quelle in cui qualsiasi tipo di logica governante vincola la funzione della superficie di controllo fisica, in modo che sia possibile avviare una funzione equivalente in modalità remota o evitare conflitti di input con l'input remoto. Tali superfici di controllo intermedie sono concettualmente collegate a un sistema di controllo locale che sfrutta la stessa funzionalità sottostante di qualsiasi altro sistema di controllo remoto, a cui il dispositivo può essere collegato in parallelo.Intermediate physical control surfaces are those where any sort of governing logic constrains the function of the physical control surface such that an equivalent function can be initiated remotely or input conflicts with remote input can be avoided – such intermediated control surfaces are conceptually attached to a local control system that leverages the same underlying functionality as any other remote control system that the device may be attached to in parallel. Le principali minacce al cloud computing sono elencate nella pagina Cloud Security Alliance (CSA).Top threats to the cloud computing can be read at Cloud Security Alliance (CSA) page.

Risorse aggiuntiveAdditional resources

Per altre informazioni, vedere gli articoli seguenti:Refer to the following articles for additional information:

Vedere ancheSee also

Per altre informazioni sulla protezione della soluzione IoT, vedere Proteggere la distribuzione di IoTTo learn more about securing your IoT solution see, Secure your IoT deployment

Per altre informazioni sulle funzionalità dell'hub IoT, vedere:To further explore the capabilities of IoT Hub, see: