Procedure consigliate per la sicurezza di Internet delle coseInternet of Things Security Best Practices

La protezione dell'infrastruttura di Internet delle cose (IoT) è un'impresa considerevole per tutte le persone coinvolte nelle soluzioni IoT.Securing the Internet of Things (IoT) infrastructure is a critical undertaking for anyone involved with IoT solutions. Dato il numero di dispositivi coinvolti e la natura distribuita di questi dispositivi, l'impatto di un evento di sicurezza che può compromettere milioni di dispositivi IoT non è da sottovalutare perché le conseguenze possono essere enormi.Because of the number of devices involved and the distributed nature of these devices, the impact a security event related to compromise of millions of IoT devices is non-trivial and can have widespread impact.

Per questo motivo, la sicurezza IoT richiede un approccio approfondito.For this reason, IoT security needs a security-in-depth approach. I dati devono essere sicuri nel cloud e quando vengono spostati su reti private e pubbliche.Data needs to be secure in the cloud and as it moves over private and public networks. Devono essere in uso metodi per effettuare il provisioning sicuro dei dispositivi IoT stessi.Methods need to be in place to securely provision the IoT devices themselves. Ogni livello, dal dispositivo, alla rete e al back-end cloud, richiede garanzie di sicurezza affidabili.Each layer, from device, to network, to cloud back-end needs strong security assurances.

Le procedure consigliate IoT possono essere classificate nel modo seguente:IoT best practices can be categorized in the following way:

  • Produttore o integratore di hardware IoTIoT hardware manufacturer or integrator
  • Sviluppatore di soluzioni IoTIoT solution developer
  • Distributore di soluzioni IoTIoT solution deployer
  • Operatore di soluzioni IoTIoT solution operator

Questo articolo riepiloga le procedure consigliate per la sicurezza di Internet delle cose.This article summarizes Internet of Things Security Best Practices. Per informazioni più dettagliate, vedere tale articolo.Please refer to that article for more detailed information.

Produttore o integratore di hardware IoTIoT hardware manufacturer or integrator

Si invitano i produttori e gli integratori di hardware IoT a seguire le procedure consigliate riportate più avanti:Follow the best practices below if you are an IoT hardware manufacture or a hardware integrator:

  • Impostare l'hardware sui requisiti minimi: la progettazione dell'hardware deve includere esclusivamente le funzionalità minime necessarie per il funzionamento.Scope hardware to minimum requirements: the hardware design should include minimum features required for operation of the hardware, and nothing more.
  • Realizzare hardware a prova di manomissione: meccanismi integrati per il rilevamento di manomissioni fisiche dell'hardware, ad esempio l'apertura del coperchio del dispositivo, la rimozione di una parte del dispositivo e così via.Make hardware tamper proof: build in mechanisms to detect physical tampering of hardware, such as opening the device cover, removing a part of the device, etc.
  • Creare un hardware sicuro: se il costo del venduto lo consente, creare funzionalità di sicurezza, ad esempio l'archiviazione protetta e crittografata e la funzionalità di avvio basata sul modulo TPM (Trusted Platform Module).Build around secure hardware: if COGS permit, build security features such as secure and encrypted storage and Trusted Platform Module (TPM)-based boot functionality.
  • Implementare aggiornamenti sicuri: l'aggiornamento del firmware durante il ciclo di vita del dispositivo è inevitabile.Make upgrades secure: upgrading firmware during lifetime of the device is inevitable.

Sviluppatore di soluzioni IoTIoT solution developer

Si invitano gli sviluppatori di soluzioni IoT a seguire le procedure consigliate riportate più avanti:Follow the best practices below if you are an IoT solution developer:

  • Applicare una metodologia di sviluppo software protetta: lo sviluppo di software protetti richiede una riflessione totale riguardo alla sicurezza dall'inizio del progetto fino all'implementazione, al test e alla distribuzione.Follow secure software development methodology: developing secure software requires ground-up thinking about security from the inception of the project all the way to its implementation, testing, and deployment.
  • Scegliere software open source con attenzione: il software open source consente di sviluppare soluzioni in modo rapido.Choose open source software with care: open source software provides an opportunity to quickly develop solutions.
  • Eseguire l'integrazione con attenzione: molti dei problemi di sicurezza del software intervengono al confine tra librerie e API.Integrate with care: many of the software security flaws exist at the boundary of libraries and APIs.

Distributore di soluzioni IoTIoT solution deployer

Si invitano i distributori di soluzioni IoT a seguire le procedure consigliate riportate più avanti:Follow the best practices below if you are an IoT solution deployer:

  • Distribuire l'hardware in modo sicuro: le distribuzioni IoT potrebbero richiedere che l'hardware da distribuire si trovi in posizioni non protette, ad esempio spazi pubblici o posizioni non controllate.Deploy hardware securely: IoT deployments may require hardware to be deployed in unsecure locations, such as in public spaces or unsupervised locales.
  • Proteggere le chiavi di autenticazione: durante la distribuzione, ogni dispositivo richiede gli ID dei dispositivi e le chiavi di autenticazione associate generate dal servizio cloud.Keep authentication keys safe: during deployment, each device requires device IDs and associated authentication keys generated by the cloud service. Conservare fisicamente queste chiavi al sicuro anche dopo la distribuzione.Keep these keys physically safe even after the deployment. Qualsiasi chiave compromessa può essere usata da un dispositivo non autorizzato per passare come dispositivo esistente.Any compromised key can be used by a malicious device to masquerade as an existing device.

Operatore di soluzioni IoTIoT solution operator

Si invitano gli operatori di soluzioni IoT a seguire le procedure consigliate riportate più avanti:Follow the best practices below if you are an IoT solution operator:

  • Aggiornare i sistemi regolarmente: assicurarsi che tutti i sistemi operativi e i driver dei dispositivi vengano aggiornati alle versioni più recenti.Keep systems up to date: ensure device operating systems and all device drivers are updated to the latest versions.
  • Proteggere i sistemi da attività dannose: se il sistema operativo lo consente, aggiungere funzionalità antivirus e anti-malware recenti su ogni sistema operativo del dispositivo.Protect against malicious activity: if the operating system permits, place the latest anti-virus and anti-malware capabilities on each device operating system.
  • Effettuare controlli regolari: controllare la presenza di problemi di sicurezza all'infrastruttura IoT è un fattore chiave durante la risposta agli incidenti di sicurezza.Audit frequently: auditing IoT infrastructure for security related issues is key when responding to security incidents.
  • Proteggere fisicamente l'infrastruttura IoT: gli attacchi più dannosi per la sicurezza dell'infrastruttura IoT vengono lanciati tramite l'accesso fisico ai dispositivi.Physically protect the IoT infrastructure: the worst security attacks against IoT infrastructure are launched using physical access to devices.
  • Proteggere le credenziali del cloud: le credenziali per l'autenticazione nel cloud usate per la configurazione e il funzionamento di una distribuzione IoT costituiscono probabilmente il modo più semplice per accedere e compromettere un sistema IoT.Protect cloud credentials: cloud authentication credentials used for configuring and operating an IoT deployment are possibly the easiest way to gain access and compromise an IoT system.