Arquitetura de segurança da Internet das Coisas (IoT)Internet of Things (IoT) security architecture

Durante a criação de um sistema, é importante compreender as ameaças potenciais para esse sistema e adicionar as defesas apropriadas da mesma forma, conforme o sistema é projetado e desenvolvido.When designing a system, it is important to understand the potential threats to that system, and add appropriate defenses accordingly, as the system is designed and architected. É importante projetar o produto desde o início com a segurança em mente porque a compreensão de como um invasor pode conseguir comprometer um sistema ajuda a garantir que as mitigações adequadas estão em vigor desde o início.It is important to design the product from the start with security in mind because understanding how an attacker might be able to compromise a system helps make sure appropriate mitigations are in place from the beginning.

A segurança começa com um modelo de riscoSecurity starts with a threat model

A Microsoft há muito tempo usa modelos de ameaças para seus produtos e tornou o processo de modelagem de ameaças da empresa publicamente disponível.Microsoft has long used threat models for its products and has made the company’s threat modeling process publicly available. A experiência da empresa demonstra que a modelagem tem benefícios inesperados além da compreensão imediata de quais ameaças são os mais preocupantes.The company experience demonstrates that the modeling has unexpected benefits beyond the immediate understanding of what threats are the most concerning. Por exemplo, ela também cria uma avenida para uma discussão aberta com outras pessoas fora da equipe de desenvolvimento, o que pode levar a novas ideias e aprimoramentos no produto.For example, it also creates an avenue for an open discussion with others outside the development team, which can lead to new ideas and improvements in the product.

O objetivo da modelagem de risco é entender como um invasor pode ser capaz de comprometer um sistema e verificar se as mitigações apropriadas estão em vigor.The objective of threat modeling is to understand how an attacker might be able to compromise a system and then make sure appropriate mitigations are in place. A modelagem de risco força a equipe de design a considerar mitigações conforme o sistema é projetado em vez de depois que um sistema é implantado.Threat modeling forces the design team to consider mitigations as the system is designed rather than after a system is deployed. Esse fato é extremamente importante, porque a modernização das defesas de segurança para vários dispositivos no campo é inviável, sujeita a erros e coloca os clientes em risco.This fact is critically important, because retrofitting security defenses to a myriad of devices in the field is infeasible, error prone and leaves customers at risk.

Muitas equipes de desenvolvimento fazem um excelente trabalho capturando os requisitos funcionais do sistema que beneficiam os clientes.Many development teams do an excellent job capturing the functional requirements for the system that benefit customers. No entanto, identificar formas não óbvias em que alguém pode utilizar o sistema de maneira indevida é mais desafiador.However, identifying non-obvious ways that someone might misuse the system is more challenging. A modelagem de risco pode ajudar as equipes de desenvolvimento a compreender o que um invasor pode fazer e por quê.Threat modeling can help development teams understand what an attacker might do and why. A modelagem de risco é um processo estruturado que cria uma discussão sobre as decisões de design de segurança no sistema, bem como alterações no design que são feitas ao longo do caminho que impactam a segurança.Threat modeling is a structured process that creates a discussion about the security design decisions in the system, as well as changes to the design that are made along the way that impact security. Embora um modelo de risco seja simplesmente um documento, esta documentação também representa uma forma ideal de garantir a continuidade do conhecimento, a retenção de lições aprendidas e ajuda a nova equipe a realizar a integração rapidamente.While a threat model is simply a document, this documentation also represents an ideal way to ensure continuity of knowledge, retention of lessons learned, and help new team onboard rapidly. Por fim, um resultado da modelagem de risco é permitir que você considere outros aspectos de segurança, como quais compromissos de segurança deseja fornecer aos seus clientes.Finally, an outcome of threat modeling is to enable you to consider other aspects of security, such as what security commitments you wish to provide to your customers. Esses compromissos em conjunto com a modelagem de risco informam e orientam o teste de sua solução de IoT (Internet das Coisas).These commitments in conjunction with threat modeling inform and drive testing of your Internet of Things (IoT) solution.

Quando fazer modelagem de ameaçasWhen to do threat modeling

A modelagem de risco oferece o valor máximo quando incorporada na fase de design.Threat modeling offers the greatest value when you incorporate it into the design phase. Ao realizar o design, você tem a maior flexibilidade para fazer alterações para eliminar as ameaças.When you are designing, you have the greatest flexibility to make changes to eliminate threats. A eliminação de ameaças por design é o resultado desejado.Eliminating threats by design is the desired outcome. É muito mais fácil do que adicionar mitigações, testá-las e garantir que elas permaneçam atualizadas e, além disso, essa eliminação nem sempre é possível.It is much easier than adding mitigations, testing them, and ensuring they remain current and moreover, such elimination is not always possible. Conforme o produto amadurece, fica mais difícil eliminar as ameaças, o que acaba exigindo mais trabalho e concessões muito mais complexas do que a modelagem de risco no início do desenvolvimento.It becomes harder to eliminate threats as a product becomes more mature, and in turn ultimately requires more work and a lot harder tradeoffs than threat modeling early on in the development.

O que considerar para a modelagem de ameaçasWhat to consider for threat modeling

Você deve analisar a solução como um todo e também se concentrar nas seguintes áreas:You should look at the solution as a whole and also focus on the following areas:

  • Os recursos de segurança e privacidadeThe security and privacy features
  • Os recursos cujas falhas são relevantes para a segurançaThe features whose failures are security relevant
  • Os recursos que tocam um limite de confiançaThe features that touch a trust boundary

Quem realiza modelagem de ameaçasWho performs threat modeling

A modelagem de risco é um processo como qualquer outro.Threat modeling is a process like any other. É uma boa ideia tratar o documento de modelo de risco como qualquer outro componente da solução e validá-lo.It is a good idea to treat the threat model document like any other component of the solution and validate it. Muitas equipes de desenvolvimento fazem um excelente trabalho capturando os requisitos funcionais do sistema que beneficiam os clientes.Many development teams do an excellent job capturing the functional requirements for the system that benefit customers. No entanto, identificar formas não óbvias em que alguém pode utilizar o sistema de maneira indevida é mais desafiador.However, identifying non-obvious ways that someone might misuse the system is more challenging. A modelagem de risco pode ajudar as equipes de desenvolvimento a compreender o que um invasor pode fazer e por quê.Threat modeling can help development teams understand what an attacker might do and why.

Como realizar modelagem de ameaçasHow to perform threat modeling

O processo de modelagem de risco é composto por quatro etapas; as etapas são:The threat modeling process is composed of four steps; the steps are:

  • Modelar o aplicativoModel the application
  • Enumerar as ameaçasEnumerate Threats
  • Atenuar as ameaçasMitigate threats
  • Validar as mitigaçõesValidate the mitigations

As etapas do processoThe process steps

Há três regras básicas para ter em mente ao criar um modelo de risco:Three rules of thumb to keep in mind when building a threat model:

  1. Crie um diagrama da arquitetura de referência.Create a diagram out of reference architecture.

  2. Inicie primeiro por abrangência.Start breadth-first. Obtenha uma visão geral e entenda o sistema como um todo, antes de se aprofundar.Get an overview, and understand the system as a whole, before deep-diving. Essa abordagem ajuda a garantir o aprofundamento nas áreas certas.This approach helps ensure that you deep-dive in the right places.

  3. Conduza o processo, não deixe que o processo conduza você.Drive the process, don’t let the process drive you. Caso você encontre um problema na fase de modelagem e queira explorá-lo, vá em frente!If you find an issue in the modeling phase and want to explore it, go for it! Não pense que você precisa seguir essas etapas submissamente.Don’t feel you need to follow these steps slavishly.

AmeaçasThreats

Os quatro principais elementos de um modelo de risco são:The four core elements of a threat model are:

  • Processos, como serviços Web, serviços de Win32 e daemons *nix.Processes such as web services, Win32 services, and *nix daemons. Algumas entidades complexas (por exemplo, gateways de campo e sensores) podem ser abstraídas como um processo quando um detalhamento técnico nessas áreas não é possível.Some complex entities (for example field gateways and sensors) can be abstracted as a process when a technical drill-down in these areas is not possible.

  • Armazenamentos de dados (qualquer lugar em que os dados são armazenados, como um arquivo de configuração ou banco de dados)Data stores (anywhere data is stored, such as a configuration file or database)

  • Fluxo de dados (onde os dados se movem entre outros elementos no aplicativo)Data flow (where data moves between other elements in the application)

  • Entidades externas (qualquer elemento que interage com o sistema, mas não está sob o controle do aplicativo, os exemplos incluem usuários e feeds de satélite)External Entities (anything that interacts with the system, but is not under the control of the application, examples include users and satellite feeds)

Todos os elementos no diagrama da arquitetura estão sujeitos a várias ameaças; neste artigo, usamos o mnemônico STRIDE.All elements in the architectural diagram are subject to various threats; this article the STRIDE mnemonic. Leia Threat Modeling Again, STRIDE (Modelagem de risco novamente, STRIDE) para saber mais sobre os elementos do STRIDE.Read Threat Modeling Again, STRIDE to know more about the STRIDE elements.

Diferentes elementos do diagrama de aplicativo estão sujeitos a determinadas ameaças do STRIDE:Different elements of the application diagram are subject to certain STRIDE threats:

  • Os processos estão sujeitos ao STRIDEProcesses are subject to STRIDE
  • Os fluxos de dados estão sujeitos a TIDData flows are subject to TID
  • Os armazenamentos de dados estão sujeitos a TID e, às vezes, R, quando os armazenamentos de dados são arquivos de log.Data stores are subject to TID, and sometimes R, when the data stores are log files.
  • As entidades externas estão sujeitas ao SRDExternal entities are subject to SRD

Segurança na IoTSecurity in IoT

Dispositivos de finalidade especial conectados têm um número significativo de áreas de superfície de interação potencial e padrões de interação, que devem ser considerados para fornecer uma estrutura para proteger o acesso digital a esses dispositivos.Connected special-purpose devices have a significant number of potential interaction surface areas and interaction patterns, all of which must be considered to provide a framework for securing digital access to those devices. O termo "acesso digital" é usado aqui para distinguir de todas as operações executadas por meio de interação direta do dispositivo em que a segurança de acesso é fornecida por meio do controle de acesso físico.The term “digital access” is used here to distinguish from any operations that are carried out through direct device interaction where access security is provided through physical access control. Por exemplo, colocar o dispositivo em uma sala com uma trava na porta.For example, putting the device into a room with a lock on the door. Embora o acesso físico não possa ser negado usando hardware e software, é possível adotar medidas para impedir que o acesso físico leve à interferência do sistema.While physical access cannot be denied using software and hardware, measures can be taken to prevent physical access from leading to system interference.

Ao explorar os padrões de interação, dê ao "controle de dispositivo" e os "dados de dispositivo" a mesma atenção.As you explore the interaction patterns, look at “device control” and “device data” with the same level of attention. O "controle de dispositivo" pode ser classificado como qualquer informação fornecida para um dispositivo por qualquer pessoa com o objetivo de alterar ou influenciar seu comportamento em relação ao seu estado ou o estado de seu ambiente.“Device control” can be classified as any information that is provided to a device by any party with the goal of changing or influencing its behavior towards its state or the state of its environment. Os "dados de dispositivo" podem ser classificados como qualquer informação que um dispositivo emite para quaisquer terceiros sobre seu estado e o estado observado de seu ambiente.“Device data” can be classified as any information that a device emits to any other party about its state and the observed state of its environment.

Para otimizar as práticas recomendadas de segurança, a arquitetura típica de IoT deve ser dividida em vários componentes ou diferentes zonas como parte do exercício de modelagem de risco.In order to optimize security best practices, it is recommended that a typical IoT architecture is divided into several component/zones as part of the threat modeling exercise. Essas zonas são descritas em detalhes ao longo desta seção e incluem:These zones are described fully throughout this section and include:

  • Dispositivo,Device,
  • Gateway de campo,Field Gateway,
  • Gateways de nuvem eCloud gateways, and
  • .Services.

As zonas são uma maneira ampla de segmentar uma solução; cada zona geralmente tem seus próprios requisitos de dados, autenticação e autorização.Zones are broad way to segment a solution; each zone often has its own data and authentication and authorization requirements. As zonas também podem ser usadas para o isolamento de danos e a restrição do impacto de zonas de confiança baixa nas zonas de confiança mais alta.Zones can also be used to isolation damage and restrict the impact of low trust zones on higher trust zones.

Cada zona é separada por um limite de confiança, que é mostrado como a linha pontilhada vermelha no diagrama a seguir.Each zone is separated by a Trust Boundary, which is noted as the dotted red line in the following diagram. Ela representa uma transição de dados/informações de uma origem para outra.It represents a transition of data/information from one source to another. Durante essa transição, os dados/informações podem estar sujeitos a STRIDE (falsificação, violação, repúdio, divulgação não autorizada de informação, negação de serviço e elevação de privilégio).During this transition, the data/information could be subject to Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service and Elevation of Privilege (STRIDE).

Zonas de segurança da IoT

Os componentes descritos em cada limite também estão sujeitos a STRIDE, permitindo uma exibição da modelagem de risco completa 360 da solução.The components depicted within each boundary are also subjected to STRIDE, enabling a full 360 threat modeling view of the solution. As seções a seguir trazem mais detalhes sobre cada um dos componentes, assim como informações sobre problemas de segurança específicos e as soluções correspondentes.The following sections elaborate on each of the components and specific security concerns and solutions that should be put into place.

As seções a seguir discutem sobre os componentes padrão geralmente encontrados nessas zonas.The following sections discuss standard components typically found in these zones.

A zona de dispositivoThe device zone

O ambiente de dispositivo é o espaço físico imediato em torno do dispositivo no qual o acesso físico e/ou o acesso digital ponto a ponto de “rede local” ao dispositivo é possível.The device environment is the immediate physical space around the device where physical access and/or “local network” peer-to-peer digital access to the device is feasible. Uma "rede local" é considerada uma rede que é distinta e isolada da, mas potencialmente com ponte para, Internet pública e inclui qualquer tecnologia de rádio sem fio de curto alcance que permite a comunicação ponto a ponto de dispositivos.A “local network” is assumed to be a network that is distinct and insulated from – but potentially bridged to – the public Internet, and includes any short-range wireless radio technology that permits peer-to-peer communication of devices. Ela não inclui qualquer tecnologia de virtualização de rede que cria a ilusão de uma rede local nem inclui redes de operador públicas que exigiriam que quaisquer dois dispositivos se comunicassem por meio do espaço de rede pública se entrassem em uma relação de comunicação ponto a ponto.It does not include any network virtualization technology creating the illusion of such a local network and it does also not include public operator networks that require any two devices to communicate across public network space if they were to enter a peer-to-peer communication relationship.

A zona de gateway de campoThe field gateway zone

Um gateway de campo é um dispositivo ou um software de computador servidor de finalidade geral que age como um habilitador de comunicação e, potencialmente, como um sistema de controle de dispositivo e um hub de processamento de dados do dispositivo.Field gateway is a device/appliance or some general-purpose server computer software that acts as communication enabler and, potentially, as a device control system and device data processing hub. A zona do gateway de campo inclui o próprio gateway de campo e todos os dispositivos conectados a ele.The field gateway zone includes the field gateway itself and all devices that are attached to it. Como o nome sugere, os gateways de campo atuam for a dos recursos de processamento de dados dedicados, geralmente são associados ao local, podem sofrer invasão física e têm redundância operacional limitada.As the name implies, field gateways act outside dedicated data processing facilities, are usually location bound, are potentially subject to physical intrusion, and has limited operational redundancy. Tudo para dizer que um gateway de campo normalmente é algo que uma pessoa pode tocar e sabotar sabendo qual é sua função.All to say that a field gateway is commonly a thing one can touch and sabotage while knowing what its function is.

Um gateway de campo é diferente de um mero roteador de tráfego em que ele teve uma função ativa no gerenciamento de acesso e fluxo de informações, o que significa que ele é um terminal de sessão ou uma conexão de rede e entidade dirigida para o aplicativo.A field gateway is different from a mere traffic router in that it has had an active role in managing access and information flow, meaning it is an application addressed entity and network connection or session terminal. Um firewall ou dispositivos NAT, por outro lado, não se qualificam como gateways de campo, pois não são terminais de sessão nem de conexão explícitos, mas em vez disso roteiam (ou bloqueiam) sessões ou conexões feitas através deles.An NAT device or firewall, in contrast, does not qualify as field gateways since they are not explicit connection or session terminals, but rather a route (or block) connections or sessions made through them. O gateway de campo tem duas áreas de superfície distintas.The field gateway has two distinct surface areas. Uma é voltada para os dispositivos que estão conectados a ela e representa o interior da zona, e a outra é voltada para todos os parceiros externos e a borda da zona.One faces the devices that are attached to it and represents the inside of the zone, and the other faces all external parties and is the edge of the zone.

A zona de gateway de nuvemThe cloud gateway zone

O gateway de nuvem é um sistema que permite a comunicação remota de e para dispositivos ou gateways de campo de diversos locais pelo espaço de rede pública, normalmente na direção de um controle baseado em nuvem e sistema de análise de dados, uma federação de tais sistemas.Cloud gateway is a system that enables remote communication from and to devices or field gateways from several different sites across public network space, typically towards a cloud-based control and data analysis system, a federation of such systems. Em alguns casos, um gateway de nuvem pode imediatamente facilitar o acesso a dispositivos de finalidade especial de terminais, como telefones ou tablets.In some cases, a cloud gateway may immediately facilitate access to special-purpose devices from terminals such as tablets or phones. No contexto discutido aqui, "nuvem" destina-se a se referir a um sistema de processamento de dados dedicado que não está associado ao mesmo site que os dispositivos ou gateways de campo conectados.In the context discussed here, “cloud” is meant to refer to a dedicated data processing system that is not bound to the same site as the attached devices or field gateways. Além disso, em uma zona de nuvem, medidas operacionais impedem o acesso físico direcionado e não são necessariamente expostas a uma infraestrutura de "nuvem pública".Also in a Cloud Zone, operational measures prevent targeted physical access and are not necessarily exposed to a “public cloud” infrastructure.

Um gateway de nuvem pode potencialmente ser mapeado em uma sobreposição de virtualização de rede para isolar o gateway de nuvem e todos os seus dispositivos conectados ou gateways de campo de qualquer outro tráfego de rede.A cloud gateway may potentially be mapped into a network virtualization overlay to insulate the cloud gateway and all of its attached devices or field gateways from any other network traffic. O gateway de nuvem em si não é um sistema de controle de dispositivo, nem um recurso de processamento ou armazenamento de dados do dispositivo, esses recursos fazem interface com o gateway de nuvem.The cloud gateway itself is not a device control system or a processing or storage facility for device data; those facilities interface with the cloud gateway. A zona de gateway de nuvem inclui o próprio gateway de nuvem juntamente com todos os gateways de campo e dispositivos conectados diretamente ou indiretamente a ele.The cloud gateway zone includes the cloud gateway itself along with all field gateways and devices directly or indirectly attached to it. A borda da zona é uma área de superfície distinta, na qual todas as partes se comunicam.The edge of the zone is a distinct surface area where all external parties communicate through.

A zona de serviçosThe services zone

Um "serviço" é definido para este contexto como qualquer componente de software ou módulo que faz interface com dispositivos através de um gateway de nuvem ou campo para coleta e análise de dados, bem como para o comando e controle.A “service” is defined for this context as any software component or module that is interfacing with devices through a field- or cloud gateway for data collection and analysis, as well as for command and control. Os serviços são mediadores.Services are mediators. Eles atuam sob sua identidade para gateways e outros subsistemas, armazenam e analisam dados, emitem comandos de forma autônoma para dispositivos com base em análises de dados ou agendas e expõem informações e controlam os recursos para os usuários finais autorizados.They act under their identity towards gateways and other subsystems, store and analyze data, autonomously issue commands to devices based on data insights or schedules and expose information and control capabilities to authorized end users.

Dispositivos de informações versus dispositivos de finalidade especialInformation-devices versus special-purpose devices

PCs, telefones e tablets são basicamente dispositivos de informações interativos.PCs, phones, and tablets are primarily interactive information devices. Os telefones e tablets são explicitamente otimizados em função de maximizar o tempo de vida da bateria.Phones and tablets are explicitly optimized around maximizing battery lifetime. Eles preferencialmente são desativados parcialmente quando não estão interagindo imediatamente com uma pessoa, ou quando não estão fornecendo serviços como reproduzindo músicas ou orientando seu proprietário para um local específico.They preferably turn off partially when not immediately interacting with a person, or when not providing services like playing music or guiding their owner to a particular location. De uma perspectiva de sistemas, esses dispositivos de tecnologia da informação atuam principalmente como proxies para as pessoas.From a systems perspective, these information technology devices are mainly acting as proxies towards people. Eles são "acionadores de pessoas" sugerindo ações e "sensores de pessoas" coletando informações.They are “people actuators” suggesting actions and “people sensors” collecting input.

Os dispositivos de finalidade especial, de sensores de temperatura simples a linhas de produção de fábrica complexas com milhares de componentes dentro delas, são diferentes.Special-purpose devices, from simple temperature sensors to complex factory production lines with thousands of components inside them, are different. Esses dispositivos têm um escopo muito mais definido quanto à finalidade e, mesmo quando fornecem uma interface do usuário, em grande parte eles se limitam a se unirem ou a se integrarem a ativos no mundo físico.These devices are much more scoped in purpose and even if they provide some user interface, they are largely scoped to interfacing with or be integrated into assets in the physical world. Eles medem e relatam circunstâncias ambientais, ativar válvulas, controlam servos, soam alarmes, alternar luzes e realizam várias outras tarefas.They measure and report environmental circumstances, turn valves, control servos, sound alarms, switch lights, and do many other tasks. Além disso, eles ajudam a realizar aqueles trabalhos para os quais um dispositivo de informações é muito genérico, caro, grande ou frágil.They help to do work for which an information device is either too generic, too expensive, too large, or too brittle. A finalidade concreta imediatamente determina seu design técnico, bem como o orçamento monetário disponível para sua produção e operação agendada do tempo de vida.The concrete purpose immediately dictates their technical design as well the available monetary budget for their production and scheduled lifetime operation. A combinação desses dois fatores-chave restringe o orçamento de energia operacional disponível, o espaço físico e, portanto, os recursos de armazenamento, computação e segurança disponíveis.The combination of these two key factors constrains the available operational energy budget, physical footprint, and thus available storage, compute, and security capabilities.

Se algo "dá errado" com dispositivos controláveis remotamente ou automatizados, por exemplo, defeitos físicos ou defeitos lógicos de controle para a manipulação ou intrusão não autorizada deliberada.If something “goes wrong” with automated or remote controllable devices, for example, physical defects or control logic defects to willful unauthorized intrusion and manipulation. Os lotes de produção podem ser destruídos, edifícios podem ser saqueados ou incendiados e as pessoas podem ser feridas ou até mesmo morrer.The production lots may be destroyed, buildings may be looted or burned down, and people may be injured or even die. Essa é uma classe de danos totalmente diferente, por exemplo, de uma situação de aumento de limite de um cartão de crédito roubado.This is a whole different class of damage than someone maxing out a stolen credit card's limit. O nível de segurança para dispositivos que fazem com que coisas funcionem e para dados de sensor que eventualmente resultam em comandos que fazem com que coisas funcionem deve ser maior do que em qualquer cenário de serviços bancários ou comércio eletrônico.The security bar for devices that make things move, and also for sensor data that eventually results in commands that cause things to move, must be higher than in any e-commerce or banking scenario.

Controle de dispositivos e interações de dados do dispositivoDevice control and device data interactions

Dispositivos de finalidade especial conectados têm um número significativo de áreas de superfície de interação potencial e padrões de interação, que devem ser considerados para fornecer uma estrutura para proteger o acesso digital a esses dispositivos.Connected special-purpose devices have a significant number of potential interaction surface areas and interaction patterns, all of which must be considered to provide a framework for securing digital access to those devices. O termo "acesso digital" é usado aqui para distinguir de todas as operações executadas por meio de interação direta do dispositivo em que a segurança de acesso é fornecida por meio do controle de acesso físico.The term “digital access” is used here to distinguish from any operations that are carried out through direct device interaction where access security is provided through physical access control. Por exemplo, colocar o dispositivo em uma sala com uma trava na porta.For example, putting the device into a room with a lock on the door. Embora o acesso físico não possa ser negado usando hardware e software, é possível adotar medidas para impedir que o acesso físico leve à interferência do sistema.While physical access cannot be denied using software and hardware, measures can be taken to prevent physical access from leading to system interference.

Ao explorar os padrões de interação, dê ao "controle de dispositivo" e os "dados de dispositivo" a mesma atenção durante a modelagem de risco.As you explore the interaction patterns, look at “device control” and “device data” with the same level of attention while threat modeling. O "controle de dispositivo" pode ser classificado como qualquer informação fornecida para um dispositivo por qualquer pessoa com o objetivo de alterar ou influenciar seu comportamento em relação ao seu estado ou o estado de seu ambiente.“Device control” can be classified as any information that is provided to a device by any party with the goal of changing or influencing its behavior towards its state or the state of its environment. Os "dados de dispositivo" podem ser classificados como qualquer informação que um dispositivo emite para quaisquer terceiros sobre seu estado e o estado observado de seu ambiente.“Device data” can be classified as any information that a device emits to any other party about its state and the observed state of its environment.

Executando a modelagem de ameaças para a arquitetura de referência do IoT do AzurePerforming threat modeling for the Azure IoT reference architecture

A Microsoft usa a estrutura descrita anteriormente para a modelagem de risco da IoT do Azure.Microsoft uses the framework outlined previously to do threat modeling for Azure IoT. A seção abaixo usa o exemplo concreto da arquitetura de referência da IoT do Azure para demonstrar como pensar sobre a modelagem de risco para IoT e como tratar as ameaças identificadas.The following section uses the concrete example of Azure IoT Reference Architecture to demonstrate how to think about threat modeling for IoT and how to address the threats identified. Este exemplo identifica quatro áreas principais de foco:This example identifies four main areas of focus:

  • Dispositivos e fontes de dados,Devices and Data Sources,
  • Transporte de dados,Data Transport,
  • Dispositivo e processamento de eventos eDevice and Event Processing, and
  • ApresentaçãoPresentation

Modelagem de risco para a IoT do Azure

O diagrama a seguir fornece uma exibição simplificada da arquitetura da IoT da Microsoft usando um modelo de Diagrama de Fluxo de Dados que é usado pela Microsoft Threat Modeling Tool:The following diagram provides a simplified view of Microsoft’s IoT Architecture using a Data Flow Diagram model that is used by the Microsoft Threat Modeling Tool:

Modelagem de risco para a IoT do Azure usando a Ferramenta de Modelagem de Risco da Microsoft

É importante observar que a arquitetura separa os recursos do dispositivo e do gateway.It is important to note that the architecture separates the device and gateway capabilities. Essa abordagem permite ao usuário aproveitar dispositivos de gateway mais seguros, que conseguem se comunicar com o gateway de nuvem por meio de protocolos seguros, o que geralmente exige uma sobrecarga de processamento maior do que aquela que um dispositivo nativo, como um termostato, poderia fornecer sozinho.This approach enables the user to leverage gateway devices that are more secure: they are capable of communicating with the cloud gateway using secure protocols, which typically requires greater processing overhead that a native device - such as a thermostat - could provide on its own. Na zona de serviços do Azure, suponha que o gateway de nuvem seja representado pelo serviço do Hub IoT do Azure.In the Azure services zone, assume that the Cloud Gateway is represented by the Azure IoT Hub service.

Dispositivos e fontes de dados/transporte de dadosDevice and data sources/data transport

Esta seção explora a arquitetura descrita anteriormente do ponto de vista de modelagem de risco e mostra como lidar com algumas preocupações inerentes.This section explores the architecture outlined previously through the lens of threat modeling and gives an overview of how to address some of the inherent concerns. Este exemplo se concentra nos principais elementos de um modelo de risco:This example focuses on the core elements of a threat model:

  • Processos (tanto sob seu controle quanto itens externos)Processes (both under your control and external items)
  • Comunicação (também chamada de fluxos de dados)Communication (also called data flows)
  • Armazenamento (também chamado de armazenamentos de dados)Storage (also called data stores)

ProcessosProcesses

Em cada uma das categorias descritas na arquitetura de IoT do Azure, este exemplo tenta atenuar diversas ameaças nos diferentes estágios em que há dados/informações: processo, comunicação e armazenamento.In each of the categories outlined in the Azure IoT architecture, this example tries to mitigate a number of different threats across the different stages data/information exists in: process, communication, and storage. Veja a seguir uma visão geral das ameaças mais comuns para a categoria "processo", assim como práticas recomendadas de mitigação:Following is an overview of the most common ones for the “process” category, followed by an overview of how these threats could be best mitigated:

Falsificação (S) : Um invasor pode extrair o material da chave de criptografia de um dispositivo, no nível de software ou hardware, e posteriormente acessar o sistema com outro dispositivo físico ou virtual sob a identidade do dispositivo do qual o material da chave foi obtido.Spoofing (S): An attacker may extract cryptographic key material from a device, either at the software or hardware level, and subsequently access the system with a different physical or virtual device under the identity of the device the key material has been taken from. Uma boa ilustração são os controles remotos que podem ligar qualquer TV e são ferramentas populares dos pregadores de peças.A good illustration is remote controls that can turn any TV and that are popular prankster tools.

Negação de Serviço (D) : Um dispositivo pode ficar incapaz de funcionar ou de se comunicar interferindo em frequências de rádio ou cortando fios.Denial of Service (D): A device can be rendered incapable of functioning or communicating by interfering with radio frequencies or cutting wires. Por exemplo, uma câmera de vigilância que teve sua conexão de rede ou de energia intencionalmente suprimida não relata dados, de maneira alguma.For example, a surveillance camera that had its power or network connection intentionally knocked out cannot report data, at all.

Violação (T) : Um invasor pode substituir parcial ou totalmente o software em execução no dispositivo, potencialmente permitindo que o software substituído aproveite a identidade original do dispositivo se o material da chave ou os recursos de criptografia mantendo os materiais de chave estavam disponíveis para o programa ilícito.Tampering (T): An attacker may partially or wholly replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program. Por exemplo, um invasor pode aproveitar o material da chave extraído para interceptar e suprimir os dados do dispositivo no caminho de comunicação e substituí-los por dados falsos que são autenticados com o material da chave roubado.For example, an attacker may leverage extracted key material to intercept and suppress data from the device on the communication path and replace it with false data that is authenticated with the stolen key material.

Divulgação de informações confidenciais (I) : Se o dispositivo estivesse executando software manipulado, tal software manipulado poderia potencialmente vazar dados para partes não autorizadas.Information Disclosure (I): If the device is running manipulated software, such manipulated software could potentially leak data to unauthorized parties. Por exemplo, um invasor pode aproveitar o material da chave extraído para se injetar no caminho de comunicação entre o dispositivo e um controlador ou gateway de campo ou um gateway de nuvem para desviar as informações.For example, an attacker may leverage extracted key material to inject itself into the communication path between the device and a controller or field gateway or cloud gateway to siphon off information.

Elevação de privilégio (E) : Um dispositivo que realiza uma função específica pode ser forçado a fazer algo diferente.Elevation of Privilege (E): A device that does specific function can be forced to do something else. Por exemplo, uma válvula é programada para abrir a metade do caminho pode ser levada para abrir completamente.For example, a valve that is programmed to open half way can be tricked to open all the way.

ComponenteComponent AmeaçaThreat MitigaçãoMitigation RiscoRisk ImplementaçãoImplementation
DispositivoDevice SS Atribuição de identidade para o dispositivo e autenticação do dispositivoAssigning identity to the device and authenticating the device Substituir o dispositivo ou parte dele por outro dispositivo.Replacing device or part of the device with some other device. Como saber se você está se comunicando com o dispositivo certo?How do you know you are talking to the right device? Autenticar o dispositivo, usando o protocolo TLS ou IPsec.Authenticating the device, using Transport Layer Security (TLS) or IPSec. A infraestrutura deve dar suporte ao uso da PSK (chave pré-compartilhada) nos dispositivos que não conseguem lidar com a criptografia assimétrica completa.Infrastructure should support using pre-shared key (PSK) on those devices that cannot handle full asymmetric cryptography. Aproveite o Azure AD, o OAuthLeverage Azure AD, OAuth
TRIDTRID Aplicação de mecanismos à prova de violações no dispositivo, por exemplo, tornando difícil e até mesmo impossível extrair as chaves e outros materiais de criptografia do dispositivo.Apply tamperproof mechanisms to the device, for example, by making it hard to impossible to extract keys and other cryptographic material from the device. O risco é se alguém está violando o dispositivo (interferência física).The risk is if someone is tampering the device (physical interference). Como ter certeza de que o dispositivo não foi adulterado.How are you sure, that device has not been tampered with. A mitigação mais eficaz é uma funcionalidade de TPM (trusted platform module) que permite armazenar chaves em circuitos on-chip especiais nos quais as chaves não podem ser lidas, mas apenas usadas para operações de criptografia que utilizam a chave, mas nunca a divulgam.The most effective mitigation is a trusted platform module (TPM) capability that allows storing keys in special on-chip circuitry from which the keys cannot be read, but can only be used for cryptographic operations that use the key but never disclose the key. Criptografia de memória do dispositivo.Memory encryption of the device. Gerenciamento de chaves para o dispositivo.Key management for the device. Assinar o código.Signing the code.
EE Ter controle de acesso do dispositivo.Having access control of the device. Esquema de autorização.Authorization scheme. Se o dispositivo permitir que ações individuais sejam executadas com base em comandos de uma fonte externa, ou até mesmo sensores comprometidos, isso permite que o ataque execute operações não acessíveis de outra forma.If the device allows for individual actions to be performed based on commands from an outside source, or even compromised sensors, it allows the attack to perform operations not otherwise accessible. Ter um esquema de autorização para o dispositivoHaving authorization scheme for the device
Gateway de campoField Gateway SS Autenticação do gateway de campo no gateway de nuvem (por exemplo, baseada em certificado, PSK ou em declarações.)Authenticating the Field gateway to Cloud Gateway (such as cert based, PSK, or Claim based.) Se alguém pode falsificar o gateway de campo, pode se apresentar como qualquer dispositivo.If someone can spoof Field Gateway, then it can present itself as any device. TLS RSA/PSK, IPSec, RFC 4279.TLS RSA/PSK, IPSec, RFC 4279. As mesmas preocupações de confirmação e armazenamento de chave dos dispositivos em geral, o melhor caso é usar o TPM.All the same key storage and attestation concerns of devices in general – best case is use TPM. Extensão de 6LowPAN para o IPsec para dar suporte a WSN (Redes de Sensores Sem Fio).6LowPAN extension for IPSec to support Wireless Sensor Networks (WSN).
TRIDTRID Proteger o gateway de campo contra violação (TPM?)Protect the Field Gateway against tampering (TPM?) Os ataques de falsificação que enganam gateway de nuvem pensando que ele está se comunicando com o gateway de campo podem resultar na divulgação não autorizada de informação e na violação dos dados.Spoofing attacks that trick the cloud gateway thinking it is talking to field gateway could result in information disclosure and data tampering Criptografia da memória, TPM, autenticação.Memory encryption, TPM’s, authentication.
EE Mecanismo de controle de acesso para o gateway de campoAccess control mechanism for Field Gateway

Aqui estão alguns exemplos de ameaças nesta categoria:Here are some examples of threats in this category:

Falsificação: Um invasor pode extrair o material da chave de criptografia de um dispositivo, no nível de software ou hardware, e posteriormente acessar o sistema com outro dispositivo físico ou virtual sob a identidade do dispositivo do qual o material da chave foi obtido.Spoofing: An attacker may extract cryptographic key material from a device, either at the software or hardware level, and subsequently access the system with a different physical or virtual device under the identity of the device the key material has been taken from.

Negação de Serviço: Um dispositivo pode ficar incapaz de funcionar ou de se comunicar interferindo em frequências de rádio ou cortando fios.Denial of Service: A device can be rendered incapable of functioning or communicating by interfering with radio frequencies or cutting wires. Por exemplo, uma câmera de vigilância que teve sua conexão de rede ou de energia intencionalmente suprimida não relata dados, de maneira alguma.For example, a surveillance camera that had its power or network connection intentionally knocked out cannot report data, at all.

Violação: Um invasor pode substituir parcial ou totalmente o software em execução no dispositivo, potencialmente permitindo que o software substituído aproveite a identidade original do dispositivo se o material da chave ou os recursos de criptografia mantendo os materiais de chave estavam disponíveis para o programa ilícito.Tampering: An attacker may partially or wholly replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program.

Violação: Uma câmera de vigilância que está mostrando uma imagem de espectro visível de um corredor vazio pode ser direcionada a uma fotografia de tal um corredor.Tampering: A surveillance camera that’s showing a visible-spectrum picture of an empty hallway could be aimed at a photograph of such a hallway. Um sensor de fumaça ou incêndio pode relatar alguém segurando um isqueiro sob ele.A smoke or fire sensor could be reporting someone holding a lighter under it. Em ambos os casos, o dispositivo pode ser tecnicamente totalmente confiável para o sistema, mas ele relata informações manipuladas.In either case, the device may be technically fully trustworthy towards the system, but it reports manipulated information.

Violação: Um invasor pode aproveitar o material da chave extraído para interceptar e suprimir os dados do dispositivo no caminho de comunicação e substituí-los com dados falsos que são autenticados com o material da chave roubado.Tampering: An attacker may leverage extracted key material to intercept and suppress data from the device on the communication path and replace it with false data that is authenticated with the stolen key material.

Violação: Um invasor pode substituir parcial ou completamente o software em execução no dispositivo, potencialmente permitindo que o software substituído aproveite a identidade original do dispositivo se o material da chave ou os recursos de criptografia mantendo os materiais de chave estavam disponíveis para o programa ilícito.Tampering: An attacker may partially or completely replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program.

Divulgação de informações confidenciais: Se o dispositivo estivesse executando software manipulado, tal software manipulado poderia potencialmente vazar dados para partes não autorizadas.Information Disclosure: If the device is running manipulated software, such manipulated software could potentially leak data to unauthorized parties.

Divulgação de informações confidenciais: Um invasor pode aproveitar o material da chave extraído para se injetar no caminho de comunicação entre o dispositivo e um controlador ou gateway de campo ou um gateway de nuvem para desviar as informações.Information Disclosure: An attacker may leverage extracted key material to inject itself into the communication path between the device and a controller or field gateway or cloud gateway to siphon off information.

Negação de Serviço: O dispositivo pode ser desativado ou alterado para um modo em que a comunicação não é possível (o que é intencional em muitas máquinas industriais).Denial of Service: The device can be turned off or turned into a mode where communication is not possible (which is intentional in many industrial machines).

Violação: O dispositivo pode ser reconfigurado para operar em um estado desconhecido para o sistema de controle (fora de parâmetros de calibragem conhecidos) e, portanto, fornecer dados que podem ser interpretados incorretamenteTampering: The device can be reconfigured to operate in a state unknown to the control system (outside of known calibration parameters) and thus provide data that can be misinterpreted

Elevação de privilégio: Um dispositivo que realiza uma função específica pode ser forçado a fazer algo diferente.Elevation of Privilege: A device that does specific function can be forced to do something else. Por exemplo, uma válvula é programada para abrir a metade do caminho pode ser levada para abrir completamente.For example, a valve that is programmed to open half way can be tricked to open all the way.

Negação de Serviço: O dispositivo pode ser alterado para um estado em que a comunicação não é possível.Denial of Service: The device can be turned into a state where communication is not possible.

Violação: O dispositivo pode ser reconfigurado para operar em um estado desconhecido para o sistema de controle (fora de parâmetros de calibragem conhecidos) e, portanto, fornecer dados que podem ser interpretados incorretamente.Tampering: The device can be reconfigured to operate in a state unknown to the control system (outside of known calibration parameters) and thus provide data that can be misinterpreted.

Violação/falsificação/repúdio: Se não protegido (que raramente é o caso com controles remotos do consumidor), um invasor poderá manipular o estado de um dispositivo anonimamente.Spoofing/Tampering/Repudiation: If not secured (which is rarely the case with consumer remote controls), an attacker can manipulate the state of a device anonymously. Uma boa ilustração são os controles remotos que podem ligar qualquer TV e são ferramentas populares dos pregadores de peças.A good illustration is remote controls that can turn any TV and that are popular prankster tools.

ComunicaçãoCommunication

Ameaças em torno do caminho de comunicação entre dispositivos, dispositivos e gateways de campo e dispositivos e gateway de nuvem.Threats around communication path between devices, devices and field gateways, and device and cloud gateway. A tabela a seguir tem algumas diretrizes em torno de soquetes abertos no dispositivo/VPN:The following table has some guidance around open sockets on the device/VPN:

ComponenteComponent AmeaçaThreat MitigaçãoMitigation RiscoRisk ImplementaçãoImplementation
Hub IoT de dispositivoDevice IoT Hub TIDTID (D)TLS (PSK/RSA) para criptografar o tráfego(D)TLS (PSK/RSA) to encrypt the traffic Espionagem ou interferência na comunicação entre o dispositivo e o gatewayEavesdropping or interfering the communication between the device and the gateway Segurança no nível do protocolo.Security on the protocol level. Com os protocolos personalizados, você precisa descobrir como protegê-los.With custom protocols, you need to figure out how to protect them. Na maioria dos casos, a comunicação ocorre do dispositivo para o Hub IoT (o dispositivo inicia a conexão).In most cases, the communication takes place from the device to the IoT Hub (device initiates the connection).
Dispositivo para dispositivoDevice to Device TIDTID (D)TLS (PSK/RSA) para criptografar o tráfego.(D)TLS (PSK/RSA) to encrypt the traffic. Leitura de dados em trânsito entre os dispositivos.Reading data in transit between devices. Violação de dados.Tampering with the data. Sobrecarga do dispositivo com novas conexõesOverloading the device with new connections Segurança no nível do protocolo (MQTT/AMQP/HTTP/CoAP.Security on the protocol level (MQTT/AMQP/HTTP/CoAP. Com os protocolos personalizados, você precisa descobrir como protegê-los.With custom protocols, you need to figure out how to protect them. A mitigação da ameaça de DoS é para os dispositivos pares por meio de um gateway de campo ou nuvem e fazê-los agir somente como clientes para a rede.The mitigation for the DoS threat is to peer devices through a cloud or field gateway and have them only act as clients towards the network. O emparelhamento pode resultar em uma conexão direta entre os pares após ter sido agenciado pelo gatewayThe peering may result in a direct connection between the peers after having been brokered by the gateway
Dispositivo de entidade externaExternal Entity Device TIDTID Emparelhamento forte da entidade externa com o dispositivoStrong pairing of the external entity to the device Espionagem da conexão com o dispositivo.Eavesdropping the connection to the device. Interferência na comunicação com o dispositivoInterfering the communication with the device Emparelhar de forma segura a entidade externa com o dispositivo NFC/Bluetooth LE.Securely pairing the external entity to the device NFC/Bluetooth LE. Controlar o painel operacional do dispositivo (físico)Controlling the operational panel of the device (Physical)
Gateway de nuvem de Gateway de campoField Gateway Cloud Gateway TIDTID TLS (PSK/RSA) para criptografar o tráfego.TLS (PSK/RSA) to encrypt the traffic. Espionagem ou interferência na comunicação entre o dispositivo e o gatewayEavesdropping or interfering the communication between the device and the gateway Segurança no nível de protocolo (MQTT/AMQP/HTTP/CoAP).Security on the protocol level (MQTT/AMQP/HTTP/CoAP). Com os protocolos personalizados, você precisa descobrir como protegê-los.With custom protocols, you need to figure out how to protect them.
Gateway de nuvem do dispositivoDevice Cloud Gateway TIDTID TLS (PSK/RSA) para criptografar o tráfego.TLS (PSK/RSA) to encrypt the traffic. Espionagem ou interferência na comunicação entre o dispositivo e o gatewayEavesdropping or interfering the communication between the device and the gateway Segurança no nível de protocolo (MQTT/AMQP/HTTP/CoAP).Security on the protocol level (MQTT/AMQP/HTTP/CoAP). Com os protocolos personalizados, você precisa descobrir como protegê-los.With custom protocols, you need to figure out how to protect them.

Aqui estão alguns exemplos de ameaças nesta categoria:Here are some examples of threats in this category:

Negação de Serviço: Os dispositivos restritos geralmente estão sob ameaça DoS quando escutam ativamente as conexões de entrada ou datagramas não solicitadas em uma rede, porque um invasor pode abrir várias conexões em paralelo e não atendê-las ou atendê-las lentamente ou o dispositivo pode ser inundado com o tráfego não solicitado.Denial of Service: Constrained devices are generally under DoS threat when they actively listen for inbound connections or unsolicited datagrams on a network, because an attacker can open many connections in parallel and not service them or service them slowly, or the device can be flooded with unsolicited traffic. Em ambos os casos, o dispositivo efetivamente pode ficar inoperante na rede.In both cases, the device can effectively be rendered inoperable on the network.

Falsificação, Divulgação não autorizada de informação: Os dispositivos restritos e de finalidade especial geralmente têm recursos de segurança de um-para-todos como proteção de PIN ou senha ou dependem inteiramente da rede, o que significa que eles concedem acesso às informações quando um dispositivo estiver na mesma rede e essa rede geralmente estará protegida apenas por uma chave compartilhada.Spoofing, Information Disclosure: Constrained devices and special-purpose devices often have one-for-all security facilities like password or PIN protection, or they wholly rely on trusting the network, meaning they grant access to information when a device is on the same network, and that network is often only protected by a shared key. Isso significa que quando o segredo compartilhado para o dispositivo ou rede é divulgado, é possível controlar o dispositivo ou observar os dados emitidos do dispositivo.That means that when the shared secret to device or network is disclosed, it is possible to control the device or observe data emitted from the device.

Falsificação: um invasor pode interceptar ou parcialmente substituir a difusão e falsificar o originador (intermediário)Spoofing: an attacker may intercept or partially override the broadcast and spoof the originator (man in the middle)

Violação: um invasor pode interceptar ou substituir parcialmente a difusão e enviar informações falsasTampering: an attacker may intercept or partially override the broadcast and send false information

Divulgação não autorizada de informação: um invasor pode escutar uma difusão e obter informações sem autorização Negação de serviço: um invasor pode obstruir o sinal de difusão e negar a distribuição de informaçõesInformation Disclosure: an attacker may eavesdrop on a broadcast and obtain information without authorization Denial of Service: an attacker may jam the broadcast signal and deny information distribution

ArmazenamentoStorage

Cada dispositivo e gateway de campo têm alguma forma de armazenamento (temporário para enfileirar os dados, armazenamento de imagem de sistema operacional).Every device and field gateway has some form of storage (temporary for queuing the data, operating system (OS) image storage).

ComponenteComponent AmeaçaThreat MitigaçãoMitigation RiscoRisk ImplementaçãoImplementation
Armazenamento de dispositivoDevice storage TRIDTRID Criptografia de armazenamento, assinar os logsStorage encryption, signing the logs Leitura de dados do armazenamento (dados de PII), violação de dados de telemetria.Reading data from the storage (PII data), tampering with telemetry data. Violação de dados de controle de comando em cache ou enfileirados.Tampering with queued or cached command control data. Violação de pacotes de atualização de firmware ou configuração enquanto os armazenados em cache ou enfileirados localmente podem levar os componentes de sistema operacional e/ou sistema a serem comprometidosTampering with configuration or firmware update packages while cached or queued locally can lead to OS and/or system components being compromised Criptografia, MAC (Message Authentication Code) ou assinatura digital.Encryption, message authentication code (MAC), or digital signature. Onde for possível, controle de acesso forte por meio de permissões ou ACLs (listas de controle de acesso) de recurso.Where possible, strong access control through resource access control lists (ACLs) or permissions.
Imagem do sistema operacional do dispositivoDevice OS image TRIDTRID Violação do sistema operacional/substituição de componentes do sistema operacionalTampering with OS /replacing the OS components Partição do sistema operacional somente leitura, imagem do sistema operacional assinada, criptografiaRead-only OS partition, signed OS image, Encryption
Armazenamento de gateway de campo (enfileirando os dados)Field Gateway storage (queuing the data) TRIDTRID Criptografia de armazenamento, assinar os logsStorage encryption, signing the logs Leitura de dados do armazenamento (dados de PII), violação de dados de telemetria, violação de dados de controle de comando enfileirado ou em cache.Reading data from the storage (PII data), tampering with telemetry data, tampering with queued or cached command control data. Violação de pacotes de atualização de firmware ou configuração (destinados a dispositivos ou gateway de campo) enquanto os armazenados em cache ou enfileirados localmente podem levar os componentes de sistema operacional e/ou sistema a serem comprometidosTampering with configuration or firmware update packages (destined for devices or field gateway) while cached or queued locally can lead to OS and/or system components being compromised BitLockerBitLocker
Imagem do sistema operacional do gateway de campoField Gateway OS image TRIDTRID Violação do sistema operacional/substituição de componentes do sistema operacionalTampering with OS /replacing the OS components Partição do sistema operacional somente leitura, imagem do sistema operacional assinada, criptografiaRead-only OS partition, signed OS image, Encryption

Zona de gateway de nuvem/processamento de eventos e dispositivoDevice and event processing/cloud gateway zone

Um gateway de nuvem é o sistema que permite a comunicação remota de e para dispositivos ou gateways de campo de diversos locais pelo espaço de rede pública, normalmente na direção de um controle baseado em nuvem e sistema de análise de dados, uma federação de tais sistemas.A cloud gateway is system that enables remote communication from and to devices or field gateways from several different sites across public network space, typically towards a cloud-based control and data analysis system, a federation of such systems. Em alguns casos, um gateway de nuvem pode imediatamente facilitar o acesso a dispositivos de finalidade especial de terminais, como telefones ou tablets.In some cases, a cloud gateway may immediately facilitate access to special-purpose devices from terminals such as tablets or phones. No contexto discutido aqui, "nuvem" se refere a um sistema de processamento de dados dedicado não associado ao mesmo site que os gateways de campo ou dispositivos conectados e no qual medidas operacionais impedem o acesso físico direcionado, mas não necessariamente a uma infraestrutura de “nuvem pública”.In the context discussed here, “cloud” is meant to refer to a dedicated data processing system that is not bound to the same site as the attached devices or field gateways, and where operational measures prevent targeted physical access but is not necessarily to a “public cloud” infrastructure. Um gateway de nuvem pode potencialmente ser mapeado em uma sobreposição de virtualização de rede para isolar o gateway de nuvem e todos os seus dispositivos conectados ou gateways de campo de qualquer outro tráfego de rede.A cloud gateway may potentially be mapped into a network virtualization overlay to insulate the cloud gateway and all of its attached devices or field gateways from any other network traffic. O gateway de nuvem em si não é um sistema de controle de dispositivo, nem um recurso de processamento ou armazenamento de dados do dispositivo, esses recursos fazem interface com o gateway de nuvem.The cloud gateway itself is not a device control system or a processing or storage facility for device data; those facilities interface with the cloud gateway. A zona de gateway de nuvem inclui o próprio gateway de nuvem juntamente com todos os gateways de campo e dispositivos conectados diretamente ou indiretamente a ele.The cloud gateway zone includes the cloud gateway itself along with all field gateways and devices directly or indirectly attached to it.

O gateway de nuvem é principalmente uma peça de software personalizada em execução como um serviço com pontos de extremidade expostos aos quais o gateway de campo e os dispositivos se conectam.Cloud gateway is mostly custom built piece of software running as a service with exposed endpoints to which field gateway and devices connect. Como tal, deve ser projetado tendo em mente a segurança.As such it must be designed with security in mind. Siga o processo de SDL para projetar e criar esse serviço.Follow SDL process for designing and building this service.

Zona de serviçosServices zone

Um sistema de controle (ou controlador) é uma solução de software que faz a interface com um dispositivo, um gateway de campo ou um gateway de nuvem a fim de controlar um ou vários dispositivos e/ou coletar, e/ou armazenar e/ou analisar os dados do dispositivo para fins de apresentação ou controle subsequente.A control system (or controller) is a software solution that interfaces with a device, or a field gateway, or cloud gateway for the purpose of controlling one or multiple devices and/or to collect and/or store and/or analyze device data for presentation, or subsequent control purposes. Os sistemas de controle são as únicas entidades no escopo desta discussão que podem facilitar a interação com as pessoas imediatamente.Control systems are the only entities in the scope of this discussion that may immediately facilitate interaction with people. A exceção são as superfícies de controle físico intermediário nos dispositivos, como uma chave que permite que uma pessoa desligue o dispositivo ou altere outras propriedades, e para as quais não há nenhum equivalente funcional que possa ser acessado digitalmente.The exceptions are intermediate physical control surfaces on devices, like a switch that allows a person to turn off the device or change other properties, and for which there is no functional equivalent that can be accessed digitally.

As superfícies de controle físico intermediário são aquelas em que a lógica de controle restringe a função da superfície de controle físico, de modo que uma função equivalente possa ser iniciada remotamente ou os conflitos de entrada com a entrada remota possam ser evitado. Tais superfícies de controle intermediadas são conceitualmente anexadas a um sistema de controle local que utiliza a mesma funcionalidade subjacente que qualquer outro sistema de controle remoto que ao qual o dispositivo pode estar anexado em paralelo.Intermediate physical control surfaces are those where governing logic constrains the function of the physical control surface such that an equivalent function can be initiated remotely or input conflicts with remote input can be avoided – such intermediated control surfaces are conceptually attached to a local control system that leverages the same underlying functionality as any other remote control system that the device may be attached to in parallel. As principais ameaças para a computação em nuvem podem ser lidas na página da CSA (Cloud Security Alliance).Top threats to the cloud computing can be read at Cloud Security Alliance (CSA) page.

Recursos adicionaisAdditional resources

Para obter mais informações, consulte os seguintes artigos:For more information, see the following articles:

Consulte tambémSee also

Para saber mais sobre como proteger uma solução criada por um acelerador de solução de IoT, confira Proteger sua implantação de IoT.To learn more about securing a solution created by an IoT solution accelerator, see Secure your IoT deployment.

Leia sobre segurança do Hub IoT em Controlar acesso ao Hub IoT no guia do desenvolvedor do Hub IoT.Read about IoT Hub security in Control access to IoT Hub in the IoT Hub developer guide.