Internet of Things (IoT) arquitetura de segurançaInternet of Things (IoT) security architecture

Ao conceber um sistema, é importante compreender as potenciais ameaças a esse sistema, e adicionar defesas apropriadas em conformidade, uma vez que o sistema é projetado e arquitetado.When designing a system, it is important to understand the potential threats to that system, and add appropriate defenses accordingly, as the system is designed and architected. É importante projetar o produto desde o início com a segurança em mente porque entender como um intruso pode ser capaz de comprometer um sistema ajuda a garantir que as mitigações apropriadas estão em vigor desde o início.It is important to design the product from the start with security in mind because understanding how an attacker might be able to compromise a system helps make sure appropriate mitigations are in place from the beginning.

A segurança começa com um modelo de ameaçaSecurity starts with a threat model

Há muito que a Microsoft utiliza modelos de ameaças para os seus produtos e tem disponibilizado publicamente o processo de modelação de ameaças da empresa.Microsoft has long used threat models for its products and has made the company’s threat modeling process publicly available. A experiência da empresa demonstra que a modelação tem benefícios inesperados para além da compreensão imediata das ameaças mais preocupantes.The company experience demonstrates that the modeling has unexpected benefits beyond the immediate understanding of what threats are the most concerning. Por exemplo, cria também uma via para uma discussão aberta com outros fora da equipa de desenvolvimento, o que pode levar a novas ideias e melhorias no produto.For example, it also creates an avenue for an open discussion with others outside the development team, which can lead to new ideas and improvements in the product.

O objetivo da modelação de ameaças é compreender como um intruso pode ser capaz de comprometer um sistema e, em seguida, garantir que estão em vigor as mitigações adequadas.The objective of threat modeling is to understand how an attacker might be able to compromise a system and then make sure appropriate mitigations are in place. A modelação de ameaças força a equipa de design a considerar as mitigações, uma vez que o sistema é projetado e não depois de um sistema ser implantado.Threat modeling forces the design team to consider mitigations as the system is designed rather than after a system is deployed. Este facto é de extrema importância, porque a adaptação das defesas de segurança a uma miríade de dispositivos no terreno é inviável, propenso a erros e deixa os clientes em risco.This fact is critically important, because retrofitting security defenses to a myriad of devices in the field is infeasible, error prone and leaves customers at risk.

Muitas equipas de desenvolvimento fazem um excelente trabalho capturando os requisitos funcionais para o sistema que beneficiam os clientes.Many development teams do an excellent job capturing the functional requirements for the system that benefit customers. No entanto, identificar formas não óbvias de alguém usar indevidamente o sistema é mais desafiante.However, identifying non-obvious ways that someone might misuse the system is more challenging. A modelação de ameaças pode ajudar as equipas de desenvolvimento a entender o que um atacante pode fazer e porquê.Threat modeling can help development teams understand what an attacker might do and why. A modelação de ameaças é um processo estruturado que cria uma discussão sobre as decisões de design de segurança no sistema, bem como alterações no design que são feitas ao longo do caminho que impactam a segurança.Threat modeling is a structured process that creates a discussion about the security design decisions in the system, as well as changes to the design that are made along the way that impact security. Embora um modelo de ameaça seja simplesmente um documento, esta documentação também representa uma forma ideal de garantir a continuidade do conhecimento, retenção de lições aprendidas e ajudar a nova equipa a bordo rapidamente.While a threat model is simply a document, this documentation also represents an ideal way to ensure continuity of knowledge, retention of lessons learned, and help new team onboard rapidly. Finalmente, um resultado da modelação de ameaças é permitir-lhe considerar outros aspetos da segurança, tais como os compromissos de segurança que deseja fornecer aos seus clientes.Finally, an outcome of threat modeling is to enable you to consider other aspects of security, such as what security commitments you wish to provide to your customers. Estes compromissos em conjunto com a modelação de ameaças informam e impulsionam o teste da sua solução internet das coisas (IoT).These commitments in conjunction with threat modeling inform and drive testing of your Internet of Things (IoT) solution.

Quando fazer modelação de ameaçasWhen to do threat modeling

A modelação de ameaças oferece o maior valor quando a incorpora na fase de design.Threat modeling offers the greatest value when you incorporate it into the design phase. Quando está a desenhar, tem a maior flexibilidade para fazer alterações para eliminar ameaças.When you are designing, you have the greatest flexibility to make changes to eliminate threats. Eliminar ameaças por design é o resultado desejado.Eliminating threats by design is the desired outcome. É muito mais fácil do que adicionar mitigações, testá-las e garantir que se mantenham atuais e, além disso, essa eliminação nem sempre é possível.It is much easier than adding mitigations, testing them, and ensuring they remain current and moreover, such elimination is not always possible. Torna-se mais difícil eliminar ameaças à medida que um produto se torna mais maduro, e por sua vez exige mais trabalho e trocas muito mais difíceis do que a modelação de ameaças no início do desenvolvimento.It becomes harder to eliminate threats as a product becomes more mature, and in turn ultimately requires more work and a lot harder tradeoffs than threat modeling early on in the development.

O que considerar para modelação de ameaçasWhat to consider for threat modeling

Deve olhar para a solução como um todo e também focar-se nas seguintes áreas:You should look at the solution as a whole and also focus on the following areas:

  • As funcionalidades de segurança e privacidadeThe security and privacy features
  • As características cujas falhas são relevantes para a segurançaThe features whose failures are security relevant
  • As características que tocam um limite de confiançaThe features that touch a trust boundary

Quem realiza modelação de ameaçasWho performs threat modeling

A modelação de ameaças é um processo como qualquer outro.Threat modeling is a process like any other. É uma boa ideia tratar o documento do modelo de ameaça como qualquer outro componente da solução e validá-lo.It is a good idea to treat the threat model document like any other component of the solution and validate it. Muitas equipas de desenvolvimento fazem um excelente trabalho capturando os requisitos funcionais para o sistema que beneficiam os clientes.Many development teams do an excellent job capturing the functional requirements for the system that benefit customers. No entanto, identificar formas não óbvias de alguém usar indevidamente o sistema é mais desafiante.However, identifying non-obvious ways that someone might misuse the system is more challenging. A modelação de ameaças pode ajudar as equipas de desenvolvimento a entender o que um atacante pode fazer e porquê.Threat modeling can help development teams understand what an attacker might do and why.

Como realizar modelação de ameaçasHow to perform threat modeling

O processo de modelação de ameaças é composto por quatro etapas; os passos são:The threat modeling process is composed of four steps; the steps are:

  • Modelar a aplicaçãoModel the application
  • Ameaças enumerantesEnumerate Threats
  • Migrar ameaçasMitigate threats
  • Validar as mitigaçõesValidate the mitigations

Os passos do processoThe process steps

Três regras do polegar a ter em mente ao construir um modelo de ameaça:Three rules of thumb to keep in mind when building a threat model:

  1. Crie um diagrama a partir da arquitetura de referência.Create a diagram out of reference architecture.

  2. Comece a amplitude primeiro.Start breadth-first. Obtenha uma visão geral, e compreenda o sistema como um todo, antes de mergulhar profundamente.Get an overview, and understand the system as a whole, before deep-diving. Esta abordagem ajuda a garantir que você mergulha profundamente nos lugares certos.This approach helps ensure that you deep-dive in the right places.

  3. Conduza o processo, não deixe que o processo o conduza.Drive the process, don’t let the process drive you. Se encontrar um problema na fase de modelação e quiser explorá-lo, vá em frente!If you find an issue in the modeling phase and want to explore it, go for it! Não sinta que precisa seguir estes passos de forma escravítica.Don’t feel you need to follow these steps slavishly.

AmeaçasThreats

Os quatro elementos fundamentais de um modelo de ameaça são:The four core elements of a threat model are:

  • Processos como serviços web, serviços Win32 e daemons *nix.Processes such as web services, Win32 services, and *nix daemons. Algumas entidades complexas (por exemplo, gateways de campo e sensores) podem ser resumidas como um processo quando não é possível um exercício técnico nestas áreas.Some complex entities (for example field gateways and sensors) can be abstracted as a process when a technical drill-down in these areas is not possible.

  • Data armazena (em qualquer lugar onde os dados são armazenados, como um ficheiro de configuração ou base de dados)Data stores (anywhere data is stored, such as a configuration file or database)

  • Fluxo de dados (onde os dados se movem entre outros elementos da aplicação)Data flow (where data moves between other elements in the application)

  • Entidades Externas (qualquer coisa que interage com o sistema, mas não esteja sob o controlo da aplicação, exemplos incluem utilizadores e feeds de satélite)External Entities (anything that interacts with the system, but is not under the control of the application, examples include users and satellite feeds)

Todos os elementos do diagrama arquitetónico estão sujeitos a várias ameaças; este artigo o STRIDE mnemonic.All elements in the architectural diagram are subject to various threats; this article the STRIDE mnemonic. Leia a Modelação de Ameaças Novamente, STRIDE para saber mais sobre os elementos STRIDE.Read Threat Modeling Again, STRIDE to know more about the STRIDE elements.

Diferentes elementos do diagrama de aplicação estão sujeitos a certas ameaças de PASSO:Different elements of the application diagram are subject to certain STRIDE threats:

  • Os processos estão sujeitos a STRIDEProcesses are subject to STRIDE
  • Os fluxos de dados estão sujeitos a TIDData flows are subject to TID
  • As lojas de dados estão sujeitas a TID, e às vezes R, quando as lojas de dados são ficheiros de registo.Data stores are subject to TID, and sometimes R, when the data stores are log files.
  • Entidades externas estão sujeitas a SRDExternal entities are subject to SRD

Segurança em IoTSecurity in IoT

Os dispositivos de especial-uso conectados têm um número significativo de áreas de superfície de interação potenciais e padrões de interação, todos os quais devem ser considerados como uma estrutura para garantir o acesso digital a esses dispositivos.Connected special-purpose devices have a significant number of potential interaction surface areas and interaction patterns, all of which must be considered to provide a framework for securing digital access to those devices. O termo "acesso digital" é usado aqui para distinguir de quaisquer operações que são realizadas através da interação direta do dispositivo onde a segurança de acesso é fornecida através do controlo de acesso físico.The term “digital access” is used here to distinguish from any operations that are carried out through direct device interaction where access security is provided through physical access control. Por exemplo, colocar o dispositivo numa sala com uma fechadura na porta.For example, putting the device into a room with a lock on the door. Embora o acesso físico não possa ser negado usando software e hardware, podem ser tomadas medidas para impedir que o acesso físico conduza a interferências no sistema.While physical access cannot be denied using software and hardware, measures can be taken to prevent physical access from leading to system interference.

Ao explorar os padrões de interação, olhe para "controlo de dispositivos" e "dados do dispositivo" com o mesmo nível de atenção.As you explore the interaction patterns, look at “device control” and “device data” with the same level of attention. O "controlo do dispositivo" pode ser classificado como qualquer informação que seja fornecida a um dispositivo por qualquer parte com o objetivo de alterar ou influenciar o seu comportamento em relação ao seu estado ou ao estado do seu ambiente.“Device control” can be classified as any information that is provided to a device by any party with the goal of changing or influencing its behavior towards its state or the state of its environment. Os "dados do dispositivo" podem ser classificados como qualquer informação que um dispositivo emite a qualquer outra parte sobre o seu estado e o estado observado do seu ambiente.“Device data” can be classified as any information that a device emits to any other party about its state and the observed state of its environment.

Para otimizar as melhores práticas de segurança, recomenda-se que uma arquitetura típica de IoT seja dividida em várias componentes/zonas como parte do exercício de modelação de ameaças.In order to optimize security best practices, it is recommended that a typical IoT architecture is divided into several component/zones as part of the threat modeling exercise. Estas zonas são descritas totalmente em toda esta secção e incluem:These zones are described fully throughout this section and include:

  • Dispositivo,Device,
  • Field Gateway,Field Gateway,
  • Gateways de nuvens, eCloud gateways, and
  • Os serviços.Services.

As zonas são uma forma ampla de segmentar uma solução; cada zona tem frequentemente os seus próprios dados e requisitos de autenticação e autorização.Zones are broad way to segment a solution; each zone often has its own data and authentication and authorization requirements. As zonas também podem ser usadas para isolamento de danos e restringir o impacto de zonas de baixa confiança em zonas de confiança mais elevadas.Zones can also be used to isolation damage and restrict the impact of low trust zones on higher trust zones.

Cada zona é separada por uma fronteira fidediária, que é notada como a linha vermelha pontilhada no diagrama seguinte.Each zone is separated by a Trust Boundary, which is noted as the dotted red line in the following diagram. Representa uma transição de dados/informação de uma fonte para outra.It represents a transition of data/information from one source to another. Durante esta transição, os dados/informações podem estar sujeitos a Falsificação, Adulteração, Repúdio, Divulgação de Informação, Negação de Serviço e Elevação de Privilégio (STRIDE).During this transition, the data/information could be subject to Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service and Elevation of Privilege (STRIDE).

Zonas de Segurança IoT

Os componentes representados dentro de cada fronteira também estão sujeitos a STRIDE, permitindo uma visão completa de modelação de ameaças de 360 da solução.The components depicted within each boundary are also subjected to STRIDE, enabling a full 360 threat modeling view of the solution. As secções seguintes elaboram cada um dos componentes e as preocupações e soluções específicas de segurança que devem ser implementadas.The following sections elaborate on each of the components and specific security concerns and solutions that should be put into place.

As seguintes secções discutem os componentes padrão tipicamente encontrados nestas zonas.The following sections discuss standard components typically found in these zones.

A zona do dispositivoThe device zone

O ambiente do dispositivo é o espaço físico imediato em torno do dispositivo onde é viável o acesso físico e/ou "rede local" de acesso digital peer-to-peer ao dispositivo.The device environment is the immediate physical space around the device where physical access and/or “local network” peer-to-peer digital access to the device is feasible. Presume-se que uma "rede local" seja uma rede distinta e isolada de – mas potencialmente colada a – à Internet pública, e que inclua qualquer tecnologia de rádio sem fios de curto alcance que permita a comunicação entre pares dos dispositivos.A “local network” is assumed to be a network that is distinct and insulated from – but potentially bridged to – the public Internet, and includes any short-range wireless radio technology that permits peer-to-peer communication of devices. Não inclui nenhuma tecnologia de virtualização de rede que crie a ilusão de uma rede local e também não inclui redes de operadores públicos que exijam que dois dispositivos se comuniquem através do espaço da rede pública se entrarem numa relação de comunicação entre pares.It does not include any network virtualization technology creating the illusion of such a local network and it does also not include public operator networks that require any two devices to communicate across public network space if they were to enter a peer-to-peer communication relationship.

A zona de entrada de campoThe field gateway zone

Field gateway é um dispositivo/aparelho ou algum software de computador de servidor de uso geral que funciona como facilitador de comunicação e, potencialmente, como um sistema de controlo de dispositivos e centro de processamento de dados do dispositivo.Field gateway is a device/appliance or some general-purpose server computer software that acts as communication enabler and, potentially, as a device control system and device data processing hub. A zona de entrada de campo inclui o próprio gateway de campo e todos os dispositivos que lhe estão ligados.The field gateway zone includes the field gateway itself and all devices that are attached to it. Como o nome indica, os gateways de campo atuam fora de instalações dedicadas de processamento de dados, estão geralmente ligados à localização, estão potencialmente sujeitos a intrusão física, e tem redundância operacional limitada.As the name implies, field gateways act outside dedicated data processing facilities, are usually location bound, are potentially subject to physical intrusion, and has limited operational redundancy. Tudo para dizer que um portal de campo é geralmente uma coisa que se pode tocar e sabotar enquanto se sabe qual é a sua função.All to say that a field gateway is commonly a thing one can touch and sabotage while knowing what its function is.

Um gateway de campo é diferente de um mero router de tráfego, na medida em que teve um papel ativo na gestão do fluxo de acesso e informação, o que significa que é uma entidade endereçada a aplicação e ligação de rede ou terminal de sessão.A field gateway is different from a mere traffic router in that it has had an active role in managing access and information flow, meaning it is an application addressed entity and network connection or session terminal. Um dispositivo NAT ou firewall, pelo contrário, não se qualifica como portais de campo, uma vez que não são terminais de ligação explícita ou de sessão, mas sim uma rota (ou bloquear) ligações ou sessões escruisse feitas através deles.An NAT device or firewall, in contrast, does not qualify as field gateways since they are not explicit connection or session terminals, but rather a route (or block) connections or sessions made through them. O portão de campo tem duas áreas de superfície distintas.The field gateway has two distinct surface areas. Um enfrenta os dispositivos que lhe estão ligados e representa o interior da zona, e o outro enfrenta todas as partes externas e é a borda da zona.One faces the devices that are attached to it and represents the inside of the zone, and the other faces all external parties and is the edge of the zone.

A zona de gateway de nuvensThe cloud gateway zone

Um gateway em nuvem é um sistema que permite a comunicação remota de e para dispositivos ou gateways de campo de vários sites diferentes em todo o espaço da rede pública, tipicamente para um sistema de controlo e análise de dados baseado na nuvem, uma federação de tais sistemas.A cloud gateway is a system that enables remote communication from and to devices or field gateways from several different sites across public network space, typically towards a cloud-based control and data analysis system, a federation of such systems. Em alguns casos, um gateway em nuvem pode imediatamente facilitar o acesso a dispositivos de uso especial a partir de terminais, como tablets ou telefones.In some cases, a cloud gateway may immediately facilitate access to special-purpose devices from terminals such as tablets or phones. No contexto aqui discutido, "cloud" destina-se a referir-se a um sistema dedicado de processamento de dados que não está ligado ao mesmo site que os dispositivos anexados ou gateways de campo.In the context discussed here, “cloud” is meant to refer to a dedicated data processing system that is not bound to the same site as the attached devices or field gateways. Também numa Zona de Nuvem, as medidas operacionais impedem o acesso físico direcionado e não estão necessariamente expostas a uma infraestrutura de "nuvem pública".Also in a Cloud Zone, operational measures prevent targeted physical access and are not necessarily exposed to a “public cloud” infrastructure.

Um gateway em nuvem pode potencialmente ser mapeado numa sobreposição de virtualização de rede para isolar o gateway de nuvem e todos os seus dispositivos anexados ou gateways de campo de qualquer outro tráfego de rede.A cloud gateway may potentially be mapped into a network virtualization overlay to insulate the cloud gateway and all of its attached devices or field gateways from any other network traffic. O gateway em nuvem em si não é um sistema de controlo do dispositivo ou uma instalação de processamento ou armazenamento para dados do dispositivo; essas instalações interface com o portal de nuvem.The cloud gateway itself is not a device control system or a processing or storage facility for device data; those facilities interface with the cloud gateway. A zona de gateway de nuvens inclui o gateway de nuvens em si, juntamente com todos os gateways de campo e dispositivos direta ou indiretamente ligados a ele.The cloud gateway zone includes the cloud gateway itself along with all field gateways and devices directly or indirectly attached to it. A borda da zona é uma área de superfície distinta onde todos os partidos externos comunicam através.The edge of the zone is a distinct surface area where all external parties communicate through.

A zona de serviçosThe services zone

Um "serviço" é definido para este contexto como qualquer componente ou módulo de software que esteja a interagir com dispositivos através de um portal de campo ou nuvem para recolha e análise de dados, bem como para comando e controlo.A “service” is defined for this context as any software component or module that is interfacing with devices through a field- or cloud gateway for data collection and analysis, as well as for command and control. Os serviços são mediadores.Services are mediators. Atuam sob a sua identidade em relação a gateways e outros subsistemas, armazenam e analisam dados, emitem autonomamente comandos a dispositivos baseados em informações ou horários de dados e expõem capacidades de informação e controlo a utilizadores finais autorizados.They act under their identity towards gateways and other subsystems, store and analyze data, autonomously issue commands to devices based on data insights or schedules and expose information and control capabilities to authorized end users.

Dispositivos de informação contra dispositivos especiaisInformation-devices versus special-purpose devices

Computadores, telefones e tablets são principalmente dispositivos de informação interativa.PCs, phones, and tablets are primarily interactive information devices. Os telefones e tablets estão explicitamente otimizados em torno da maximização da vida útil da bateria.Phones and tablets are explicitly optimized around maximizing battery lifetime. De preferência desligam-se parcialmente quando não interagem imediatamente com uma pessoa, ou quando não prestam serviços como tocar música ou guiar o seu proprietário para um determinado local.They preferably turn off partially when not immediately interacting with a person, or when not providing services like playing music or guiding their owner to a particular location. Do ponto de vista dos sistemas, estes dispositivos de tecnologias da informação estão a agir principalmente como proxies para as pessoas.From a systems perspective, these information technology devices are mainly acting as proxies towards people. São "actuadores de pessoas" que sugerem ações e "sensores de pessoas" a recolher informações.They are “people actuators” suggesting actions and “people sensors” collecting input.

Os dispositivos especiais, desde simples sensores de temperatura até linhas complexas de produção de fábrica com milhares de componentes no seu interior, são diferentes.Special-purpose devices, from simple temperature sensors to complex factory production lines with thousands of components inside them, are different. Estes dispositivos são muito mais alargados ao propósito e mesmo que forneçam alguma interface de utilizador, são em grande parte telescópios para interagir ou ser integrados em ativos no mundo físico.These devices are much more scoped in purpose and even if they provide some user interface, they are largely scoped to interfacing with or be integrated into assets in the physical world. Medem e reportam circunstâncias ambientais, giram válvulas, controlam servos, alarmes de som, interruptores de luzes e fazem muitas outras tarefas.They measure and report environmental circumstances, turn valves, control servos, sound alarms, switch lights, and do many other tasks. Ajudam a fazer um trabalho para o qual um dispositivo de informação é demasiado genérico, demasiado caro, demasiado grande ou demasiado frágil.They help to do work for which an information device is either too generic, too expensive, too large, or too brittle. O objetivo concreto dita imediatamente o seu desenho técnico, bem como o orçamento monetário disponível para a sua produção e operação de vida programada.The concrete purpose immediately dictates their technical design as well the available monetary budget for their production and scheduled lifetime operation. A combinação destes dois factores-chave limita o orçamento operacional disponível de energia, a pegada física e, portanto, as capacidades de armazenamento, computação e segurança disponíveis.The combination of these two key factors constrains the available operational energy budget, physical footprint, and thus available storage, compute, and security capabilities.

Se algo "correr mal" com dispositivos automatizados ou telecomandos, por exemplo, defeitos físicos ou defeitos lógicos de controlo a intrusões e manipulações não autorizadas do tipo.If something “goes wrong” with automated or remote controllable devices, for example, physical defects or control logic defects to willful unauthorized intrusion and manipulation. Os lotes de produção podem ser destruídos, os edifícios podem ser saqueados ou incendiados, e as pessoas podem ficar feridas ou mesmo morrer.The production lots may be destroyed, buildings may be looted or burned down, and people may be injured or even die. Esta é uma classe de danos totalmente diferente de alguém que está no limite de um cartão de crédito roubado.This is a whole different class of damage than someone maxing out a stolen credit card's limit. A barra de segurança para dispositivos que fazem as coisas moverem-se, e também para os dados de sensores que eventualmente resultam em comandos que fazem as coisas moverem-se, deve ser maior do que em qualquer cenário de e-commerce ou banca.The security bar for devices that make things move, and also for sensor data that eventually results in commands that cause things to move, must be higher than in any e-commerce or banking scenario.

Interações de dados de controlo de dispositivos e dispositivosDevice control and device data interactions

Os dispositivos de especial-uso conectados têm um número significativo de áreas de superfície de interação potenciais e padrões de interação, todos os quais devem ser considerados como uma estrutura para garantir o acesso digital a esses dispositivos.Connected special-purpose devices have a significant number of potential interaction surface areas and interaction patterns, all of which must be considered to provide a framework for securing digital access to those devices. O termo "acesso digital" é usado aqui para distinguir de quaisquer operações que são realizadas através da interação direta do dispositivo onde a segurança de acesso é fornecida através do controlo de acesso físico.The term “digital access” is used here to distinguish from any operations that are carried out through direct device interaction where access security is provided through physical access control. Por exemplo, colocar o dispositivo numa sala com uma fechadura na porta.For example, putting the device into a room with a lock on the door. Embora o acesso físico não possa ser negado usando software e hardware, podem ser tomadas medidas para impedir que o acesso físico conduza a interferências no sistema.While physical access cannot be denied using software and hardware, measures can be taken to prevent physical access from leading to system interference.

Ao explorar os padrões de interação, olhe para "controlo de dispositivos" e "dados do dispositivo" com o mesmo nível de atenção enquanto modela a ameaça.As you explore the interaction patterns, look at “device control” and “device data” with the same level of attention while threat modeling. O "controlo do dispositivo" pode ser classificado como qualquer informação que seja fornecida a um dispositivo por qualquer parte com o objetivo de alterar ou influenciar o seu comportamento em relação ao seu estado ou ao estado do seu ambiente.“Device control” can be classified as any information that is provided to a device by any party with the goal of changing or influencing its behavior towards its state or the state of its environment. Os "dados do dispositivo" podem ser classificados como qualquer informação que um dispositivo emite a qualquer outra parte sobre o seu estado e o estado observado do seu ambiente.“Device data” can be classified as any information that a device emits to any other party about its state and the observed state of its environment.

Realização de modelos de ameaça para a arquitetura de referência Azure IoTPerforming threat modeling for the Azure IoT reference architecture

A Microsoft usa a estrutura delineada anteriormente para fazer modelagem de ameaças para O Azure IoT.Microsoft uses the framework outlined previously to do threat modeling for Azure IoT. A secção seguinte utiliza o exemplo concreto da Azure IoT Reference Architecture para demonstrar como pensar sobre a modelação de ameaças para ioT e como lidar com as ameaças identificadas.The following section uses the concrete example of Azure IoT Reference Architecture to demonstrate how to think about threat modeling for IoT and how to address the threats identified. Este exemplo identifica quatro áreas principais de foco:This example identifies four main areas of focus:

  • Dispositivos e Fontes de Dados,Devices and Data Sources,
  • Transporte de Dados,Data Transport,
  • Processamento de dispositivos e eventos, eDevice and Event Processing, and
  • ApresentaçãoPresentation

Modelação de Ameaças para Azure IoT

O diagrama a seguir fornece uma visão simplificada da Arquitetura IoT da Microsoft utilizando um modelo de diagrama de fluxo de dados que é utilizado pela Ferramenta de Modelação de Ameaças da Microsoft:The following diagram provides a simplified view of Microsoft’s IoT Architecture using a Data Flow Diagram model that is used by the Microsoft Threat Modeling Tool:

Modelação de ameaças para Azure IoT usando a ferramenta de modelação de ameaças de MS

É importante notar que a arquitetura separa as capacidades do dispositivo e do gateway.It is important to note that the architecture separates the device and gateway capabilities. Esta abordagem permite ao utilizador alavancar dispositivos de gateway mais seguros: são capazes de comunicar com o gateway de nuvem usando protocolos seguros, o que normalmente requer um maior processamento de sobrecarga que um dispositivo nativo - como um termóstato - poderia fornecer por si próprio.This approach enables the user to leverage gateway devices that are more secure: they are capable of communicating with the cloud gateway using secure protocols, which typically requires greater processing overhead that a native device - such as a thermostat - could provide on its own. Na zona de serviços Azure, assuma que o Cloud Gateway é representado pelo serviço Azure IoT Hub.In the Azure services zone, assume that the Cloud Gateway is represented by the Azure IoT Hub service.

Fontes de dispositivos e dados/transporte de dadosDevice and data sources/data transport

Esta secção explora a arquitetura delineada anteriormente através da lente da modelação de ameaças e dá uma visão geral de como abordar algumas das preocupações inerentes.This section explores the architecture outlined previously through the lens of threat modeling and gives an overview of how to address some of the inherent concerns. Este exemplo centra-se nos elementos fundamentais de um modelo de ameaça:This example focuses on the core elements of a threat model:

  • Processos (sob o seu controlo e itens externos)Processes (both under your control and external items)
  • Comunicação (também chamada de fluxos de dados)Communication (also called data flows)
  • Armazenamento (também chamado de lojas de dados)Storage (also called data stores)

ProcessosProcesses

Em cada uma das categorias descritas na arquitetura Azure IoT, este exemplo procura mitigar uma série de ameaças diferentes em diferentes fases em que os dados/informações existem em: processo, comunicação e armazenamento.In each of the categories outlined in the Azure IoT architecture, this example tries to mitigate a number of different threats across the different stages data/information exists in: process, communication, and storage. Segue-se uma visão geral das mais comuns para a categoria "processo", seguida de uma visão geral de como estas ameaças poderiam ser melhor atenuadas:Following is an overview of the most common ones for the “process” category, followed by an overview of how these threats could be best mitigated:

Falsificação (S): Um intruso pode extrair material de chave criptográfica de um dispositivo, quer ao nível do software, quer ao nível de hardware, e subsequentemente aceder ao sistema com um dispositivo físico ou virtual diferente sob a identidade do dispositivo de onde o material chave foi retirado.Spoofing (S): An attacker may extract cryptographic key material from a device, either at the software or hardware level, and subsequently access the system with a different physical or virtual device under the identity of the device the key material has been taken from. Uma boa ilustração são controlos remotos que podem ligar qualquer TV e que são ferramentas de brincadeira populares.A good illustration is remote controls that can turn any TV and that are popular prankster tools.

Negação de Serviço (D): Um dispositivo pode tornar-se incapaz de funcionar ou comunicar interferindo com frequências de rádio ou fios de corte.Denial of Service (D): A device can be rendered incapable of functioning or communicating by interfering with radio frequencies or cutting wires. Por exemplo, uma câmara de vigilância que tivesse a sua ligação de energia ou rede intencionalmente destruída não pode reportar dados, de todo.For example, a surveillance camera that had its power or network connection intentionally knocked out cannot report data, at all.

Adulteração (T): Um intruso pode substituir parcial ou totalmente o software em execução no dispositivo, permitindo potencialmente que o software substituído aproveite a identidade genuína do dispositivo se o material chave ou as instalações criptográficas que guardam materiais-chave estarem disponíveis para o programa ilícito.Tampering (T): An attacker may partially or wholly replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program. Por exemplo, um intruso pode aproveitar o material de chave extraído para intercetar e suprimir dados do dispositivo na trajetória de comunicação e substituí-los por dados falsos que são autenticados com o material chave roubado.For example, an attacker may leverage extracted key material to intercept and suppress data from the device on the communication path and replace it with false data that is authenticated with the stolen key material.

Divulgação de informação (I): Se o dispositivo estiver a executar software manipulado, esse software manipulado pode potencialmente vazar dados para partes não autorizadas.Information Disclosure (I): If the device is running manipulated software, such manipulated software could potentially leak data to unauthorized parties. Por exemplo, um intruso pode aproveitar o material extraída para se injetar na via de comunicação entre o dispositivo e um controlador ou porta de entrada de campo ou porta de entrada de nuvem para sifonar informações.For example, an attacker may leverage extracted key material to inject itself into the communication path between the device and a controller or field gateway or cloud gateway to siphon off information.

Elevação do Privilégio (E): Um dispositivo que faça uma função específica pode ser forçado a fazer outra coisa.Elevation of Privilege (E): A device that does specific function can be forced to do something else. Por exemplo, uma válvula programada para abrir a meio caminho pode ser enganada para abrir todo o caminho.For example, a valve that is programmed to open half way can be tricked to open all the way.

ComponenteComponent AmeaçaThreat MitigaçãoMitigation RiscoRisk ImplementaçãoImplementation
DispositivoDevice SS Atribuir identidade ao dispositivo e autenticar o dispositivoAssigning identity to the device and authenticating the device Substituição do dispositivo ou parte do dispositivo por outro dispositivo.Replacing device or part of the device with some other device. Como sabe que está a falar com o dispositivo certo?How do you know you are talking to the right device? Autenticação do dispositivo, utilizando a Segurança da Camada de Transporte (TLS) ou IPSec.Authenticating the device, using Transport Layer Security (TLS) or IPSec. A infraestrutura deve suportar a utilização de teclas pré-partilhadas (PSK) nos dispositivos que não conseguem lidar com a criptografia assimétrica completa.Infrastructure should support using pre-shared key (PSK) on those devices that cannot handle full asymmetric cryptography. Alavancagem Azure AD, OAuthLeverage Azure AD, OAuth
TRIDTRID Aplique mecanismos de inviolável no dispositivo, por exemplo, tornando difícil a extração de chaves e outros materiais criptográficos do dispositivo.Apply tamperproof mechanisms to the device, for example, by making it hard to impossible to extract keys and other cryptographic material from the device. O risco é se alguém estiver a adulterar o dispositivo (interferência física).The risk is if someone is tampering the device (physical interference). Como podes ter a certeza, que o dispositivo não foi adulterado.How are you sure, that device has not been tampered with. A mitigação mais eficaz é uma capacidade de plataforma fidedigna (TPM) que permite armazenar chaves em circuitos especiais on-chip a partir dos quais as teclas não podem ser lidas, mas só podem ser usadas para operações criptográficas que usam a chave mas nunca divulgam a chave.The most effective mitigation is a trusted platform module (TPM) capability that allows storing keys in special on-chip circuitry from which the keys cannot be read, but can only be used for cryptographic operations that use the key but never disclose the key. Encriptação de memória do dispositivo.Memory encryption of the device. Gestão chave para o dispositivo.Key management for the device. Assinando o código.Signing the code.
EE Ter acesso ao controlo do dispositivo.Having access control of the device. Esquema de autorização.Authorization scheme. Se o dispositivo permitir que as ações individuais sejam executadas com base em comandos de uma fonte externa, ou mesmo sensores comprometidos, permite que o ataque execute operações não acessíveis de outra forma.If the device allows for individual actions to be performed based on commands from an outside source, or even compromised sensors, it allows the attack to perform operations not otherwise accessible. Ter regime de autorização para o dispositivoHaving authorization scheme for the device
Porta de campoField Gateway SS Autenticação da porta de entrada de campo para Cloud Gateway (por exemplo, baseado em cert, PSK ou Claim based.)Authenticating the Field gateway to Cloud Gateway (such as cert based, PSK, or Claim based.) Se alguém pode falsificar Field Gateway, então pode apresentar-se como qualquer dispositivo.If someone can spoof Field Gateway, then it can present itself as any device. TLS RSA/PSK, IPSec, RFC 4279.TLS RSA/PSK, IPSec, RFC 4279. Todas as mesmas preocupações de armazenamento e atestado de dispositivos em geral – o melhor caso é usar TPM.All the same key storage and attestation concerns of devices in general – best case is use TPM. 6 ExtensãoLowPAN para IPSec para suportar redes de sensores sem fios (WSN).6LowPAN extension for IPSec to support Wireless Sensor Networks (WSN).
TRIDTRID Proteger o Gateway de Campo contra adulteração (TPM?)Protect the Field Gateway against tampering (TPM?) Falsificar ataques que enganam o portal da nuvem pensando que está a falar com o gateway de campo pode resultar na divulgação de informação e adulteração de dadosSpoofing attacks that trick the cloud gateway thinking it is talking to field gateway could result in information disclosure and data tampering Encriptação de memória, TPM's, autenticação.Memory encryption, TPM’s, authentication.
EE Mecanismo de controlo de acesso para Field GatewayAccess control mechanism for Field Gateway

Aqui estão alguns exemplos de ameaças nesta categoria:Here are some examples of threats in this category:

Falsificação: Um intruso pode extrair material de chave criptográfico de um dispositivo, quer ao nível do software, quer ao nível do hardware, e posteriormente aceder ao sistema com um dispositivo físico ou virtual diferente sob a identidade do dispositivo do material chave de onde o material chave foi retirado.Spoofing: An attacker may extract cryptographic key material from a device, either at the software or hardware level, and subsequently access the system with a different physical or virtual device under the identity of the device the key material has been taken from.

Negação de Serviço: Um dispositivo pode tornar-se incapaz de funcionar ou comunicar interferindo com frequências de rádio ou fios de corte.Denial of Service: A device can be rendered incapable of functioning or communicating by interfering with radio frequencies or cutting wires. Por exemplo, uma câmara de vigilância que tivesse a sua ligação de energia ou rede intencionalmente destruída não pode reportar dados, de todo.For example, a surveillance camera that had its power or network connection intentionally knocked out cannot report data, at all.

Adulteração: Um intruso pode substituir parcial ou totalmente o software em execução no dispositivo, permitindo potencialmente que o software substituído aproveite a identidade genuína do dispositivo se o material chave ou as instalações criptográficas que guardam materiais chave disponíveis para o programa ilícito.Tampering: An attacker may partially or wholly replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program.

Adulteração: Uma câmara de vigilância que mostra uma imagem de espectro visível de um corredor vazio pode ser direcionada para uma fotografia de tal corredor.Tampering: A surveillance camera that’s showing a visible-spectrum picture of an empty hallway could be aimed at a photograph of such a hallway. Um sensor de fumo ou de incêndio pode estar a reportar que alguém segura um isqueiro debaixo dele.A smoke or fire sensor could be reporting someone holding a lighter under it. Em qualquer dos casos, o dispositivo pode ser tecnicamente totalmente confiável para o sistema, mas relata informações manipuladas.In either case, the device may be technically fully trustworthy towards the system, but it reports manipulated information.

Adulteração: Um intruso pode aproveitar o material de chave extraído para intercetar e suprimir dados do dispositivo na trajetória de comunicação e substituí-los por dados falsos que são autenticados com o material chave roubado.Tampering: An attacker may leverage extracted key material to intercept and suppress data from the device on the communication path and replace it with false data that is authenticated with the stolen key material.

Adulteração: Um intruso pode substituir parcial ou completamente o software em execução no dispositivo, permitindo potencialmente que o software substituído aproveite a identidade genuína do dispositivo se o material chave ou as instalações criptográficas que guardam materiais chave disponíveis para o programa ilícito.Tampering: An attacker may partially or completely replace the software running on the device, potentially allowing the replaced software to leverage the genuine identity of the device if the key material or the cryptographic facilities holding key materials were available to the illicit program.

Divulgação de informação: Se o dispositivo estiver a executar software manipulado, esse software manipulado pode potencialmente vazar dados para partes não autorizadas.Information Disclosure: If the device is running manipulated software, such manipulated software could potentially leak data to unauthorized parties.

Divulgação de informação: Um intruso pode aproveitar o material extraída para se injetar na via de comunicação entre o dispositivo e um controlador ou porta de entrada de campo ou porta de entrada de nuvem para sifonar informações.Information Disclosure: An attacker may leverage extracted key material to inject itself into the communication path between the device and a controller or field gateway or cloud gateway to siphon off information.

Negação de Serviço: O aparelho pode ser desligado ou transformado num modo em que a comunicação não é possível (o que é intencional em muitas máquinas industriais).Denial of Service: The device can be turned off or turned into a mode where communication is not possible (which is intentional in many industrial machines).

Adulteração: O dispositivo pode ser reconfigurado para funcionar num estado desconhecido do sistema de controlo (fora dos parâmetros de calibração conhecidos) e assim fornecer dados que possam ser mal interpretadosTampering: The device can be reconfigured to operate in a state unknown to the control system (outside of known calibration parameters) and thus provide data that can be misinterpreted

Elevação do Privilégio: Um dispositivo que faça uma função específica pode ser forçado a fazer outra coisa.Elevation of Privilege: A device that does specific function can be forced to do something else. Por exemplo, uma válvula programada para abrir a meio caminho pode ser enganada para abrir todo o caminho.For example, a valve that is programmed to open half way can be tricked to open all the way.

Negação de Serviço: O dispositivo pode ser transformado num estado em que a comunicação não é possível.Denial of Service: The device can be turned into a state where communication is not possible.

Adulteração: O dispositivo pode ser reconfigurado para funcionar num estado desconhecido do sistema de controlo (fora dos parâmetros de calibração conhecidos) e assim fornecer dados que possam ser mal interpretados.Tampering: The device can be reconfigured to operate in a state unknown to the control system (outside of known calibration parameters) and thus provide data that can be misinterpreted.

Falsificação/Adulteração/Repúdio: Se não estiver protegido (o que raramente acontece com os controlos remotos dos consumidores), um intruso pode manipular o estado de um dispositivo de forma anónima.Spoofing/Tampering/Repudiation: If not secured (which is rarely the case with consumer remote controls), an attacker can manipulate the state of a device anonymously. Uma boa ilustração são controlos remotos que podem ligar qualquer TV e que são ferramentas de brincadeira populares.A good illustration is remote controls that can turn any TV and that are popular prankster tools.

ComunicaçãoCommunication

Ameaças em torno da via de comunicação entre dispositivos, dispositivos e gateways de campo, e dispositivos e porta de entrada em nuvem.Threats around communication path between devices, devices and field gateways, and device and cloud gateway. A tabela a seguir tem algumas orientações em torno de tomadas abertas no dispositivo/VPN:The following table has some guidance around open sockets on the device/VPN:

ComponenteComponent AmeaçaThreat MitigaçãoMitigation RiscoRisk ImplementaçãoImplementation
Hub IoT do dispositivoDevice IoT Hub TIDTID D .D TLS (PSK/RSA) para encriptar o tráfego(D)TLS (PSK/RSA) to encrypt the traffic Escutas ou interferências na comunicação entre o dispositivo e o gatewayEavesdropping or interfering the communication between the device and the gateway Segurança no nível do protocolo.Security on the protocol level. Com protocolos personalizados, precisa descobrir como protegê-los.With custom protocols, you need to figure out how to protect them. Na maioria dos casos, a comunicação ocorre do dispositivo para o IoT Hub (o dispositivo inicia a ligação).In most cases, the communication takes place from the device to the IoT Hub (device initiates the connection).
Dispositivo para DispositivoDevice to Device TIDTID D .D TLS (PSK/RSA) para encriptar o tráfego.(D)TLS (PSK/RSA) to encrypt the traffic. Ler dados em trânsito entre dispositivos.Reading data in transit between devices. Adulterar os dados.Tampering with the data. Sobrecarga do dispositivo com novas ligaçõesOverloading the device with new connections Segurança no nível do protocolo (MQTT/AMQP/HTTP/CoAP.Security on the protocol level (MQTT/AMQP/HTTP/CoAP. Com protocolos personalizados, precisa descobrir como protegê-los.With custom protocols, you need to figure out how to protect them. A mitigação para a ameaça DoS é peer devices através de uma nuvem ou gateway de campo e fazê-los agir apenas como clientes em direção à rede.The mitigation for the DoS threat is to peer devices through a cloud or field gateway and have them only act as clients towards the network. O espreitante pode resultar numa ligação direta entre os pares depois de ter sido intermediado pelo gatewayThe peering may result in a direct connection between the peers after having been brokered by the gateway
Dispositivo de Entidade ExternaExternal Entity Device TIDTID Forte emparelhamento da entidade externa ao dispositivoStrong pairing of the external entity to the device Escutando a ligação ao dispositivo.Eavesdropping the connection to the device. Interferindo a comunicação com o dispositivoInterfering the communication with the device Emparelhar de forma segura a entidade externa ao dispositivo NFC/Bluetooth LE.Securely pairing the external entity to the device NFC/Bluetooth LE. Controlo do painel operacional do dispositivo (Físico)Controlling the operational panel of the device (Physical)
Gateway de nuvem de campoField Gateway Cloud Gateway TIDTID TLS (PSK/RSA) para encriptar o tráfego.TLS (PSK/RSA) to encrypt the traffic. Escutas ou interferências na comunicação entre o dispositivo e o gatewayEavesdropping or interfering the communication between the device and the gateway Segurança no nível do protocolo (MQTT/AMQP/HTTP/CoAP).Security on the protocol level (MQTT/AMQP/HTTP/CoAP). Com protocolos personalizados, precisa descobrir como protegê-los.With custom protocols, you need to figure out how to protect them.
Gateway cloud do dispositivoDevice Cloud Gateway TIDTID TLS (PSK/RSA) para encriptar o tráfego.TLS (PSK/RSA) to encrypt the traffic. Escutas ou interferências na comunicação entre o dispositivo e o gatewayEavesdropping or interfering the communication between the device and the gateway Segurança no nível do protocolo (MQTT/AMQP/HTTP/CoAP).Security on the protocol level (MQTT/AMQP/HTTP/CoAP). Com protocolos personalizados, precisa descobrir como protegê-los.With custom protocols, you need to figure out how to protect them.

Aqui estão alguns exemplos de ameaças nesta categoria:Here are some examples of threats in this category:

Negação de Serviço: Os dispositivos constrangidos estão geralmente sob ameaça do DoS quando ouvem ativamente ligações de entrada ou datagramas não solicitados numa rede, porque um intruso pode abrir muitas ligações em paralelo e não os servir ou servir lentamente, ou o dispositivo pode ser inundado com tráfego não solicitado.Denial of Service: Constrained devices are generally under DoS threat when they actively listen for inbound connections or unsolicited datagrams on a network, because an attacker can open many connections in parallel and not service them or service them slowly, or the device can be flooded with unsolicited traffic. Em ambos os casos, o dispositivo pode efetivamente tornar-se inoperável na rede.In both cases, the device can effectively be rendered inoperable on the network.

Falsificação, Divulgação de Informação: Dispositivos constrangidos e dispositivos de especial-uso têm muitas vezes instalações de segurança únicas, como a palavra-passe ou a proteção PIN, ou dependem totalmente da confiança na rede, o que significa que concedem acesso à informação quando um dispositivo está na mesma rede, e essa rede é muitas vezes protegida apenas por uma chave partilhada.Spoofing, Information Disclosure: Constrained devices and special-purpose devices often have one-for-all security facilities like password or PIN protection, or they wholly rely on trusting the network, meaning they grant access to information when a device is on the same network, and that network is often only protected by a shared key. Isto significa que quando o segredo partilhado para dispositivo ou rede é divulgado, é possível controlar o dispositivo ou observar dados emitidos a partir do dispositivo.That means that when the shared secret to device or network is disclosed, it is possible to control the device or observe data emitted from the device.

Falsificação: um intruso pode intercetar ou anular parcialmente a transmissão e falsificar o autor (homem no meio)Spoofing: an attacker may intercept or partially override the broadcast and spoof the originator (man in the middle)

Adulteração: um intruso pode intercetar ou anular parcialmente a transmissão e enviar informações falsasTampering: an attacker may intercept or partially override the broadcast and send false information

Divulgação de informação: um intruso pode escutar uma transmissão e obter informações sem autorização Negação de Serviço: um intruso pode bloquear o sinal de transmissão e negar a distribuição de informaçãoInformation Disclosure: an attacker may eavesdrop on a broadcast and obtain information without authorization Denial of Service: an attacker may jam the broadcast signal and deny information distribution

ArmazenamentoStorage

Cada dispositivo e gateway de campo tem alguma forma de armazenamento (temporário para a fila de dados, armazenamento de imagem do sistema operativo (SISTEMA).Every device and field gateway has some form of storage (temporary for queuing the data, operating system (OS) image storage).

ComponenteComponent AmeaçaThreat MitigaçãoMitigation RiscoRisk ImplementaçãoImplementation
Armazenamento de dispositivosDevice storage TRIDTRID Encriptação de armazenamento, assinatura dos registosStorage encryption, signing the logs Ler dados do armazenamento (dados PII), adulterar os dados da telemetria.Reading data from the storage (PII data), tampering with telemetry data. Adulteração de dados de controlo de comando em fila ou em cache.Tampering with queued or cached command control data. A adulteração de pacotes de configuração ou de atualização de firmware enquanto em cache ou em filas locais pode levar a que os componentes do SISTEMA e do SISTEMA sejam comprometidosTampering with configuration or firmware update packages while cached or queued locally can lead to OS and/or system components being compromised Encriptação, código de autenticação de mensagens (MAC) ou assinatura digital.Encryption, message authentication code (MAC), or digital signature. Sempre que possível, um forte controlo de acesso através de listas de controlo de acesso a recursos (ACLs) ou permissões.Where possible, strong access control through resource access control lists (ACLs) or permissions.
Imagem de SO do dispositivoDevice OS image TRIDTRID Adulteração com OS /substituição dos componentes de SOTampering with OS /replacing the OS components Divisória de SO só de leitura, imagem de SO assinada, EncriptaçãoRead-only OS partition, signed OS image, Encryption
Armazenamento field gateway (fila dos dados)Field Gateway storage (queuing the data) TRIDTRID Encriptação de armazenamento, assinatura dos registosStorage encryption, signing the logs Ler dados a partir do armazenamento (dados PII), adulterar os dados da telemetria, adulterar os dados de controlo de comando em fila ou em cache.Reading data from the storage (PII data), tampering with telemetry data, tampering with queued or cached command control data. Adulteração de pacotes de configuração ou atualização de firmware (destinados a dispositivos ou gateway de campo) enquanto cached ou em fila local pode levar a que os componentes do SISTEMA e/ou do sistema sejam comprometidosTampering with configuration or firmware update packages (destined for devices or field gateway) while cached or queued locally can lead to OS and/or system components being compromised BitLockerBitLocker
Imagem de Field Gateway OSField Gateway OS image TRIDTRID Adulteração com OS /substituição dos componentes de SOTampering with OS /replacing the OS components Divisória de SO só de leitura, imagem de SO assinada, EncriptaçãoRead-only OS partition, signed OS image, Encryption

Dispositivo e evento processamento/zona de gateway de nuvemDevice and event processing/cloud gateway zone

Um gateway em nuvem é um sistema que permite a comunicação remota de e para dispositivos ou gateways de campo de vários sites diferentes em todo o espaço da rede pública, tipicamente para um sistema de controlo e análise de dados baseado na nuvem, uma federação de tais sistemas.A cloud gateway is a system that enables remote communication from and to devices or field gateways from several different sites across public network space, typically towards a cloud-based control and data analysis system, a federation of such systems. Em alguns casos, um gateway em nuvem pode imediatamente facilitar o acesso a dispositivos de uso especial a partir de terminais, como tablets ou telefones.In some cases, a cloud gateway may immediately facilitate access to special-purpose devices from terminals such as tablets or phones. No contexto aqui discutido, a "nuvem" destina-se a referir-se a um sistema dedicado de processamento de dados que não está ligado ao mesmo local que os dispositivos anexados ou gateways de campo, e onde as medidas operacionais impedem o acesso físico direcionado, mas não é necessariamente a uma infraestrutura de "nuvem pública".In the context discussed here, “cloud” is meant to refer to a dedicated data processing system that is not bound to the same site as the attached devices or field gateways, and where operational measures prevent targeted physical access but is not necessarily to a “public cloud” infrastructure. Um gateway em nuvem pode potencialmente ser mapeado numa sobreposição de virtualização de rede para isolar o gateway de nuvem e todos os seus dispositivos anexados ou gateways de campo de qualquer outro tráfego de rede.A cloud gateway may potentially be mapped into a network virtualization overlay to insulate the cloud gateway and all of its attached devices or field gateways from any other network traffic. O gateway em nuvem em si não é um sistema de controlo do dispositivo ou uma instalação de processamento ou armazenamento para dados do dispositivo; essas instalações interface com o portal de nuvem.The cloud gateway itself is not a device control system or a processing or storage facility for device data; those facilities interface with the cloud gateway. A zona de gateway de nuvens inclui o gateway de nuvens em si, juntamente com todos os gateways de campo e dispositivos direta ou indiretamente ligados a ele.The cloud gateway zone includes the cloud gateway itself along with all field gateways and devices directly or indirectly attached to it.

Cloud gateway é principalmente uma peça de software construída sob medida funcionando como um serviço com pontos finais expostos aos quais o gateway de campo e os dispositivos se conectam.Cloud gateway is mostly custom built piece of software running as a service with exposed endpoints to which field gateway and devices connect. Como tal, deve ser concebido com segurança em mente.As such it must be designed with security in mind. Siga o processo SDL para a conceção e construção deste serviço.Follow SDL process for designing and building this service.

Zona de serviçosServices zone

Um sistema de controlo (ou controlador) é uma solução de software que interage com um dispositivo, ou um gateway de campo, ou gateway de nuvem para o efeito de controlar um ou vários dispositivos e/ou para recolher e/ou armazenar e/ou analisar dados do dispositivo para apresentação, ou propósitos de controlo subsequentes.A control system (or controller) is a software solution that interfaces with a device, or a field gateway, or cloud gateway for the purpose of controlling one or multiple devices and/or to collect and/or store and/or analyze device data for presentation, or subsequent control purposes. Os sistemas de controlo são as únicas entidades no âmbito desta discussão que podem facilitar imediatamente a interação com as pessoas.Control systems are the only entities in the scope of this discussion that may immediately facilitate interaction with people. As exceções são superfícies de controlo físico intermédio em dispositivos, como um interruptor que permite a uma pessoa desligar o dispositivo ou alterar outras propriedades, e para as quais não existe um equivalente funcional que possa ser acedido digitalmente.The exceptions are intermediate physical control surfaces on devices, like a switch that allows a person to turn off the device or change other properties, and for which there is no functional equivalent that can be accessed digitally.

As superfícies de controlo físico intermédio são aquelas em que a lógica que rege a lógica limita a função da superfície de controlo físico de modo a que uma função equivalente possa ser iniciada remotamente ou que possam ser evitados conflitos de entrada com entrada remota – tais superfícies de controlo intermédia estão conceptualmente ligadas a um sistema de controlo local que aproveita a mesma funcionalidade subjacente que qualquer outro sistema de controlo remoto a que o dispositivo pode ser ligado em paralelo.Intermediate physical control surfaces are those where governing logic constrains the function of the physical control surface such that an equivalent function can be initiated remotely or input conflicts with remote input can be avoided – such intermediated control surfaces are conceptually attached to a local control system that leverages the same underlying functionality as any other remote control system that the device may be attached to in parallel. As principais ameaças à computação em nuvem podem ser lidas na página Cloud Security Alliance (CSA).Top threats to the cloud computing can be read at Cloud Security Alliance (CSA) page.

Recursos adicionaisAdditional resources

Para obter mais informações, veja os seguintes artigos:For more information, see the following articles:

Ver tambémSee also

Para saber mais sobre a garantia de uma solução criada por um acelerador de solução IoT, consulte Secure your IoT deployment.To learn more about securing a solution created by an IoT solution accelerator, see Secure your IoT deployment.

Leia sobre a segurança do IoT Hub no Control access to IoT Hub no guia de desenvolvimento do IoT Hub.Read about IoT Hub security in Control access to IoT Hub in the IoT Hub developer guide.