Досконально о защите для Интернета вещей

Использование Интернета вещей (IoT) ставит перед предприятиями во всем мире уникальные проблемы безопасности, конфиденциальности и соответствия требованиям. В традиционных виртуальных технологиях эти вопросы связаны с использованием программного обеспечения и способами его внедрения. IoT имеет дело с проблемами, которые возникают на стыке виртуального и физического миров. Чтобы защитить решения IoT, нужно обеспечить безопасность подготовки устройств и их подключения к облаку, а также конфиденциальность данных в облаке во время обработки и хранения. Этому препятствует наличие устройств с ограниченными ресурсами, географическое распределение развертываний и большое количество используемых в решении устройств.

Из этой статьи вы узнаете, как ускорители решений Интернета вещей обеспечивают конфиденциальность и защиту облачного решения Интернета вещей. Ускорители решений — это полнофункциональное комплексное решение со встроенной на каждом уровне системой безопасности. В корпорации Майкрософт разработка безопасного программного обеспечения является частью стандартной практики, опирающейся на несколько десятилетий опыта Майкрософт в этой сфере. Поэтому мы создали жизненный цикл разработки защищенных приложений (SDL), фундаментальную методологию разработки, которая используется в сочетании со множеством служб безопасности уровня инфраструктуры. Среди этих служб платформа Operational Security Assurance (OSA), Центр Майкрософт по борьбе с цифровыми преступлениями, Центр безопасности Майкрософт и Центр Майкрософт по защите от вредоносных программ.

Ускорители решений содержат уникальные компоненты, благодаря которым подготовка и подключение устройств Интернета вещей и хранение данных на них становятся простыми, прозрачными и, самое главное, безопасными процедурами. В этой статье рассматриваются средства безопасности, предоставляемые ускорителями решений Интернета вещей Azure, а также описаны стратегии развертывания, которые обеспечивают безопасность, конфиденциальность и соответствие требованиям.

Введение

Интернет вещей (IoT) — это технология будущего, которая предлагает предприятиям моментальные и реальные возможности по сокращению затрат, повышению доходов и преобразованию бизнеса. Тем не менее многие компании не решаются развертывать IoT из-за проблем, связанных с безопасностью, конфиденциальностью и соответствием требованиям. Основной проблемой является уникальность инфраструктуры IoT, которая объединяет не только физический и виртуальный миры, но и свойственные этим мирам угрозы и риски. Безопасность IoT — это, в первую очередь, целостность кода, выполняющегося на устройствах, проверка подлинности пользователей и устройств, определение четких прав владения для устройств (в том числе данных, созданных этими устройствами), а также устойчивость к виртуальным и физическим атакам.

Кроме того, существует проблема конфиденциальности. Компаниям требуется прозрачность при сборе данных. То есть компании хотят знать, какие именно данные собираются и почему, кто может их просматривать, кто управляет доступом и т. д. Наконец, актуальными остаются проблемы обеспечения безопасности при использовании оборудования, а также вопросы поддержки отраслевых стандартов соответствия требованиям.

С учетом упомянутых задач (обеспечение безопасности, конфиденциальности, прозрачности и соответствия требованиям), выбор правильного поставщика решения IoT становится непростым решением. Комбинирование отдельных блоков программного обеспечения Интернета вещей и услуг, предоставляемых разными производителями, приводит к появлению проблем безопасности, конфиденциальности, прозрачности и соответствия требованиям. Эти проблемы иногда сложно даже определить, не говоря уже об их устранении. При выборе правильного поставщика программного обеспечения и служб Интернета вещей стоит ориентироваться на поставщиков, имеющих большой опыт управления службами из разных областей применения и географических регионов, которые при этом можно безопасно и прозрачно масштабировать. Кроме того, в пользу выбранного поставщика будет свидетельствовать солидный опыт в сфере разработки безопасного программного обеспечения, работающего на миллионах компьютеров во всем мире, а также способность оценивать масштаб угроз, связанных с использованием нового мира Интернета вещей.

Безопасная инфраструктура на всех уровнях

Инфраструктура Microsoft Cloud поддерживает более 1 000 000 000 клиентов в 127 странах и регионах. Опираясь на богатый опыт Майкрософт в сфере разработки, создания корпоративного программного обеспечения и управления крупнейшими веб-службами, Microsoft Cloud обеспечивает более высокий уровень безопасности, конфиденциальности, соответствия требованиям и методов устранения угроз, чем большинство пользователей может обеспечить самостоятельно.

Жизненный цикл разработки защищенных приложений (SDL) — это обязательный процесс разработки корпоративных решений, который предусматривает включение требований к безопасности в полный жизненный цикл программного обеспечения. Чтобы реализовать аналогичный уровень защиты в ходе производственной деятельности, SDL использует строгие стандарты обеспечения безопасности, на основе которых и была разработана платформа Operational Security Assurance (OSA) корпорации Майкрософт. Корпорация Майкрософт также сотрудничает со сторонними аудиторскими компаниями, которые проверяют выполнение обязательств по соответствию требованиям. Кроме того, корпорация Майкрософт расширяет свою деятельность по обеспечению безопасности, создавая такие передовые центры, как центр по борьбе с цифровыми преступлениями (Microsoft Digital Crimes Unit), Центр безопасности Майкрософт и Центр Майкрософт по защите от вредоносных программ.

Microsoft Azure — защищенная инфраструктура IoT для вашего бизнеса

Microsoft Azure предлагает комплексное облачное решение, которое включает постоянно растущую коллекцию интегрированных облачных служб (аналитика, машинное обучение, служба хранилища, служба безопасности, сетевые службы и веб-службы) и обеспечивает соответствующие отраслевым стандартам защиту и конфиденциальность данных. Стратегия Майкрософт предполагаемой бреши реализуется красной командой специалистов по безопасности программного обеспечения. Эта команда имитирует атаки и проверяет способность Azure обнаруживать новые угрозы, защищаться от них, а также ликвидировать последствия брешей. Команда Майкрософт реагирования на глобальные инциденты постоянно работает над минимизацией последствий атак и вредоносных действий. Действия команды регламентированы стандартными руководствами по управлению инцидентами, обмену данными и восстановлению. Кроме того, команда использует для сотрудничества с внутренними и внешними партнерами обнаруживаемые и прогнозируемые интерфейсы.

Системы Майкрософт обеспечивают непрерывное обнаружение и предотвращение атак (включая атаки, связанные с отказом обслуживания), регулярное проведение тестов на проникновение, а также предоставляют аналитические средства для выявления и устранения угроз. Система многофакторной идентификации обеспечивает пользователям дополнительную защиту при доступе к сети. Кроме того, корпорация Майкрософт предлагает средства управления доступом, мониторинга, защиты от вредоносных программ, поиска уязвимостей, исправления и управления конфигурациями. Эти средства можно использовать как на уровне приложения, так и на уровне поставщика узла.

Ускорители решений используют преимущества средств обеспечения безопасности и конфиденциальности, встроенных в платформу Azure и предоставляемых в рамках процессов SDL и OSA для безопасной разработки и эксплуатации программного обеспечения Майкрософт. Эти процедуры обеспечивают защиту инфраструктуры и сети, а также регулируют процедуры идентификации и управления, столь важные для безопасности любого решения.

Центр Интернета вещей Azure в рамках ускорителей решений Интернета вещей — это полностью управляемая служба, которая обеспечивает надежный и безопасный двусторонний обмен данными между устройствами Интернета вещей и службами Azure, включая машинное обучение Azure и Azure Stream Analytics, с помощью учетных данных для безопасного доступа к каждому устройству и управления доступом.

Чтобы оптимизировать использование средств обеспечения безопасности и конфиденциальности, встроенных в ускорители решений Интернета вещей Azure, в этой статье решение разбито на три блока.

Акселераторы решений Azure IoT

Безопасная подготовка и проверка подлинности устройств

Ускорители решений защищают используемые устройства с помощью уникального ключа удостоверения, который может использоваться в инфраструктуре Интернета вещей для обмена данными с работающим устройством. Этот процесс быстро и легко настраивается. Созданный ключ и идентификатор выбранного пользователем устройства вместе образуют токен, используемый для обмена данными между устройством и Центром Интернета вещей Azure.

Идентификаторы могут присваиваться устройствам во время производства (например, устанавливаться в аппаратный модуль системы безопасности) или могут использовать существующее фиксированное удостоверение в качестве прокси-сервера (например, серийные номера ЦП). Так как изменить данные для идентификации устройства непросто, важно, чтобы идентификаторы логических устройств предоставлялись в случае изменения базового оборудования, когда сами логические устройства не меняются. В некоторых случаях удостоверение присваивается устройству во время его развертывания (например, когда сертифицированный инженер физически настраивает новое устройство, не прерывая обмен данными с серверной частью решения). Реестр удостоверений Центра Интернета вещей Azure обеспечивает для решения безопасное хранение удостоверений устройств и ключей безопасности. Отдельные удостоверения устройств или группы удостоверений можно включать в список разрешений или блокировок, обеспечивая таким образом полный контроль над доступом к устройству.

Политики Центра Интернета вещей Azure в отношении управления доступом в облаке позволяют активировать или деактивировать любое удостоверение устройства, тем самым при необходимости исключая устройство из развертывания Интернета вещей. Такое включение и исключение устройств возможно благодаря наличию удостоверений.

Дополнительные средства обеспечения безопасности устройств:

  • Устройства не разрешают устанавливать нежелательные подключения. Все подключения и маршруты обрабатываются только в рамках исходящего трафика. Чтобы устройство могло получить команду от серверной части, оно должно само инициировать подключение для проверки любых команд, ожидающих обработки. После установления безопасного соединения между устройством и Центром Интернета вещей выполняется прозрачный обмен сообщениями между облаком и устройством.

  • Устройства устанавливают подключение или маршрутизацию только с известными службами (например, Центром Интернета вещей Azure), используемыми для пиринга.

  • Для авторизации и проверки подлинности на уровне системы используются удостоверения отдельных устройств. Это позволяет практически мгновенно отзывать учетные данные и разрешения на доступ.

Безопасное подключение

Надежный обмен данными — это важная характеристика любого решения IoT. Обеспечение своевременной и точной доставки команд устройствам с обратным получением данных осложняется тем, что устройства Интернета вещей подключены через Интернет или другие аналогичные сети, которые могут быть ненадежными. Центр Интернета вещей Azure обеспечивает надежный обмен данными между облаком и устройствами с помощью системы подтверждений в ответ на сообщения. Дополнительный уровень надежности при обмене данными достигается за счет кэширования сообщений в Центре Интернета вещей: на протяжении семи дней для данных телеметрии и двух дней для команд.

Для экономии ресурсов и выполнения операций в среде с ограниченными ресурсами очень важна эффективность. Центр Интернета вещей Azure поддерживает HTTPS (HTTP Secure), защищенную версию популярного протокола для эффективного обмена данными. Расширенный протокол управления очередью сообщений (AMQP) и MQTT, поддерживаемые Центром Интернета вещей Azure, предназначены не только для эффективного использования ресурсов, но и для надежной доставки сообщений.

Масштабируемость предполагает возможность безопасного взаимодействия с самыми разными устройствами. Центр Azure IoT обеспечивает безопасное подключение к устройствам с поддержкой протокола IP и без. Устройства с поддержкой протокола IP могут непосредственно обмениваться данными с Центром Интернета вещей через безопасное подключение. Устройства без поддержки IP имеют ограниченные ресурсы. Возможность подключения в них реализована только через протоколы передачи данных на короткие расстояния (Zwave, ZigBee и Bluetooth). Для сбора данных с таких устройств используется полевой шлюз, который выполняет преобразование протоколов для обеспечения безопасности при двустороннем обмене данными с облаком.

Дополнительные средства обеспечения безопасности при обмене данными:

  • Безопасность при обменен данными между устройствами и Центром Интернета вещей Azure (или между шлюзами и Центром Интернета вещей Azure) обеспечивается с помощью стандартного протокола TLS. Проверка подлинности в Центре Интернета вещей Azure выполняется с использованием протокола X.509.

  • Чтобы защитить устройства от нежелательных входящих подключений, Центр Интернета вещей Azure просто запрещает такие подключения. Все подключения инициирует само устройство.

  • А пока это не произошло, Центр Интернета вещей Azure надежно хранит отправленные устройству сообщения. Эти команды хранятся два дня, в течение которых устройства могут нерегулярно устанавливать подключения из-за проблем с питанием или подключением, чтобы получать эти команды. Центр Интернета вещей Azure хранит очередь таких сообщений для каждого устройства.

Безопасная обработка и хранение данных в облаке

Ускорители решений обеспечивают безопасность данных, используя разные методы, начиная от шифрования данных и заканчивая их обработкой в облаке. Решение позволяет гибко использовать дополнительное шифрование и управление ключами безопасности.

Используя Azure Active Directory (AAD) для проверки подлинности и авторизации пользователей, ускорители решений Интернета вещей Azure предоставляют для данных в облаке модель авторизации на основе политик, обеспечивая простое и проверяемое управление доступом. Эта модель также позволяет почти мгновенно отзывать доступ к данным в облаке, а также к устройствам, подключенным к ускорителям решений Интернета вещей Azure.

Отправленные в облако данные могут обрабатываться и храниться в рамках любого рабочего процесса, определяемого пользователем. Доступ к каждому блоку данных контролируется с помощью Azure Active Directory в зависимости от используемой службы хранилища.

Все ключи, используемые в инфраструктуре Интернета вещей, хранятся в защищенном облачном хранилище с возможностью продления, в случае если ключи должны быть повторно подготовлены. Данные могут храниться в Azure Cosmos DB или в базе данных SQL, что позволяет определить требуемый уровень безопасности. Кроме того, в Azure предусмотрены функции мониторинга и аудита всех операций доступа к данным, которые оповещают о попытках вторжения и несанкционированного доступа.

Заключение

Интернет вещей начинается с вещей, которые критически важны для работы предприятий. IoT может существенно повысить эффективность компании за счет снижения затрат, повышения дохода и преобразования бизнеса. Успех этого преобразования во многом зависит от выбора правильного поставщика программного обеспечения и услуг IoT. Это еще раз подчеркивает необходимость поиска поставщика, который не только сможет катализировать это преобразование благодаря пониманию бизнес-требований и потребностей, но также будет предоставлять услуги и программное обеспечение, специально разработанное с учетом требований к безопасности, конфиденциальности, прозрачности и соответствию требованиям. Корпорация Майкрософт имеет обширный опыт в разработке и развертывании безопасного программного обеспечения и служб. В новую эпоху Интернета вещей мы продолжаем занимать лидирующие позиции.

Ускорители решений разработаны со встроенными средствами защиты, которые обеспечивают безопасный мониторинг ресурсов для повышения эффективности, производительности и рационализации, а также для применения расширенного анализа данных для преобразования бизнеса. Такой многоуровневый подход к обеспечению безопасности, включающий разные средства защиты и конструктивные шаблоны, позволяет ускорителям решений развернуть инфраструктуру, которой можно доверить преобразование вашего бизнеса.

Дополнительные сведения

Все ускорители решений создают экземпляры служб Azure, например:

  • Центр Интернета вещей Azure — это шлюз, который обеспечивает подключение между облаком и устройствами. Вы можете изменять количество подключений к центру до миллионов, по-прежнему обрабатывая большие объемы данных с помощью функции проверки подлинности для каждого устройства, помогающей защитить решение.

  • Azure Cosmos DB: масштабируемая, полностью индексированная служба базы данных для частично структурированных данных, которая управляет метаданными для поставляемых устройств, таких как атрибуты, конфигурация и свойства безопасности. Azure Cosmos DB обеспечивает высокую производительность и пропускную способность при обработке, индексирование данных без использования схем, а также полнофункциональный интерфейс SQL-запросов.

  • Azure Stream Analytics— потоковая обработка в режиме реального времени обеспечивает быстрое развертывание и внедрение бюджетных аналитических решений для анализа актуальных данных, передаваемых устройствами, датчиками, инфраструктурой и приложениями. Данные, поступающие из этой полностью управляемой службы, можно масштабировать до любого объема, поддерживая высокую пропускную способность, небольшую задержку и устойчивость.

  • Службы приложений Azure. облачная платформа для создания мощных веб-и мобильных приложений, подключающихся к данным в любом месте; в облаке или в локальной среде. Создавайте привлекательные мобильные приложения для iOS, Android и Windows. Выполняйте интеграцию с приложениями SaaS (приложения как услуга) и корпоративными приложениями со встроенной возможностью подключения при запуске к десяткам разных облачных служб и корпоративных приложений. Программируйте на предпочитаемом языке в интегрированной среде разработки (.NET, NodeJS, PHP, Python или Java), чтобы создавать веб-приложения и интерфейсы API еще быстрее.

  • Logic Apps. Logic Apps функция службы приложений Azure помогает интегрировать решение Интернета вещей в существующие бизнес-системы и автоматизировать процессы рабочих процессов. Приложения логики позволяют разработчикам проектировать запускаемые с помощью триггера рабочие процессы, а затем выполнять ряд действий (включая правила), в ходе которых используются мощные соединители для интеграции с бизнес-процессами. В приложениях логики реализована встроенная возможность подключения к обширной экосистеме SaaS, включающей облачные и локальные приложения.

  • Хранилище BLOB-объектов Azure— надежное и экономичное облачное хранилище для данных, отправляемых устройствами в облако.

Дальнейшие действия

Сведения о безопасности Центра Интернета вещей см. в статье Управление доступом к Центру Интернета вещей в руководстве для разработчиков.