IIC Endpoint Xavfsizlik bo'yicha eng yaxshi amaliyotlar

Yaqinda Sanoat Internet Konsorsiumi o'zlarining Endpoint uchun tavsiya etilgan xavfsizlik bo'yicha eng yaxshi amaliyotlari bilan qiziq bir hujjatni chiqazdilar.

Barbara IoT har doim bunday tashabbuslar bilan hayajonlanadi, chunki biz IoT xavfsizligini ta'minlash uchun juda ko'p ish qilish kerakligiga ishonamiz va qurilma hozirgi paytda IoT qiymat zanjirida mavjud bo'lgan eng zaif aloqa hisoblanadi. Va biz bilganimizdek, zanjir eng zaif bo'g'in kabi kuchli, shuning uchun uni himoya qilish uchun asboblar kerak bo'ladi (agar u hali mavjud bo'lmasa).

Ushbu maqola IIC tavsiyalarining asoslarini ko'rib chiqadi va ularni IoT qurilmalarining hayot aylanishi uchun xavfsiz echim bo'lgan Barbara dasturiy platformasi bilan taqqoslaydi. Quyidagi jadvalda muvofiqlik matritsasi keltirilgan:

Ammo batafsil ma'lumotga kiraylik.

Xavfsizlik darajasi:

IIC, IEC 62443 3-3 da belgilanganidek, xavfsizlikning asosiy darajasi (SLB), xavfsizlik darajasi yaxshilangan (SLE) va xavfsizlik darajasi kritik (SLC) ni belgilaydi. Asosiy daraja "kam resurslarga ega oddiy vositalardan foydalangan holda qasddan buzilish" dan himoya qiladi. Yaxshilangan daraja bizning tizimimizni "o'rtacha manbalarga ega bo'lgan murakkab vositalardan" himoya qiladi. Kritik daraja "keng manbalarga ega bo'lgan murakkab vositalarni" himoya qilishni ta'minlaydi. Ilovaga va holatlarga qarab, siz o'zingizning so'nggi nuqtangizni tegishli xavfsizlik darajasi bilan himoya qilishingiz kerak.

Ushbu xavfsizlik darajalariga asoslanib, IIC ochiq standartlarga asoslangan va xavfsiz deb hisoblanishi uchun ko'p sotuvchi va ko'p platformali so'nggi nuqtalar o'rtasida o'zaro ishlashi kerak bo'lgan uchta xil arxitekturani taklif qiladi.

IIC taklif qilingan me'morchilik

Keling, ushbu tarkibiy qismlarning har birini batafsil ko'rib chiqaylik va Barbara Software Platform dasturining IIC ko'rsatmalariga qanday muvofiq kelishini bilib olaylik.

Ishonchning ildizi:

Ishonchning ildizi (RoT) har bir so'nggi nuqta xavfsizligi uchun asos bo'lib, dasturiy ta'minot va apparat identifikatori va yaxlitligini oxirgi nuqta identifikatsiyasi, attestatsiyasi kabi xususiyatlarni ta'minlaydi. Siz tasavvur qilganingizdek, Ishonch ildizi kabi yakuniy nuqta shunchalik kuchli bo'ladi, shuning uchun ishonch ishonchini amalga oshirish majburiydir.

Xususan, IICning ta'kidlashicha, yaxshilangan va tanqidiy xavfsizlik darajalari uchun Ishonchning ildizi apparat asosida amalga oshirilishi kerak. IIC tavsiyalariga rioya qilish uchun biz to'liq qarshilikka ega bo'lgan maxsus xavfsizlik xavfsizligi chipini (yoki shunga o'xshash) talab qilishimiz mumkin.

Ishonchning ildiziga kelsak, Barbara dasturiy platformasi ishonchning ildizini mustahkamlash uchun barcha xavfsizlik xususiyatlarini birlashtiradi. Bizning dasturiy ta'minotimiz shaxsiy PKI (ochiq kalit kriptografiya standartlariga asoslangan ochiq kalit infratuzilmasi) dan foydalanadi va mijozning xohishiga ko'ra ishonchli platforma modullari bilan oson birlashishga imkon beradigan tegishli kancalarni ta'minlaydi.

Endpoint identifikatori:

Endpoint identifikatori xavfsizlikning ko'p funktsiyalarini yaratish uchun asosiy komponent hisoblanadi. IIC tavsiyalariga binoan, asosiy, yaxshilangan va tanqidiy darajalarni qamrab olish uchun PKI (Public Key Infrastructure) qo'llab-quvvatlashi majburiydir. Ichki yoki tashqi CA (sertifikat organi) dan sertifikatlar berish va boshqarish uchun ochiq standart sertifikatlarni boshqarish protokoli joriy qilinishi tavsiya etiladi.

Oldinroq aytilganidek, Barbara dasturiy platformasi PKCS-ga asoslangan PKI-ni o'z ichiga oladi (Freeipa, www.freeipa.org/). FreeIPA - bu identifikatsiya va autentifikatsiyalashning markazlashtirilgan yechimi bo'lib, markazlashtirilgan autentifikatsiya, avtorizatsiya va hisob ma'lumotlarini taqdim etadi. IIC tomonidan talab qilinganidek, FreeIPA taniqli ochiq kodli komponentlar va standart protokollar ustiga o'rnatiladi.

Xavfsiz yuklash:

Ishonchli Boot tizimi kriptografik ravishda oxirgi quvvat manbai quvvatini himoya qilish yana asosiy, yaxshilangan va tanqidiy darajalar uchun talabdir. IICning eng yaxshi amaliyotiga ko'ra, bu PKCS (Ochiq kalitlar kriptografiyasi standartlari) asosida kriptografik xeshlarni amalga oshirishi mumkin. Buning yordamida biz kerakli kalitlarsiz dasturiy ta'minot qurilmani ishga tushira olishiga amin bo'lishimiz mumkin. Barbara dasturiy platformasi mantiqiy kuch bilan xavfsiz yuklashni qo'llab-quvvatlaydigan apparat panellariga joylashtirilishi mumkin.

Kriptografik xizmatlar va xavfsiz aloqalar:

Ma'lumotni uzatish paytida (harakatda), ma'lumotlarni saqlash (dam olish vaqtida) va ilovalarda (foydalanishda) kriptografiyadan foydalanish yuqorida aytib o'tilgan uchta xavfsizlik darajalariga (asosiy, yaxshilangan, muhim) aniq talabdir. Bunday himoyani ta'minlash uchun zarur bo'lgan xususiyatlar:

  • NIST / FIPS tomonidan tasdiqlangan standartlarga asoslangan kriptografik algoritmlar.
  • Asimmetrik va nosimmetrik shifr to'plamlari, hashing funktsiyalari va tasodifiy son. generatorlar etarlicha kuchli va PKCS (Umumiy kalitlar kriptografiyasi standartlari) ga asoslangan
  • Maydonlarni yangilashda mumkin bo'lgan zaifliklarni qoplash uchun kriptografik algoritmlarning qobiliyati.
  • Xavfsiz bo'lmagan kriptografiyadan foydalanishni istisno qilgan holda, amaliy dasturlarning kriptografik funktsiyalaridan foydalanishni boshqarish siyosati.
  • Kripto kalitlari va sertifikatlarning ko'p sotuvchi tizimlarda o'zaro ishlashi.

Barbara dasturiy platformasi kriptografik xizmatlarning sifatini kafolatlaydigan bir nechta funktsiyalarni amalga oshiradi. Sukut bo'yicha LUKS-dan foydalanadi, bu LINUX qattiq diskni shifrlash uchun standart hisoblanadi. LUKS ochiq, shuning uchun u osongina tekshirilishi mumkin va tavsiya etilganidek PKCS-ga asoslangan.

Ma'lumotlar tashish sohasida, Barbara OS shifrlangan transport (TLS va DTLS) orqali IoT standart dastur protokollaridan foydalangan holda aloqa qilish uchun zarur bo'lgan kutubxonalarni o'z ichiga oladi.

Buning ustiga, uchta aniqlangan darajalar uchun xavfsiz uchidan-oxirigacha aloqa stekkasi talab qilinadi. Ushbu aloqa stendi autentifikatsiyani, himoyalangan ulanishni, so'nggi xavfsizlik devori va xavfsiz transport protokollarini (TLS, DTLS, SSH…) o'z ichiga olishi kerak. Ushbu funktsiyalarning barchasi Barbara dasturiy platformasi tarkibiga kiritilgan, shuning uchun barcha Barbara aloqalari autentifikatsiya qilingan va shifrlangan.

Oxirgi nuqta konfiguratsiyasi va boshqaruvi

Operatsion tizimni, ilovalarni va / yoki qurilmaning konfiguratsiyasini yangilash uchun kengaytiriladigan tizim bir vaqtning o'zida milliondan ortiq so'nggi nuqtalarni yangilashni talab qilishi mumkinligini hisobga olib, Kengaytirilgan va Kritik darajalarga muvofiq bo'lishi kerak. Albatta, bu barcha operatsiyalar xavfsiz muhitda bajarilishi kerak, shu jumladan yangilanishga xizmat ko'rsatadigan mantiqiy ob'ekt va uni qabul qilishning oxirgi nuqtasi o'rtasida sertifikat asosida tekshirish.

Shu munosabat bilan Barbara dasturiy platformasida Barbara paneli mavjud. Barbara Panel - bu IoT joylashtirishning barcha so'nggi nuqtalarini boshqarish uchun server tomonidan echim. OTA (Over The Air) yangilanishini boshqarish, qurilmani kuzatish va konfiguratsiyani boshqarish uchun oddiy va markazlashtirilgan konsolni taqdim etadi. Ushbu xususiyatlarning barchasi eng yaxshi xavfsizlik muhitida taqdim etiladi.

Doimiy monitoring

IIC-ning ta'kidlashicha, so'nggi nuqtani real vaqtda kuzatib borish xavfsizlikning muhim darajasi uchun talabdir. Bu foydalanuvchiga konfiguratsiyada ruxsatsiz o'zgarishlarni boshqarish va oldini olish va ruxsat etilmagan amallarni aniqlash va oldini olish uchun tizim darajasida boshqarish imkoniyatini beradi, chunki tizimni buzishi mumkin bo'lgan xavfli shifrlardan foydalanish.

Barbara Panel foydalanuvchiga oldindan belgilangan xavfsizlik ogohlantirishlarini olish va o'z ogohlantirishlarini belgilash va ularni oxirgi nuqtalarga yo'naltirishga imkon beradigan ogohlantirish tizimini o'z ichiga oladi.

Siyosat va faoliyat boshqaruv paneli

Kritik darajaga muvofiq bo'lish uchun, oxirgi nuqtalarni masofadan boshqarish qobiliyati talab qilinadi. Tizim ma'muri samarali xavfsizlik doirasi sifatida ishlaydigan siyosatni tarmoq bo'ylab to'g'ri taqsimlanishini kafolatlaydigan tarzda siyosatni surish va amalga oshirish imkoniyatiga ega bo'lishi kerak.

Barbara Panel tarqatish menejerlariga so'nggi nuqtalarni nazorat qilish va olingan ma'lumotlarga asoslangan xavfsizlik siyosatini belgilash va surish imkonini beradi. Misol tariqasida, yangi qoidalar yuqorida aytib o'tilgan xavfsizlik devorida yangi shubhali aloqa namunalari aniqlanganda yangi qoidalarni joriy qilishi mumkin.

Tizim ma'lumotlari va hodisalarni boshqarish

Oldingi paragraf bilan bog'langan, voqealar jurnallarini yozib olish va jurnallardan olingan ma'lumotlarga asoslanib siyosatni aniqlash va tarqatish qobiliyati ham Kritik daraja uchun talabdir. Ushbu boshqaruv operatsiyalarini ma'lumotlar modellari yoki REST API yoki JSON kabi kengaytiriladigan formatlar yordamida bajarish tavsiya etiladi.

Barbara Software Platform-ga kirish tizimi tizim ma'murlariga xavfsizlik siyosatini ishlab chiqarishda foydalanilishi mumkin bo'lgan katta hajmdagi ma'lumotlarni taqdim etadi.

Xulosa

Barbara IoT xavfsiz mahsulotni yaratish uchun katta kuch sarflamoqda. Sanoat xavfsizligi nuqtai nazaridan eng talabchan stsenariylarda ishlatilishi mumkin bo'lgan mahsulot. IIC singari, biz bunday tashabbuslar ishonchni targ'ib qilish va ekotizimning barcha ishtirokchilariga imkoniyat berish orqali butun sanoat ekotizimiga yordam berishi mumkin deb o'ylaymiz.

Adabiyotlar:

  • http://www.iiconsortium.org/
  • IIC Endpoint Xavfsizlik bo'yicha eng yaxshi amaliyotlar; IIC: WHT: IN17: V1.0: PB: 20180312 Stiv Xanna, Srinivas Kumar, Din Viber.
  • https://github.com/guardianproject/luks/wiki
  • Foydalanuvchilar LUKS, Simone Bossi va Andrea Viskonti asosida to'liq diskni shifrlash to'g'risida nimalarni bilishlari kerak; Kriptografiya va kodlash laboratoriyasi (CLUB), Informatika bo'limi, Universiá degli Studi di Milano http://www.club.di.unimi.it/

Ushbu xabar dastlab barbaraiot.com saytida 2018 yil 6-iyun kuni nashr etilgan. Agar xohlasangiz va shunga o'xshash tarkibni olishni istasangiz, bizning Newsletimizga obuna bo'ling.