构建物联网(IoT)解决方案涉及很多方面。安全性可能是任何计算机系统最重要的方面,但对于物联网来说尤其重要。每隔一段时间就会有关于物联网解决方案遭到破坏的新闻报道;例如,联网摄像头被黑客入侵以创建执行拒绝服务攻击的僵尸网络,或者联网汽车以危险方式被黑客入侵。无论特定的物联网解决方案用于什么目的,物联网解决方案的整体安全性都是一个极其重要的细节,从设计开始一直到实施、部署再到生产都要牢记在心。在设计任何物联网(IoT)解决方案时要牢记的安全方面之一是系统不同部分(物理和软件)之间的信任边界。IoT组件在设计物联网(IoT)架构时,解决方案将包含几个不同的组件。这些组件中的每一个都有不同的用途,它们都为设计和构建物联网解决方案提供构建块。这些是IoT解决方案的主要组件:设备现场网关云网关服务设备设备是连接到传感器和其他组件的单个IoT设备。这些设备提供了物联网的“物”部分。现场网关现场网关是一种设备或软件组件,充当云与一个或多个设备和/或其他现场网关之间的连接点。这些可用于通过在本地或本地网络和云上运行的组件之间提供单个连接点来提供额外的安全性。现场网关可以提供各种不同的功能,包括事件/消息通信聚合、消息或协议转换,或解决方案中的各种其他功能。称为边缘网关的设备也是现场网关的一种。边缘网关或边缘设备通过添加在本地运行云功能的能力来提供更高级的功能,更靠近其他设备以减少实时处理循环中的延迟。一些可以下推到边缘设备的云功能是机器学习、事件流处理或其他云功能。云网关云网关与现场网关非常相似,但是,它们不是在本地或在其他设备上本地运行,而是在云端运行。云网关可以通过在云端而不是本地运行来提供与现场网关类似的功能。服务服务组件是物联网系统后端其他组件的存储桶,例如RESTAPI、数据库或其他一些组件。这些服务可以在云端、本地或以混合方式运行;基本上在整个物联网解决方案中任何需要它们的地方。IoT解决方案信任区和边界所有IoT解决方案都是使用各种组件(上面列出的)构建的。在物联网解决方案的整体安全架构中,不同的组件将被隔离到不同的信任区域和边界中。这些不同的区域和边界提供基于物理和软件的隔离级别,以分隔解决方案的各个组件以进行保护。以下是信任区域和边界用于保护IoT解决方案的不同组件免受的一些不同事物的部分列表:身份欺骗事件数据篡改信息泄露分布式拒绝服务(DDOS)攻击特权提升漏洞提供信任区域和边界的分割,其中物联网(IoT)解决方案的不同方面通过安全性相互分离,以更安全的方式将每个方面与其他方面隔离开来。下面的物联网(IoT)信任区和边界图是一个很好的模型,可以开始使用它来可视化不同的信任区和它们之间的边界。以下是设计任何物联网安全架构时要牢记的主要信任区域:本地区域设备区域现场网关区域云网关区域私有网关和服务区域远程用户区域物联网信任区域和边界图信任区域之间要遵循的一般边界规则是每个区域之间有一个边界。这将通过相互隔离一定程度来帮助保护每个区域。在面向云工作时,它还有助于为每个更高区域增加安全性,以验证从其下方的较低区域到本地区域或本地组件的通信安全性。正如我们所看到的,该图列出了大多数区域之间的边界,除了设备区域和现场网关区域的分离。这样做的原因是设备区中的设备将直接与现场网关通信,因此它们可以聚合事件数据和/或提供其他网关功能。此图未在此处放置信任边界,但仍然可以在此处添加更高级别的分离,例如在此处添加信任边界,如果IoT解决方案需要,或者如果您只是想提高安全性以使事情正常进行比其他方式更安全。最后,如何设计IoT架构以及该解决方案的安全信任区和边界完全取决于您。本地区域本地区域是任何本地用户所在的区域。这可以是客户端计算机所在的本地或本地网络,甚至是靠近设备和现场网关的物理空间。保护该区域包括用户可以连接到系统并与之交互的物理和虚拟空间。从虚拟的角度来看,保护本地区域将包括保护最终用户连接和使用的计算机系统。这也意味着在“最小权限”模型中授予用户特定的访问权限,他们可以访问这些权限以执行其工作/职责,但不得超过必要的权限。从物理的角度来看,保护局部区域将涉及各种必要的物理安全措施。这可能意味着只需用钥匙或生物识别技术锁上门,就可以进入当地的物理区域。设备区设备区是物联网设备所在的区域。这包括设备周围的物理空间,以及设备连接到的本地网络(或多个本地网络)。本地网络为设备提供与系统其余部分通信的数字连接,并且可能包括互联网连接。由于连接和访问设备的物理和虚拟范围,设备的安全架构需要物理和数字保护。从虚拟的角度来看,保护设备区域将包括保护它们所连接的本地网络上的设备;包括可能集成到设备中的有线和无线连接。这包括使用加密密钥的通信,例如用于安全通信的SSL/TLS,以及其他加密和身份验证技术。从物理的角度来看,保护设备区域包括通过将设备锁定在安全箱中来保护设备,或保护进入设备所在房间或设施的通道。请记住,每个设备可能位于不同的位置,因此每个设备可能需要自己的安全设计,这与系统中使用的其他设备不同。现场网关区域现场网关区域是系统中使用的任何现场网关所在的区域。这可能意味着包含在与其他设备相同的信任边界内,或者甚至将现场网关置于单独的专用信任边界内。由于许多不同的设备可能位于物理上不同的设施或位置,因此可以在这些不同的物理设施或位置中使用多个现场网关。因此,在您的整个物联网安全架构中实际上可能有多个现场网关区域,以适应物联网设备与物联网解决方案的云组件之间的连接并促进它们之间的通信。从虚拟的角度来看,保护现场网关区域将涉及以类似于保护与物联网设备的有线或无线连接的方式保护现场网关设备。这将包括SSL/TLS加密通信,或与现场网关设备通信的其他设备和组件的一些其他安全验证。从物理的角度来看,保护现场网关区域将涉及以类似于保护设备区域内物联网设备的方式保护现场网关设备。这可能意味着将设备锁定在安全箱中,或保护对网关所在房间或设施的访问。请记住,这可能需要部署不同现场网关的多个不同设施或位置的安全性。云网关区域云网关区域是消息代理或消息队列所在的位置。IoT解决方案的消息代理将促进各种IoT设备与系统后端服务组件之间的通信。CloudGateway不是特定的数据库、存储或处理服务。云网关提供通信以从后端服务和解决方案中的设备获取数据。云网关区域可以位于公共云中;例如MicrosoftAzure或亚马逊AWS。但是,云网关区域也可以与IoT解决方案中的任何其他设备位于不同的网络和位置。在这种情况下,术语“云”用于指代提供操作措施以防止有针对性地物理访问该区域的做法。在当今的物联网环境中,这通常意味着物联网解决方案将使用驻留在MicrosoftAzure、亚马逊AWS或其他云提供商中的云组件来构建,但重要的是要记住,这可能意味着本地、本地环境或一些其他混合环境也是如此。保护云网关区域的虚拟连接通常是您计划使用此特定区域的主要安全表面区域。特别是如果架构依赖于MicrosoftAzure或AmazonAWS等云提供商来提供基于云的IoT消息代理服务。需要在区域内实施适当的通信加密和设备身份验证。每个特定的IoT消息代理服务都将有自己的要求和关于如何配置其安全性的文档。从物理角度来看,保护云网关区域的工作被卸载到云提供商,如MicrosoftAzure或亚马逊AWS。但是,如果云组件托管在本地或其他混合环境中,则需要将保护物理数据中心或其他设备的常用物理安全措施纳入物联网安全架构。网关和服务区网关和服务区是所有其他后端服务所在的地方。这将包括数据库、RESTAPI、与本地系统的混合连接,以及系统的任何其他后端组件。通常,会有多个网关和服务区域,具体取决于整个后端架构在云提供商和本地网络之间的分布方式。此外,这将主要由服务组成,但可能包括额外的消息代理/网关,以构建给定物联网和业务场景所需的系统架构。网关和服务区的安全性将根据集成到系统中的不同服务、组件和本地系统而有所不同。每个组件都可以实现自己的安全性。因此,在所谓的网关和服务区域的上下文中,可能存在一个甚至多个安全边界。远程用户区远程用户区是一个通用存储桶,其中包含解决方案的各个部分,这些解决方案为用户甚至第三方合作伙伴提供某种类型的远程或外部访问。这还可能包括IoT解决方案与任何集成的第三方服务之间的集成,以提供附加功能作为整体IoT架构的一部分。远程用户区域的安全性低于其他预定义区域。远程用户连接可能包括使用远程桌面(RDP)连接到WindowsVM、使用SSL/TLS访问最终用户Web应用程序或使用其他安全访问方法访问第三方。实际上,远程用户区为通信和集成到可能需要集成到IoT解决方案中的任何其他系统提供了后端区域。这可能包括那些第三方API或服务、最终用户对Web应用程序的访问或一些其他数据联合方案。结论威胁建模和将安全性设计到功能中的过程在任何软件解决方案中都很重要。虽然,随着更多独立组件的连接,它在物联网(IoT)解决方案中变得更加重要;每个都有自己的物理和数字攻击面来保护。因此,将IoT信任区和边界纳入IoT解决方案架构以确保在整个系统设计中构建适当的隔离和安全性非常重要。从规划之初就将信任区和边界的安全性纳入IoT解决方案架构也很重要,因为如果没有正确考虑和实施安全性错误,可能会对系统设计和业务运营造成灾难性后果。黑客攻击和安全漏洞会给任何软件系统带来重大风险,但物联网带来了一些独特的挑战,使其难以保护。这就是为什么在整个设计过程中牢记安全性非常重要的原因。希望本文有助于提高人们对组织如何更好地考虑将安全性设计为IoT解决方案功能的认识。英文原作者:ChrisPeachman
