- PVSM.RU - https://www.pvsm.ru -
Представляем перевод серии статей, посвященных безопасности в IoT. Первый материал будет более теоретический и посвящен обзору возможностей Microsoft Azure IoT Suite.
1. Azure IoT Suite для тех, кто начинает с нуля [1].
2. Лучшие практики.
3. Архитектура системы безопасности.
4. Обеспечение безопасности развертывания IoT.
Примечание: далее повествование будет вестись от имени автора.
Azure IoT Suite — это комплексное решение со встроенными инструментами безопасности, которые обеспечивают защиту на всех уровнях. В корпорации Microsoft обеспечение безопасности ПО является неотъемлемой частью процесса разработки в соответствии с устоявшимися за десятилетия принципами конструирования надежного и защищенного ПО. Для этого используется жизненный цикл разработки защищенных приложений (SDL) — базовая методика разработки ПО, объединенная с набором служб безопасности уровня инфраструктуры (Operational Security Assurance (OSA), а также Microsoft Digital Crimes Unit, Microsoft Security Response Center и Центр Microsoft по защите от вредоносных программ).
В Azure IoT Suite доступны уникальные функции, которые позволяют просто, наглядно и, что важнее всего, безопасно подготавливать к работе устройства IoT, подключаться к ним и хранить поступающие от них данных. В этом материале мы рассмотрим компоненты безопасности и стратегии развертывания Azure IoT Suite, которые обеспечивают надежную защиту, конфиденциальность и соответствие требованиям.
«Интернет вещей» (IoT) — это технология, которая уже сегодня дает компаниям реальную возможность сократить расходы, увеличить прибыль и преобразовать свой бизнес. Тем не менее многие компании не решаются перейти к активному развертыванию технологий IoT, поскольку не чувствуют себя уверенно в вопросах безопасности, конфиденциальности и соответствия требованиям. Наибольшее беспокойство вызывает уникальная инфраструктура IoT, в которой цифровой мир объединяется с физическим. При этом, конечно, возрастают и риски, характерные для обоих миров. Безопасность инфраструктуры IoT зависит от целостности кода, выполняемого на устройствах. Такой код служит для проверки подлинности устройства и пользователей, определения принадлежности устройства (и генерируемых им данных), а также для защиты от сетевых и физических атак злоумышленников.
И наконец, вопрос конфиденциальности. Компаниям требуется прозрачность при передаче данных. Им нужно понимать, сбор каких данных осуществляется и почему, кто может их просматривать, кто управляет доступом и так далее. Не менее важны и общие вопросы, связанные с безопасностью работы оборудования и безопасностью операторов во время эксплуатации, а также проблемы соответствия отраслевым стандартам.
Учитывая многочисленные требования в отношении безопасности, конфиденциальности, прозрачности и соответствия требованиям, выбор поставщика решения IoT становится весьма сложной задачей. Если в одном решении объединены отдельные приложения и службы IoT разных поставщиков, то уязвимостей в плане безопасности, конфиденциальности и соответствия требованиям просто не избежать. Зачастую их невероятно сложно даже обнаружить, не говоря уже об устранении. Надежный поставщик программного обеспечения и служб IoT должен обладать обширным опытом в области разработки таких служб, которые охватывают различные уровни инфраструктуры, учитывают географическое местоположение и, кроме того, предоставляют инструменты для безопасного и прозрачного горизонтального масштабирования. Большим преимуществом для выбранного поставщика также будет многолетний опыт в области разработки защищенного ПО, которое установлено на миллиардах компьютеров во всем мире, а также умение быстро и профессионально оценивать и устранять угрозы, связанные с реализацией технологии «Интернет вещей».
Инфраструктуру Microsoft Cloud [2] используют свыше миллиарда клиентов в 127 странах. Наш богатый многолетний опыт разработки корпоративного программного обеспечения и поддержки крупнейших сетевых служб позволяет обеспечивать такой уровень безопасности, конфиденциальности, соответствия требованиям и устранения рисков, которого большинство клиентов вряд ли смогли бы достичь самостоятельно.
Жизненный цикл разработки защищенных приложений (SDL [3]) Microsoft позволяет принудительно включить все уровни компании в процесс разработки, цель которого — внедрение компонентов безопасности на протяжение всего жизненного цикла программного обеспечения. Чтобы обеспечить соответствие процессов эксплуатации всем требованиям безопасности, мы используем строгие политики безопасности, разработанные в рамках процесса Operational Security Assurance (OSA). Мы сотрудничаем со сторонними поставщиками услуг аудита, привлекая их для проверки соответствия всем требованиям и нормативам. Мы также принимаем надлежащие меры безопасности при создании центров компетенции (Microsoft Digital Crimes Unit, Microsoft Security Response Center и Центр Майкрософт по защите от вредоносных программ).
Microsoft Azure — это комплексное облачное решение, в котором постоянно расширяемый набор интегрированных облачных служб (аналитика, машинное обучение, хранение, безопасность, сетевые и веб-службы) объединен с ведущими отраслевыми технологиями обеспечения защиты и конфиденциальности данных. Наша стратегия [4] ожидания взлома реализуется силами «red team» экспертов по безопасности ПО. Имитируя атаки, они проверяют способность Azure обнаруживать возникающие угрозы, а также обеспечивать эффективную защиту и восстановление данных. Наши специалисты по глобальному реагированию на инциденты [5]работают круглосуточно и без выходных, помогая пользователям устранять последствия атак и вредоносных действий. Наши специалисты придерживаются установленных процедур по управлению инцидентами, информированию пользователей и ликвидации последствий атаки, взаимодействуя посредством максимально прозрачных и прогнозируемых каналов с партнерами как внутри организации, так и за ее пределами.
Наши системы непрерывно осуществляют обнаружение и предотвращение вторжений, блокируют атаки на службы, регулярно выполняют тесты на проникновение, а также широко используют аналитические инструменты, которые помогают своевременно выявлять и устранять угрозы. Многофакторная проверка подлинности [6] обеспечивает дополнительный уровень безопасности при доступе конечных пользователей к сети. Поставщикам приложений и удаленного доступа мы предлагаем полный контроль доступа, инструменты мониторинга и антивирусного сканирования уязвимостей, а также исправления и средства конфигурирования.
Microsoft Azure IoT Suite содержит встроенные компоненты обеспечения безопасности и конфиденциальности платформы Azure, а также процессы SDL и OSA — все это используется для безопасной разработки и эксплуатации программного обеспечения Microsoft. С помощью этих процедур реализованы защита инфраструктуры и сети, а также функции идентификации и управления, имеющие ключевое значение для обеспечения безопасности в рамках любого решения.
Компонент Azure IoT Hub [7] в составе IoT Suite [8] — это полностью управляемая служба, которая обеспечивает надежную защиту двустороннего обмена данными между устройствами IoT и службами Azure (например, службами машинного обучения Azure [9] и Azure Stream Analytics [10]) за счет использования индивидуальных учетных данных для каждого конкретного устройства и контроля доступа к нему.
Чтобы наиболее полно представить встроенные компоненты обеспечения безопасности и конфиденциальности Azure IoT Suite, мы рассматриваем программный комплекс в разрезе трех главных областей безопасности:
Azure IoT Suite обеспечивает защиту устройств на время их работы на местах. Для этого на каждом устройстве настроен уникальный ключ удостоверения, который инфраструктура использует для связи с работающим устройством. Настройка этой процедуры не отличается сложностью и не отнимает много времени. На базе ключа с идентификатором устройства, заданным пользователем, создается токен, который впоследствии используется во всех сеансах передачи данных между устройством и службой Azure IoT Hub.
Можно ассоциировать идентификаторы с устройствами еще на этапе изготовления (то есть добавить их в аппаратный доверенный модель) или использовать существующие фиксированные удостоверения (например, серийный номер ЦП) в качестве прокси. Изменить эти идентификационные данные устройства непросто, однако важно также задействовать логические идентификаторы. Таким образом, даже при изменении базовых аппаратных характеристик устройства его логические характеристики останутся прежними. В отдельных случаях сопоставление удостоверения устройства можно выполнять на этапе развертывания (то есть технический специалист физически настраивает новое устройство непосредственно в процессе обмена данными с серверной частью решения IoT). Реестр [11] удостоверений Azure IoT Hub предназначен для безопасного хранения удостоверений устройства, а также ключей безопасности решения. Добавляя в белый или черный список отдельные удостоверения устройств или группы удостоверений, можно полностью контролировать доступ к устройствам.
С помощью политик контроля доступа в облачной среде, реализованных в Azure IoT Hub, можно включать и отключать любое удостоверение устройства, а также при необходимости отменить сопоставление устройства с развертыванием IoT. Сопоставление и отмена сопоставления устройств выполняются с помощью удостоверений каждого конкретного устройства.
Дополнительно можно использовать следующие функции защиты устройства:
Непрерывный и устойчивый обмен данными имеет критически важное значение для любого решения IoT. Особенно важна непрерывность доставки команд и получения данных с устройства, учитывая, что устройства IoT подключаются через Интернет или другие аналогичные сети, и такое подключение может оказаться ненадежным. Используя систему отправки подтверждений для полученных сообщений, Azure IoT Hub обеспечивает необходимую устойчивость при обмене данными между облачной средой и устройством. Благодаря кешированию сообщений в службе IoT Hub повышается устойчивость при обмене сообщениями. Кешированные сообщения хранятся в течение семи (телеметрия) или двух дней (команды).
Крайне важно обеспечить эффективность при консервации ресурсов и работе в среде с ограниченными ресурсами. HTTPS (HTTP Secure) — это соответствующая отраслевым стандартам защищенная версия популярного протокола HTTP. В Azure IoT Hub протокол HTTPS отвечает за максимально эффективный обмен данными. Протоколы AMQP и MQTT, которые также поддерживаются службой Azure IoT Hub, не только обеспечивают эффективность в плане потребления ресурсов, но и гарантируют надежную доставку сообщений.
Для масштабирования требуется безопасное взаимодействие с самыми разными устройствами. Azure IoT Hub предоставляет защищенное соединение с устройствами, как поддерживающими, так и не поддерживающими протокол IP. Устройства с поддержкой протокола IP могут напрямую подключаться к службе IoT Hub и обмениваться с ней данными по защищенному соединению. Устройства без поддержки протокола IP используют ограниченный объем ресурсов и могут устанавливать соединение только с помощью протоколов обмена данными с небольшим радиусом действия (Z-Wave, ZigBee и Bluetooth).
Для агрегирования этих устройств и транслирования протокола используется полевой шлюз, который обеспечивает защищенный двусторонний обмен данными с облаком.
Дополнительно можно использовать следующие функции защиты соединения:
Azure IoT Hub гарантирует комплексную защиту на всех уровнях передачи данных — от шифрования до обработки в облаке. Служба обеспечивает должную гибкость и адаптивность, позволяя применять дополнительные методы шифрования ключей безопасности и расширенные функции управления ключами. Для проверки подлинности и авторизации пользователей в Azure IoT Hub используется Azure Active Directory (AAD). В Azure IoT Suite реализована модель авторизации данных в облаке на основе политик, которая упрощает управление доступом и предоставляет возможность проверки и аудита. Она позволяет практически мгновенно отзывать разрешения на доступ к данным в облаке и блокировать устройства, подключенные к Azure IoT Suite.
Передаваемые в облако данные можно обрабатывать и хранить в любом рабочем процессе, определенном пользователем. Azure Active Directory управляет доступом к различным разделам данных в зависимости от используемой службы хранения данных.
Все ключи, используемые инфраструктурой IoT, хранятся в защищенном облачном хранилище. Их можно менять в случае, если потребуется их повторное предоставление. Данные хранятся в базе данных DocumentDB [12] или в базах данных SQL [13], что позволяет определять требуемые уровни безопасности. Кроме того, в Azure имеются эффективные инструменты мониторинга и аудита доступа к данным, оповещающие пользователя о вторжениях или несанкционированном доступе.
Интернет вещей начинается с вещей. С тех самых вещей, которые наиболее важны для современных компаний. Технология IoT дает компаниям невероятные преимущества — сокращение расходов, увеличение прибыли и преобразование бизнеса. Успех такого преобразования во многом зависит от выбора надежного поставщика программного обеспечения и служб IoT. Иными словами, необходимо найти такого поставщика, который не просто сумеет понять все ваши потребности и поможет грамотно преобразовать ваш бизнес, но также предоставит приложения и службы, гарантирующие безопасность, защиту конфиденциальности, прозрачность и соответствие требованиям.
Microsoft Azure IoT Suite предлагает встроенные инструменты обеспечения безопасности и безопасного мониторинга ресурсов. Эти инструменты позволят повысить производительность и эксплуатационную эффективность, внедрить инновации и задействовать технологии углубленного анализа данных для преобразования бизнеса. Многоуровневый подход к обеспечению безопасности, различные компоненты безопасности и шаблоны архитектуры Azure IoT Suite — все это поможет развернуть инфраструктуру, которая станет надежным помощником компании в преобразовании бизнеса.
Все предварительно настроенные решения в рамках Azure IoT Suite создают следующие экземпляры служб Azure:
Мы также предлагаем ознакомиться с прочими функциями и возможностями предварительно настроенных решений IoT Suite:
Автор: Microsoft
Источник [22]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/microsoft/203431
Ссылки в тексте:
[1] Azure IoT Suite для тех, кто начинает с нуля: https://habrahabr.ru/company/microsoft/blog/313762/
[2] Microsoft Cloud: https://www.microsoft.com/enterprise/microsoftcloud/default.aspx#fbid=WzBsRQi6aGk
[3] SDL: https://www.microsoft.com/sdl/
[4] стратегия: https://azure.microsoft.com/blog/red-teaming-using-cutting-edge-threat-simulation-to-harden-the-microsoft-enterprise-cloud/
[5] глобальному реагированию на инциденты : https://www.microsoft.com/TrustCenter/Security/DesignOpSecurity
[6] Многофакторная проверка подлинности: https://azure.microsoft.com/en-us/documentation/articles/multi-factor-authentication/
[7] Azure IoT Hub: https://azure.microsoft.com/en-us/documentation/articles/iot-hub-what-is-iot-hub/
[8] IoT Suite: https://azure.microsoft.com/en-us/documentation/articles/iot-suite-what-is-azure-iot/
[9] машинного обучения Azure: https://azure.microsoft.com/en-us/documentation/articles/machine-learning-what-is-machine-learning/
[10] Azure Stream Analytics: https://azure.microsoft.com/en-us/documentation/articles/stream-analytics-introduction/
[11] Реестр: https://azure.microsoft.com/en-us/documentation/articles/iot-hub-devguide/
[12] DocumentDB: https://azure.microsoft.com/en-us/documentation/articles/documentdb-introduction/
[13] базах данных SQL: https://azure.microsoft.com/en-us/documentation/articles/sql-database-faq/
[14] Azure IoT Hub: https://azure.microsoft.com/services/iot-hub/
[15] Azure DocumentDB: https://azure.microsoft.com/services/documentdb/
[16] Azure Stream Analytics: https://azure.microsoft.com/services/stream-analytics/
[17] Azure App Services: https://azure.microsoft.com/services/app-service/
[18] Приложения логики: https://azure.microsoft.com/services/app-service/logic/
[19] Хранилище больших двоичных объектов: https://azure.microsoft.com/services/storage/
[20] Обзор функций прогнозного обслуживания в предварительно настроенных решениях: https://azure.microsoft.com/en-us/documentation/articles/iot-suite-predictive-overview/
[21] IoT Suite: часто задаваемые вопросы: https://azure.microsoft.com/en-us/documentation/articles/iot-suite-faq/
[22] Источник: https://habrahabr.ru/post/313762/
Нажмите здесь для печати.