Architektura zabezpečení pro řešení IoT

Při návrhu a návrhu řešení IoT je důležité porozumět potenciálním hrozbám a zahrnout vhodné ochrany. Když pochopíte, jak by mohl útočník ohrozit systém, pomůže vám to zajistit, aby byla od začátku zavedená vhodná omezení rizik.

Modelování hrozeb

Microsoft doporučuje použít proces modelování hrozeb jako součást návrhu řešení IoT. Pokud nejste obeznámeni s modelováním hrozeb a životním cyklem zabezpečeného vývoje, přečtěte si téma:

Zabezpečení v IoT

V rámci cvičení modelování hrozeb je užitečné rozdělit architekturu IoT na několik zón:

  • Zařízení
  • Brána pole
  • Cloudová brána
  • Service

Každá zóna má často vlastní požadavky na data a ověřování a autorizaci. Zóny můžete také použít k izolaci poškození a omezení dopadu zón s nízkou důvěryhodností na vyšší zóny důvěryhodnosti.

Každá zóna je oddělená hranicí důvěryhodnosti, která je znázorněna jako tečkovaná červená čára v následujícím diagramu. Představuje přechod dat z jednoho zdroje do druhého. Během tohoto přechodu mohou být data předmětem následujících hrozeb:

  • Falšování identity
  • Manipulace
  • Popírání odpovědnosti
  • Zveřejnění informací
  • Odepření služby
  • Zvýšení oprávnění

Další informace najdete v modelu STRIDE.

A diagram that shows the zones and trust boundaries in a typical IoT solution architecture.

Pomocí funkce STRIDE můžete modelovat hrozby pro každou komponentu v rámci každé zóny. V následujících částech jsou popsány jednotlivé komponenty a konkrétní aspekty zabezpečení a řešení, která by se měla zavést.

Zbývající část tohoto článku podrobněji popisuje hrozby a zmírnění rizik pro tyto zóny a komponenty.

Zóna zařízení

Prostředí zařízení je prostor kolem zařízení, kde je možný fyzický přístup a digitální přístup k zařízení v místní síti. Předpokládá se, že místní síť je odlišná a izolovaná od – ale potenciálně přemýšlená na – veřejný internet. Prostředí zařízení zahrnuje libovolnou bezdrátovou rádiovou technologii s krátkým dosahem, která umožňuje komunikaci mezi dvěma účastníky zařízení. Nezahrnuje žádnou technologii virtualizace sítě, která vytváří iluzi takové místní sítě. Nezahrnuje sítě veřejných operátorů, které vyžadují, aby všechna dvě zařízení komunikovala mezi veřejným síťovým prostorem, pokud by měla vstoupit do vztahu komunikace mezi dvěma účastníky.

Zóna brány pole

Brána pole je počítačový software zařízení, zařízení nebo počítačového softwaru pro obecné účely, který funguje jako povolení komunikace a potenciálně jako řídicí systém zařízení a centrum pro zpracování dat zařízení. Zóna brány pole zahrnuje samotnou bránu pole a všechna zařízení připojená k ní. Brány polí fungují mimo vyhrazené zařízení pro zpracování dat, obvykle jsou vázané na umístění, mohou podléhat fyzickému vniknutí a mají omezenou provozní redundanci. Brána pole je obvykle věcí, kterou útočník může fyzicky sabotovat, pokud získá fyzický přístup.

Brána pole se liší od směrovače provozu v tom, že má aktivní roli při správě přístupu a toku informací. Brána pole má dvě různé oblasti povrchu. Jedno čelí zařízením připojeným a představuje vnitřní část zóny. Ostatní čelí všem externím stranám a představuje okraj zóny.

Zóna cloudové brány

Cloudová brána je systém, který umožňuje vzdálenou komunikaci ze zařízení nebo bran polí nasazených ve více lokalitách. Cloudová brána obvykle umožňuje cloudový systém pro řízení a analýzu dat nebo federaci takových systémů. V některých případech může cloudová brána okamžitě usnadnit přístup k zařízením pro zvláštní účely z terminálů, jako jsou tablety nebo telefony. V zóně cloudové brány provozní opatření brání cílenému fyzickému přístupu a nemusí být nutně vystavené infrastruktuře veřejného cloudu.

Cloudová brána může být namapována na překryvnou virtualizaci sítě, aby se cloudová brána a všechna jeho připojená zařízení nebo brány polí od jakéhokoli jiného síťového provozu izolovaly. Samotná cloudová brána není řídicí systém zařízení ani zařízení pro zpracování nebo úložiště dat zařízení; rozhraní těchto zařízení s cloudovou bránou. Zóna cloudové brány zahrnuje samotnou cloudovou bránu spolu se všemi branami polí a zařízeními přímo nebo nepřímo připojenými k ní. Okraj zóny je jedinečná plocha, kterou komunikují všechny vnější strany.

Zóna služeb

Služba v tomto kontextu je libovolná softwarová komponenta nebo modul, které slouží k rozhraní se zařízeními prostřednictvím pole nebo cloudové brány. Služba může shromažďovat data ze zařízení a řídit je a řídit je. Služba je mediátor, který působí pod svou identitou vůči branám a dalším subsystémům, aby:

  • Ukládání a analýza dat
  • Vydávání příkazů pro zařízení na základě přehledů dat nebo plánů
  • Zpřístupnění informací a možností řízení autorizovaným koncovým uživatelům

Zařízení IoT

Zařízení IoT jsou často speciální zařízení, která se liší od jednoduchých teplotních senzorů až po komplexní výrobní linky výroby s tisíci komponent uvnitř. Mezi příklady možností zařízení IoT patří:

  • Měření a hlášení podmínek prostředí
  • Otočné ventily
  • Řízení servopohonů
  • Zvuk alarmů
  • Zapnutí nebo vypnutí světel

Účel těchto zařízení určuje technický návrh a dostupný rozpočet pro provoz výroby a plánované životnosti. Kombinace těchto faktorů omezuje dostupný rozpočet provozní energie, fyzickou stopu a dostupné úložiště, výpočetní prostředky a možnosti zabezpečení.

Mezi věci, které se můžou pokazit s automatizovaným nebo vzdáleně řízeným zařízením IoT, patří:

  • Fyzické vady
  • Kontrola vad logiky
  • Neautorizované vniknutí a manipulace s nimi.

Následky těchto selhání mohou být závažné, například zničené výrobní pozemky, budovy vypálené nebo zranění a smrt. Proto je k dispozici panel s vysokým zabezpečením pro zařízení, která můžou přesouvat věci nebo hlásit data ze snímačů, která mají za následek příkazy, které způsobují přesun věcí.

Interakce ovládacích prvků zařízení a dat zařízení

Připojení speciálních zařízení mají významný počet potenciálních prostorů interakce a vzorů interakce, z nichž všechny musí být považovány za rámec pro zabezpečení digitálního přístupu k těmto zařízením. Digitální přístup odkazuje na operace prováděné prostřednictvím softwaru a hardwaru, nikoli přímého fyzického přístupu k zařízení. Fyzický přístup může být například řízen umístěním zařízení do místnosti se zámkem na dveřích. I když fyzický přístup nelze odepřít pomocí softwaru a hardwaru, je možné přijmout opatření, která brání fyzickému přístupu, aby vedlo k rušení systému.

Při zkoumání vzorů interakce se podívejte na řízení zařízení a data zařízení se stejnou úrovní pozornosti. Ovládací prvek zařízení odkazuje na všechny informace poskytnuté zařízením se záměrem změnit jeho chování. Data zařízení odkazují na informace, které zařízení vysílá jakékoli jiné straně o svém stavu a zjištěném stavu jeho prostředí.

Modelování hrozeb pro referenční architekturu Azure IoT

Tato část používá referenční architekturu Azure IoT k předvedení, jak se zamyslet nad modelováním hrozeb pro IoT a jak řešit zjištěné hrozby:

Diagram that shows the Azure IoT reference architecture.

Následující diagram poskytuje zjednodušené zobrazení referenční architektury pomocí modelu diagramu toku dat:

A data flow diagram derived from the Azure IoT reference architecture.

Architektura odděluje možnosti zařízení a brány polí. Tento přístup umožňuje používat bezpečnější zařízení brány polí. Zařízení brány pole můžou komunikovat s cloudovou bránou pomocí zabezpečených protokolů, které obvykle vyžadují větší výpočetní výkon než jednoduché zařízení, jako je termostat, může poskytovat samostatně. V zóně služeb Azure v diagramu je služba Azure IoT Hub cloudovou bránou.

Na základě dříve popsané architektury ukazují následující části některé příklady modelování hrozeb. Příklady se zaměřují na základní prvky modelu hrozeb:

  • Procesy
  • Komunikace
  • Úložiště

Procesy

Tady je několik příkladů hrozeb v kategorii procesů. Hrozby jsou rozdělené do kategorií na základě modelu STRIDE:

Falšování identity: Útočník může extrahovat kryptografické klíče ze zařízení, a to buď na úrovni softwaru nebo hardwaru. Napadený pak pomocí těchto klíčů přistupuje k systému z jiného fyzického nebo virtuálního zařízení pomocí identity původního zařízení.

Odepření služby: Zařízení může být znemožněno fungování nebo komunikaci tím, že zasahuje do rádiových frekvencí nebo řezání drátů. Například sledovací kamera, která měla své napájení nebo síťové připojení záměrně vyklepané, nemůže vůbec hlásit data.

Manipulace: Útočník může software na zařízení částečně nebo úplně nahradit. Pokud jsou kryptografické klíče zařízení k dispozici pro kód útočníků, může pak použít identitu zařízení.

Manipulace: Kamera s dohledem, která ukazuje viditelný snímek prázdné chodby, by mohl být zaměřen na fotografii takového chodby. Senzor kouře nebo požáru může hlásit, že někdo pod ním drží světlejší. V obou případech může být zařízení technicky plně důvěryhodné vůči systému, ale hlásí manipulované informace.

Manipulace: Útočník může použít extrahované kryptografické klíče k zachycení a potlačení dat odesílaných ze zařízení a jeho nahrazení falešnými daty ověřenými odcizenými klíči.

Zpřístupnění informací: Pokud zařízení používá manipulovaný software, mohl by takový manipulovaný software potenciálně uniknout dat neoprávněným stranám.

Zpřístupnění informací: Útočník může k vložení kódu do komunikační cesty mezi bránou zařízení a bránou pole nebo cloudovou bránou použít extrahované kryptografické klíče.

Odepření služby: Zařízení je možné vypnout nebo převést do režimu, kdy komunikace není možná (což je úmyslné v mnoha průmyslových počítačích).

Manipulace: Zařízení je možné překonfigurovat tak, aby fungovalo v neznámém stavu řídicího systému (mimo známé parametry kalibrace), a proto poskytuje data, která mohou být nesprávně interpretována.

Zvýšení oprávnění: Zařízení, které dělá konkrétní funkci, může být nuceno provést něco jiného. Například ventil, který je naprogramován tak, aby otevíral polovinu cesty, může být ošidný tak, aby se otevřel celou cestu.

Falšování identity/ Manipulace/ Repudiation: Pokud není zabezpečeno (což je zřídka případ se vzdálenými ovládacími prvky uživatele), útočník může manipulovat se stavem zařízení anonymně. Dobrou ilustrací je dálkové ovládání, které může vypnout libovolnou televizi.

Následující tabulka ukazuje příklady zmírnění rizik na tyto hrozby. Hodnoty ve sloupci hrozeb jsou zkratky:

  • Falšování identity (S)
  • Manipulace (T)
  • Repudiation (R)
  • Zpřístupnění informací (I)
  • Odepření služby (D)
  • Zvýšení oprávnění (E)
Součást Hrozba Omezení rizik Riziko Implementace
Zařízení S Přiřazení identity k zařízení a jeho ověření Nahrazení zařízení nebo jeho části jiným zařízením Jak víte, že mluvíte se správným zařízením? Ověřování zařízení pomocí protokolu TLS (Transport Layer Security) nebo IPSec Infrastruktura by měla podporovat použití předsdíleného klíče (PSK) na zařízeních, která nemůžou zpracovat úplnou asymetrickou kryptografii. Použijte Microsoft Entra ID, OAuth.
TRID Na zařízení použijte mechanismy manipulace, například tím, že znesnadníte extrakci klíčů a dalších kryptografických materiálů ze zařízení. Riziko je, že někdo manipuluje se zařízením (fyzická interference). Jak jste si jisti, že zařízení nebylo manipulováno. Nejúčinnějším zmírněním rizik je důvěryhodný modul platformy (TPM). Čip TPM ukládá klíče ve speciálních obvodech na čipu, ze kterých se klíče nedají číst, ale dají se použít jenom pro kryptografické operace, které tento klíč používají. Šifrování paměti zařízení. Správa klíčů pro zařízení Podepsání kódu
E Řízení přístupu k zařízení. Schéma autorizace. Pokud zařízení umožňuje provádět jednotlivé akce na základě příkazů z vnějšího zdroje nebo dokonce ohrožených senzorů, umožní útoku provádět operace, které nejsou jinak přístupné. Schéma autorizace pro zařízení.
Field Gateway S Ověřování brány Pole ve službě Cloud Gateway (například na základě certifikátů, PSK nebo deklarace identity).) Pokud někdo může spoof Field Gateway, může se zobrazit jako jakékoli zařízení. TLS RSA/PSK, IPSec, RFC 4279. Obecně platí, že všechna stejná úložiště klíčů a ověření identity zařízení – nejlepším případem je použití čipu TPM. Rozšíření 6LowPAN pro IPSec pro podporu bezdrátových snímačů (WSN).
TRID Ochrana brány polí před manipulací (TPM) Útoky na falšování identity, které ošidí cloudovou bránu tím, že mluví s bránou polí, můžou vést k vyzrazení informací a manipulaci s daty. Šifrování paměti, čipy TPM, ověřování.
E Mechanismus řízení přístupu pro Field Gateway

Komunikace

Tady je několik příkladů hrozeb v kategorii komunikace. Hrozby jsou rozdělené do kategorií na základě modelu STRIDE:

Odepření služby: Omezená zařízení jsou obecně pod hrozbou DoS, když aktivně naslouchají příchozím připojením nebo nevyžádaným datovýmgramům v síti. Útočník může paralelně otevřít mnoho připojení a buď je nebude obsluhovat, nebo je pomalu obsluhovat, nebo zahltit zařízení nevyžádaným provozem. V obou případech může být zařízení v síti efektivně vykreslováno jako nefunkční.

Falšování identity, Zpřístupnění informací: Omezená zařízení a speciální zařízení mají často jedno pro všechny bezpečnostní zařízení, jako je ochrana heslem nebo PIN kódem. Někdy se zcela spoléhají na důvěru sítě a udělují přístup k informacím na libovolném zařízení ve stejné síti. Pokud je síť chráněná sdíleným klíčem, který se zveřejní, může útočník ovládat zařízení nebo sledovat data, která přenáší.

Falšování identity: Útočník může zachytit nebo částečně přepsat vysílání a falšování identity původce.

Manipulace: Útočník může zachytit vysílání nebo částečně přepsat a odeslat falešné informace.

Zpřístupnění informací: Útočník může odposlouchát vysílání a získat informace bez autorizace.

Odepření služby: Útočník může zablokovat vysílání signálu a zakázat distribuci informací.

Následující tabulka ukazuje příklady zmírnění rizik na tyto hrozby:

Součást Hrozba Omezení rizik Riziko Implementace
IoT Hub zařízení TID (D) Šifrování provozu protokolem TLS (PSK/RSA) Odposlouchávání nebo rušení komunikace mezi zařízením a bránou Zabezpečení na úrovni protokolu. S vlastními protokoly musíte zjistit, jak je chránit. Ve většině případů probíhá komunikace ze zařízení do IoT Hubu (zařízení inicializuje připojení).
Zařízení do zařízení TID (D) Tls (PSK/RSA) pro šifrování provozu Čtení přenášených dat mezi zařízeními Manipulace s daty Přetížení zařízení novými připojeními Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP). S vlastními protokoly musíte zjistit, jak je chránit. Zmírněním hrozby DoS je vytvoření partnerského vztahu zařízení přes cloudovou bránu nebo bránu polí a mít je jenom jako klienti v síti. Po zprostředkování partnerského vztahu brány může existovat přímé připojení mezi partnerskými vztahy.
Externí zařízení entity TID Silné párování externí entity se zařízením Odposlouchá připojení k zařízení. Zasahování komunikace se zařízením Bezpečné spárování externí entity se zařízením NFC/Bluetooth LE. Ovládání operačního panelu zařízení (fyzické).
Cloudová brána služby Field Gateway TID Tls (PSK/RSA) pro šifrování provozu Odposlouchávání nebo rušení komunikace mezi zařízením a bránou Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP). S vlastními protokoly musíte zjistit, jak je chránit.
Brána cloudu zařízení TID Tls (PSK/RSA) pro šifrování provozu Odposlouchávání nebo rušení komunikace mezi zařízením a bránou Zabezpečení na úrovni protokolu (MQTT/AMQP/HTTP/CoAP). S vlastními protokoly musíte zjistit, jak je chránit.

Úložiště

Následující tabulka ukazuje příklady zmírnění rizik pro hrozby úložiště:

Součást Hrozba Omezení rizik Riziko Implementace
Úložiště zařízení TRID Šifrování úložiště, podepisování protokolů Čtení dat z úložiště a manipulace s telemetrickými daty Manipulace s daty řízení příkazů ve frontě nebo v mezipaměti Manipulace s balíčky aktualizací konfigurace nebo firmwaru při místním ukládání do mezipaměti nebo ve frontě může vést k ohrožení zabezpečení operačního systému nebo systémových komponent. Šifrování, ověřovací kód zprávy (MAC) nebo digitální podpis Pokud je to možné, silné řízení přístupu prostřednictvím seznamů řízení přístupu k prostředkům (ACL) nebo oprávnění.
Image operačního systému zařízení TRID Manipulace s operačním systémem /nahrazení komponent operačního systému Oddíl operačního systému jen pro čtení, podepsaná image operačního systému, šifrování
Field Gateway Storage (řazení dat do fronty) TRID Šifrování úložiště, podepisování protokolů Čtení dat z úložiště, manipulace s telemetrickými daty, manipulace s daty řízení příkazů ve frontě nebo mezipaměti Manipulace s balíčky aktualizací konfigurace nebo firmwaru (určenými pro zařízení nebo bránu polí) při místním ukládání do mezipaměti nebo ve frontě může vést k ohrožení operačního systému nebo systémových komponent. BitLocker
Image operačního systému služby Field Gateway TRID Manipulace s operačním systémem /nahrazení komponent operačního systému Oddíl operačního systému jen pro čtení, podepsaná image operačního systému, šifrování

Další kroky

Další informace o zabezpečení IoT najdete tady: