Sicherheitsarchitektur für IoT-Lösungen
Wenn Sie eine IoT-Lösung entwerfen und entwerfen, ist es wichtig, die potenziellen Bedrohungen zu verstehen und geeignete Abwehrmaßnahmen einzuschließen. Wenn Sie wissen, wie ein Angreifer ein System kompromittiert, können Sie sicherstellen, dass die entsprechenden Gegenmaßnahmen von Anfang an vorhanden sind.
Bedrohungsmodellierung
Microsoft empfiehlt die Verwendung eines Bedrohungsmodellierungsprozesses als Teil Ihres IoT-Lösungsdesigns. Wenn Sie mit der Bedrohungsmodellierung und dem sicheren Entwicklungslebenszyklus nicht vertraut sind, lesen Sie:
Sicherheit im Internet der Dinge (IoT)
Es ist hilfreich, Ihre IoT-Architektur als Teil der Bedrohungsmodellierungsübung in mehrere Zonen aufzuteilen:
- Sicherungsmedium
- Bereichsgateway
- Cloudgateway
- Service
Jede Zone verfügt häufig über eigene Daten und Authentifizierungs- und Autorisierungsanforderungen. Sie können auch Zonen verwenden, um Schäden zu isolieren und die Auswirkungen von Zonen mit niedriger Vertrauensebene auf höhere Vertrauenszonen einzuschränken.
Jede Zone wird durch eine Vertrauensgrenze getrennt, die als gepunktete rote Linie im folgenden Diagramm dargestellt wird. Es stellt einen Übergang von Daten von einer Quelle zu einer anderen dar. Während dieses Übergangs könnten die Daten den folgenden Bedrohungen unterliegen:
- Spoofing
- Manipulation
- Verfälschung
- Veröffentlichung von Informationen
- Denial of Service
- Rechteerweiterungen
Weitere Informationen finden Sie im STRIDE-Modell.
Sie können STRIDE verwenden, um die Bedrohungen für jede Komponente innerhalb jeder Zone zu modellieren. In den nachstehenden Abschnitten werden die einzelnen Komponenten und jeweiligen Sicherheitsbedenken und sowie die Lösungen, für die gesorgt werden sollte, näher erläutert.
Im Re Standard der dieses Artikels werden die Bedrohungen und Entschärfungen für diese Zonen und Komponenten ausführlicher erläutert.
Gerätezone
Die Geräteumgebung ist der Raum um das Gerät, in dem physischer Zugriff und digitaler Netzwerkzugriff auf das Gerät möglich sind. Es wird angenommen, dass ein lokales Netzwerk von – aber potenziell überbrückt – vom öffentlichen Internet getrennt und isoliert wird. Die Geräteumgebung enthält alle funktechnischen Kurzstreckentechnologien, die peer-to-Peer-Kommunikation von Geräten ermöglichen. Es umfasst keine Netzwerkvirtualisierungstechnologie, die die Illusion eines solchen lokalen Netzwerks schafft. Es umfasst keine Netzwerke öffentlicher Betreiber, die erfordern, dass zwei Geräte über den öffentlichen Netzwerkraum kommunizieren können, wenn sie eine Peer-to-Peer-Kommunikationsbeziehung eingeben würden.
Feldgatewayzone
Ein Feldgateway ist ein Gerät, Anwendung oder allgemeine Servercomputersoftware, die als Kommunikationsaktivierer fungiert und potenziell als Gerätesteuerungssystem und Gerätedatenverarbeitungshub fungiert. Die Feldgatewayzone enthält das Feldgateway selbst und alle damit verbundenen Geräte. Feldgateways handeln außerhalb dedizierter Datenverarbeitungseinrichtungen, sind in der Regel standortgebunden, unterliegen potenziell physischen Angriffen und haben eingeschränkte Betriebsredundanz. Ein Feldgateway ist in der Regel eine Sache, die ein Angreifer physisch sabotieren könnte, wenn sie physischen Zugriff erhalten haben.
Ein Feldgateway unterscheidet sich von einem Datenverkehrsrouter darin, dass es eine aktive Rolle bei der Verwaltung des Zugriffs- und Informationsflusses hatte. Das Bereichsgateway hat zwei getrennte Oberflächenbereiche. Man sieht die angeschlossenen Geräte und stellt die Innenseite der Zone dar. Die anderen stellen sich allen externen Parteien gegenüber und sind der Rand der Zone.
Cloudgatewayzone
Ein Cloudgateway ist ein System, das die Remotekommunikation von und zu Geräten oder Feldgateways ermöglicht, die an mehreren Standorten bereitgestellt werden. Das Cloudgateway ermöglicht in der Regel ein cloudbasiertes Steuerungs- und Datenanalysesystem oder einen Verbund solcher Systeme. In einigen Fällen ist mit einem Cloudgateway der unmittelbare Zugriff von Terminals wie Tablets oder Smartphones auf Geräte für spezielle Zwecke möglich. In der Cloudgatewayzone verhindern betriebliche Maßnahmen den gezielten physischen Zugriff und sind nicht notwendigerweise für eine öffentliche Cloud-Infrastruktur verfügbar.
Ein Cloudgateway kann einer Netzwerkvirtualisierungsüberlagerung zugeordnet werden, um das Cloudgateway und alle angeschlossenen Geräte oder Feldgateways von jedem anderen Netzwerkdatenverkehr zu isolieren. Das Cloudgateway selbst ist kein Gerätesteuerungssystem oder eine Verarbeitungs- oder Speichereinrichtung für Gerätedaten; diese Einrichtungen schnittstelle mit dem Cloudgateway. Die Cloudgateway-Zone enthält das Cloudgateway selbst sowie alle Bereichsgateways und Geräte, die direkt oder indirekt damit verbunden sind. Der Rand der Zone ist eine unterschiedliche Fläche, über die alle externen Parteien kommunizieren.
Dienstzone
Ein Dienst in diesem Kontext ist jede Softwarekomponente oder jedes Modul, die über ein Feld oder Cloudgateway mit Geräten verbunden ist. Ein Dienst kann Daten von den Geräten sammeln und diese Geräte steuern und steuern. Ein Dienst ist ein Mediator, der unter seiner Identität gegenüber Gateways und anderen Subsystemen agiert, um:
- Speichern und Analysieren von Daten
- Ausgeben von Befehlen auf Geräten basierend auf Datenerkenntnissen oder Zeitplänen
- Verfügbarmachen von Informationen und Steuerungsfunktionen für autorisierte Endbenutzer
IoT-Geräte
IoT-Geräte sind häufig spezielle Geräte, die von einfachen Temperatursensoren bis hin zu komplexen Produktionslinien mit Tausenden von Komponenten in ihnen reichen. Beispiel für IoT-Gerätefunktionen:
- Messen und Melden von Umweltbedingungen
- Drehventile
- Steuern von Servos
- Sounding Alarme
- Ein- oder Ausschalten von Licht
Der Zweck dieser Geräte bestimmt ihr technisches Design und das verfügbare Budget für den Produktions- und geplanten Lebensdauerbetrieb. Die Kombination dieser Faktoren schränkt das verfügbare Betriebsenergiebudget, den physischen Fußabdruck und die verfügbaren Speicher-, Berechnungs- und Sicherheitsfunktionen ein.
Zu den Dingen, die mit einem automatisierten oder remote gesteuerten IoT-Gerät schiefgehen können, gehören:
- Physische Defekte
- Steuerungslogikfehler
- Unbefugte Eindringung und Manipulation.
Die Folgen dieser Misserfolge könnten schwer sein, z. B. zerstörte Produktionsmengen, niedergebrannte Gebäude oder Verletzungen und Tod. Daher gibt es eine hohe Sicherheitsleiste für Geräte, die Dinge verschieben oder Sensordaten melden, die zu Befehlen führen, die dazu führen, dass elemente verschoben werden.
Interaktionen der Gerätesteuerung und der Gerätedaten
Verbundene Geräte für spezielle Zwecke verfügen über eine erhebliche Anzahl von potenziellen Interaktionsoberflächen-Bereichen und Interaktionsmustern. Diese müssen alle berücksichtigt werden, um ein geeignetes Framework zum Schützen des digitalen Zugriffs auf diese Geräte bereitzustellen. Der digitale Zugriff bezieht sich auf Vorgänge, die über Software und Hardware durchgeführt werden, anstatt über direkten physischen Zugriff auf das Gerät. So könnte beispielsweise der physische Zugang gesteuert werden, indem das Gerät in einen Raum mit einer Sperre an der Tür versetzt wird. Der physische Zugriff kann zwar nicht mit Software und Hardware verhindert werden, aber es können Maßnahmen ergriffen werden, um zu verhindern, dass der physische Zugriff zu einem Eingriff in das System führt.
Während Sie die Interaktionsmuster untersuchen, wenden Sie die gleiche Aufmerksamkeit auf Gerätesteuerung und Gerätedaten an. Gerätesteuerung bezieht sich auf alle Informationen, die einem Gerät zur Verfügung gestellt werden, mit der Absicht, sein Verhalten zu ändern. Gerätedaten beziehen sich auf Informationen, die ein Gerät über seinen Zustand und den beobachteten Zustand seiner Umgebung an andere Parteien sendet.
Bedrohungsmodellierung für die Azure IoT-Referenzarchitektur
In diesem Abschnitt wird die Azure IoT-Referenzarchitektur verwendet, um zu veranschaulichen, wie Sie die Bedrohungsmodellierung für IoT berücksichtigen und wie Sie die identifizierten Bedrohungen behandeln:
Das folgende Diagramm bietet eine vereinfachte Ansicht der Referenzarchitektur mithilfe eines Datenflussdiagrammmodells:
Die Architektur trennt die Geräte- und Feldgatewayfunktionen. Mit diesem Ansatz können Sie sicherere Feldgatewaygeräte verwenden. Feldgatewaygeräte können mit dem Cloudgateway über sichere Protokolle kommunizieren, die in der Regel eine größere Verarbeitungsleistung erfordern als ein einfaches Gerät, z. B. ein Thermometer, alleine bereitstellen könnten. In der Azure Services-Zone im Diagramm ist der Azure IoT Hub-Dienst das Cloudgateway.
Basierend auf der zuvor beschriebenen Architektur zeigen die folgenden Abschnitte einige Beispiele für die Bedrohungsmodellierung. Die Beispiele konzentrieren sich auf die Kernelemente eines Bedrohungsmodells:
- Prozesse
- Kommunikation
- Storage
Prozesse
Hier sind einige Beispiele für Bedrohungen in der Kategorie "Prozesse". Die Bedrohungen werden basierend auf dem STRIDE-Modell kategorisiert:
Spoofing: Ein Angreifer kann kryptografische Schlüssel von einem Gerät extrahieren, entweder auf Software- oder Hardwareebene. Die angegriffenen Schlüssel greifen dann mithilfe der Identität des ursprünglichen Geräts auf das System von einem anderen physischen oder virtuellen Gerät aus zu.
Denial of Service: Ein Gerät kann so manipuliert werden, dass es nicht mehr funktionsfähig ist oder kommunizieren kann, indem Funkfrequenzen gestört oder Kabel durchschnitten werden. Beispielsweise kann eine Überwachungskamera, die ihre Energie- oder Netzwerkverbindung absichtlich ausgeworfen hat, keine Daten melden.
Manipulation: Ein Angreifer kann die Software auf dem Gerät teilweise oder vollständig ersetzen. Wenn die kryptografischen Schlüssel des Geräts für den Angreifercode verfügbar sind, kann es die Identität des Geräts verwenden.
Manipulation: Eine Überwachungskamera, die ein sichtbares Spektrumbild eines leeren Flurs zeigt, könnte auf ein Foto eines solchen Flurs ausgerichtet werden. Ein Rauch- oder Feuermelder kann ausgelöst werden, indem eine Person ein Feuerzeug darunter hält. In beiden Fällen ist das Gerät gegenüber dem System in technischer Hinsicht vollkommen vertrauenswürdig, meldet jedoch manipulierte Informationen.
Manipulation: Ein Angreifer kann extrahierte kryptografische Schlüssel verwenden, um vom Gerät gesendete Daten abzufangen und zu unterdrücken und durch falsche Daten zu ersetzen, die mit den gestohlenen Schlüsseln authentifiziert werden.
Offenlegung von Daten: Wenn auf dem Gerät manipulierte Software ausgeführt wird, können mit dieser Software unter Umständen Daten an unbefugte Personen weitergegeben werden.
Offenlegung von Informationen: Ein Angreifer kann extrahierte kryptografische Schlüssel verwenden, um Code in den Kommunikationspfad zwischen Dem Gerät und Feldgateway oder Cloudgateway einzufügen, um Informationen abzuspeichern.
Denial of Service: Das Gerät kann deaktiviert oder in einen Modus umgewandelt werden, in dem die Kommunikation nicht möglich ist (was in vielen Industriemaschinen beabsichtigt ist).
Manipulation: Das Gerät kann umkonfiguriert werden, damit es in einem für das Steuersystem unbekannten Zustand betrieben wird (außerhalb der bekannten Kalibrierungsparameter), und so Daten liefern, die fehlinterpretiert werden können.
Rechteerweiterungen: Ein Gerät, das eine bestimmte Funktion erfüllt, kann dazu gebracht werden, eine andere Funktion auszuführen. Für ein Ventil, das für das halbe Öffnen programmiert ist, kann beispielsweise erreicht werden, dass es ganz geöffnet wird.
Spoofing/Manipulation/Nichtanerkennung: Wenn ein Gerät nicht geschützt ist (bei Fernbedienungen für Verbraucher häufig der Fall), kann ein Angreifer den Zustand des Geräts anonym manipulieren. Eine gute Abbildung ist eine Fernbedienung, die jeden Fernseher ausschalten kann.
Die folgende Tabelle zeigt Beispielminderungen für diese Bedrohungen. Die Werte in der Bedrohungsspalte sind Abkürzungen:
- Spoofing (S)
- Manipulation (T)
- Ablehnung (R)
- Offenlegung von Informationen (I)
- Denial of service (D)
- Rechteerweiterung (E)
| Komponente | Bedrohung | Abhilfe | Risiko | Implementierung |
|---|---|---|---|---|
| Sicherungsmedium | E | Zuweisen der Identität zum Gerät und Authentifizieren des Geräts | Ersetzen des Geräts oder eines Teils der Geräts durch ein anderes Gerät. Wie wissen Sie, dass Sie mit dem richtigen Gerät sprechen? | Authentifizieren des Geräts per Transport Layer Security (TLS) oder IPSec. Infrastruktur sollte die Verwendung von preshared key (PSK) auf diesen Geräten unterstützen, die keine vollständige asymmetrische Kryptografie verarbeiten können. Verwenden Sie Die Microsoft Entra-ID, OAuth. |
| TRID | Wenden Sie überlistungssichere Mechanismen auf das Gerät an, indem Sie z. B. das Extrahieren von Schlüsseln und anderem kryptografischen Material von dem Gerät schwierig bis unmöglich machen. | Das Risiko besteht darin, dass das Gerät manipuliert wird (physischer Eingriff). Wie Sie sicher sind, dass das Gerät nicht manipuliert wurde. | Die effektivste Gegenmaßnahme ist ein vertrauenswürdiges Plattformmodul (TPM). Ein TPM speichert Schlüssel in speziellen On-Chip-Schaltkreisen, aus denen die Schlüssel nicht gelesen werden können, sondern nur für kryptografische Vorgänge verwendet werden können, die den Schlüssel verwenden. Speicherverschlüsselung für das Gerät. Schlüsselverwaltung für das Gerät. Signieren des Codes. | |
| E | Verwenden der Zugriffssteuerung für das Gerät, Autorisierungsschema | Wenn es für das Gerät zulässig ist, dass einzelne Aktionen basierend auf den Befehlen einer externen Quelle oder sogar über kompromittierte Sensoren durchgeführt werden, sind bei einem Angriff Vorgänge möglich, die sonst nicht zugänglich sind. | Ein Autorisierungsschema für das Gerät. | |
| Bereichsgateway | E | Authentifizieren des Bereichsgateways gegenüber dem Cloudgateway (z.B. zertifikat-, PSK- oder anspruchsbasiert) | Wenn das Bereichsgateway per Spoofing übernommen wird, kann sich der Angreifer als jedes Gerät ausgeben. | TLS RSA/PSK, IPSec, RFC 4279. Alle üblichen Schlüsselspeicherungs- und Nachweisaspekte von Geräten. Am besten ist TPM geeignet. 6LowPAN-Erweiterung für IPSec zur Unterstützung von Wireless Sensor Networks (WSN). |
| TRID | Schützen des Bereichsgateways vor Manipulation (TPM) | Spoofingangriffe, die das Cloudgateway dazu bringen, zu denken, dass es mit dem Feldgateway spricht, könnte dazu führen, dass Informationen offengelegt und Daten manipuliert werden. | Speicherverschlüsselung, TPMs, Authentifizierung. | |
| E | Zugriffssteuerungsmechanismus für Bereichsgateway |
Kommunikation
Hier sind einige Beispiele für Bedrohungen in der Kommunikationskategorie. Die Bedrohungen werden basierend auf dem STRIDE-Modell kategorisiert:
Denial of Service: Eingeschränkte Geräte befinden sich in der Regel unter DoS-Bedrohung, wenn sie aktiv auf eingehende Verbindungen oder unerwünschte Datagramme in einem Netzwerk lauschen. Ein Angreifer kann viele Verbindungen parallel öffnen und weder sie bedienen noch sie langsam bedienen oder das Gerät mit unerwünschtem Datenverkehr überfluten. In beiden Fällen kann dies dazu führen, dass das Gerät im Netzwerk nicht mehr betriebsbereit ist.
Spoofing, Offenlegung von Informationen: Eingeschränkte Geräte und spezielle Geräte verfügen häufig über eins für alle Sicherheitseinrichtungen wie Kennwort- oder PIN-Schutz. Manchmal vertrauen sie ganz auf das Netzwerk und gewähren Zugriff auf Informationen auf jedem Gerät im selben Netzwerk. Wenn das Netzwerk durch einen freigegebenen Schlüssel geschützt ist, der offengelegt wird, kann ein Angreifer das Gerät steuern oder die übertragenen Daten beobachten.
Spoofing: Ein Angreifer kann die Übertragung abfangen oder teilweise außer Kraft setzen und den Absender spoofen.
Manipulation: Ein Angreifer kann die Übertragung abfangen oder teilweise außer Kraft setzen und falsche Informationen senden.
Offenlegung von Informationen: Ein Angreifer kann eine Übertragung abhören und Informationen ohne Autorisierung abrufen.
Denial of Service: Ein Angreifer kann das Übertragungssignal beeinträchtigen und die Verteilung von Informationen verweigern.
Die folgende Tabelle zeigt Beispielminderungen für diese Bedrohungen:
| Komponente | Bedrohung | Abhilfe | Risiko | Implementierung |
|---|---|---|---|---|
| Vom Gerät zum IoT Hub | TID | (D)TLS (PSK/RSA) zum Verschlüsseln des Datenverkehrs | Abhören oder Beeinträchtigen der Kommunikation zwischen dem Gerät und dem Gateway | Sicherheit auf der Protokollebene. Bei benutzerdefinierten Protokollen müssen Sie ermitteln, wie der Schutz ermöglicht werden kann. In den meisten Fällen erfolgt die Kommunikation vom Gerät zum IoT Hub (Gerät initiiert die Verbindung). |
| Gerät zu Gerät | TID | (D)TLS (PSK/RSA) zum Verschlüsseln des Datenverkehrs | Lesen von Daten bei der Übermittlung zwischen Geräten. Manipulation der Daten. Überladen des Geräts mit neuen Verbindungen. | Sicherheit auf der Protokollebene (MQTT/AMQP/HTTP/CoAP). Bei benutzerdefinierten Protokollen müssen Sie ermitteln, wie der Schutz ermöglicht werden kann. Die Lösung für die DoS-Bedrohung ist das Peering von Geräten über ein Cloud- oder Bereichsgateway und die ausschließliche Nutzung als Clients gegenüber dem Netzwerk. Nach dem Gatewaybroker gibt es möglicherweise eine direkte Verbindung zwischen den Peers. |
| Von externer Entität zum Gerät | TID | Starke Kopplung der externen Entität mit dem Gerät | Abhören der Verbindung mit dem Gerät. Beeinträchtigen der Kommunikation mit dem Gerät. | Sichere Kopplung der externen Entität mit dem Gerät (NFC/Bluetooth LE). Steuern des Betriebsbereichs des Geräts (physisch). |
| Vom Bereichsgateway zum Cloudgateway | TID | TLS (PSK/RSA) zum Verschlüsseln des Datenverkehrs | Abhören oder Beeinträchtigen der Kommunikation zwischen dem Gerät und dem Gateway | Sicherheit auf der Protokollebene (MQTT/AMQP/HTTP/CoAP). Bei benutzerdefinierten Protokollen müssen Sie ermitteln, wie der Schutz ermöglicht werden kann. |
| Vom Gerät zum Cloudgateway | TID | TLS (PSK/RSA) zum Verschlüsseln des Datenverkehrs | Abhören oder Beeinträchtigen der Kommunikation zwischen dem Gerät und dem Gateway | Sicherheit auf der Protokollebene (MQTT/AMQP/HTTP/CoAP). Bei benutzerdefinierten Protokollen müssen Sie ermitteln, wie der Schutz ermöglicht werden kann. |
Storage
Die folgende Tabelle zeigt Beispielminderungen für speicherbedrohungen:
| Komponente | Bedrohung | Abhilfe | Risiko | Implementierung |
|---|---|---|---|---|
| Speicher des Geräts | TRID | Speicherverschlüsselung, Signieren der Protokolle | Lesen von Daten aus dem Speicher, Manipulation von Telemetriedaten. Manipulieren von Befehlssteuerungsdaten in der Warteschlange oder im Cache. Die Manipulation von Konfigurations- oder Firmwareupdate-Paketen im lokalen Cache bzw. in der Warteschlange kann dazu führen, dass Komponenten des Betriebssystems oder des Systems kompromittiert werden. | Verschlüsselung, Nachrichtenauthentifizierungscode (Message Authentication Code, MAC) oder digitale Signatur. Falls möglich, strenge Zugriffssteuerung mit Zugriffssteuerungslisten oder Berechtigungen für Ressourcen. |
| Betriebssystemimage des Geräts | TRID | Manipulation des Betriebssystems/Austausch von Betriebssystemkomponenten | Schreibgeschützte Betriebssystempartition, signiertes Betriebssystemimage, Verschlüsselung | |
| Bereichsgatewayspeicher (Einreihen von Daten in die Warteschlange) | TRID | Speicherverschlüsselung, Signieren der Protokolle | Lesen von Daten aus dem Speicher, Manipulation von Telemetriedaten, Manipulation von in der Warteschlange oder zwischengespeicherten Befehlssteuerungsdaten. Die Manipulation von Konfigurations- oder Firmwareupdate-Paketen (für Geräte oder das Bereichsgateway bestimmt) im lokalen Cache bzw. in der Warteschlange kann dazu führen, dass Komponenten des Betriebssystems oder des Systems kompromittiert werden. | BitLocker |
| Betriebssystemimage des Bereichsgateways | TRID | Manipulation des Betriebssystems/Austausch von Betriebssystemkomponenten | Schreibgeschützte Betriebssystempartition, signiertes Betriebssystemimage, Verschlüsselung |
Nächste Schritte
Weitere Informationen zur IoT-Sicherheit finden Sie unter: