IoT çözümleri için güvenlik mimarisi
Bir IoT çözümü tasarlayıp tasarlarken olası tehditleri anlamak ve uygun savunmaları dahil etmek önemlidir. Bir saldırganın sistemin güvenliğini nasıl aşabileceğini anlamak, en başından itibaren uygun risk azaltmaların uygulandığından emin olmanıza yardımcı olur.
Tehdit modelleme
Microsoft, IoT çözüm tasarımınızın bir parçası olarak bir tehdit modelleme işlemi kullanmanızı önerir. Tehdit modelleme ve güvenli geliştirme yaşam döngüsü hakkında bilginiz yoksa bkz:
IoT'de güvenlik
Tehdit modelleme alıştırmasının bir parçası olarak IoT mimarinizi birkaç bölgeye bölmek yararlı olur:
- Cihaz
- Alan ağ geçidi
- Bulut ağ geçidi
- Service
Her bölgenin genellikle kendi veri, kimlik doğrulaması ve yetkilendirme gereksinimleri vardır. Ayrıca bölgeleri kullanarak hasarı yalıtabilir ve düşük güven bölgelerinin yüksek güven bölgeleri üzerindeki etkisini kısıtlayabilirsiniz.
Her bölge, aşağıdaki diyagramda noktalı kırmızı çizgi olarak gösterilen bir güven sınırıyla ayrılmıştır. Verilerin bir kaynaktan diğerine geçişini temsil eder. Bu geçiş sırasında veriler aşağıdaki tehditlere tabi olabilir:
- Spoofing (Kimlik Sahtekarlığı)
- Tampering (Kurcalama)
- İnkar
- Bilgilerin açığa çıkması
- Hizmet reddi
- Ayrıcalık yükseltme
Daha fazla bilgi edinmek için bkz . STRIDE modeli.
STRIDE kullanarak her bölge içindeki her bileşene yönelik tehditleri modelleyebilirsiniz. Aşağıdaki bölümlerde bileşenlerin her biri ve belirli güvenlik endişeleri ve çözümleri ele alınmalıdır.
Bu makalenin geri kalanında bu bölgelere ve bileşenlere yönelik tehditler ve azaltmalar daha ayrıntılı olarak ele alınmaktadır.
Cihaz bölgesi
Cihaz ortamı, cihaza fiziksel erişimin ve yerel ağın dijital erişiminin mümkün olduğu cihazın etrafındaki alandır. Yerel ağın, genel İnternet'ten ayrı ve yalıtılmış olduğu varsayılır, ancak potansiyel olarak İnternet'ten yalıtılmıştır. Cihaz ortamı, cihazların eşler arası iletişimine izin veren kısa menzilli kablosuz radyo teknolojisini içerir. Böyle bir yerel ağın yanılsamasını oluşturan herhangi bir ağ sanallaştırma teknolojisi içermez. Eşler arası iletişim ilişkisi girmeleri durumunda iki cihazın genel ağ alanı üzerinden iletişim kurmasını gerektiren ortak operatör ağlarını içermez.
Alan ağ geçidi bölgesi
Alan ağ geçidi, iletişim etkinleştirici ve potansiyel olarak bir cihaz denetim sistemi ve cihaz veri işleme hub'ı olarak görev yapan bir cihaz, alet veya genel amaçlı sunucu bilgisayar yazılımıdır. Alan ağ geçidi bölgesi, alan ağ geçidinin kendisini ve ona bağlı tüm cihazları içerir. Alan ağ geçitleri ayrılmış veri işleme tesislerinin dışında hareket eder, genellikle konuma bağlıdır, potansiyel olarak fiziksel yetkisiz erişime maruz kalır ve sınırlı operasyonel yedekliliğe sahiptir. Alan ağ geçidi genellikle bir saldırganın fiziksel erişim elde ederse fiziksel olarak sabote edebileceği bir şeydir.
Alan ağ geçidi, erişim ve bilgi akışını yönetmede etkin bir role sahip olması bakımından bir trafik yönlendiricisinden farklıdır. Alan ağ geçidinin iki farklı yüzey alanı vardır. Biri, ona bağlı cihazlarla yüz yüze gelir ve bölgenin içini temsil eder. Diğer taraf tüm dış taraflarla yüz yüze gelir ve bölgenin kenarıdır.
Bulut ağ geçidi bölgesi
Bulut ağ geçidi, birden çok siteye dağıtılan cihazlardan veya alan ağ geçitlerinden uzaktan iletişim sağlayan bir sistemdir. Bulut ağ geçidi genellikle bulut tabanlı bir denetim ve veri analizi sistemi veya bu tür sistemlerin federasyonu sağlar. Bazı durumlarda, bulut ağ geçidi tablet veya telefon gibi terminallerden özel amaçlı cihazlara erişimi hemen kolaylaştırabilir. Bulut ağ geçidi bölgesinde operasyonel ölçüler hedeflenen fiziksel erişimi engeller ve genel bulut altyapısına açık olması gerekmez.
Bulut ağ geçidi, bulut ağ geçidini ve ekli tüm cihazlarını veya alan ağ geçitlerini diğer ağ trafiğinden yalıtmak için bir ağ sanallaştırma katmanına eşlenebilir. Bulut ağ geçidinin kendisi bir cihaz denetim sistemi ya da cihaz verileri için bir işleme veya depolama tesisi değildir; bulut ağ geçidi ile bu tesis arabirimi. Bulut ağ geçidi bölgesi, doğrudan veya dolaylı olarak bağlı tüm alan ağ geçitleri ve cihazlarla birlikte bulut ağ geçidini de içerir. Bölgenin kenarı, tüm dış tarafların iletişim kurabilecekleri ayrı bir yüzey alanıdır.
Hizmetler bölgesi
Bu bağlamdaki bir hizmet, cihazlarla bir alan veya bulut ağ geçidi üzerinden arabirim oluşturan herhangi bir yazılım bileşeni veya modülüdür. Bir hizmet cihazlardan veri toplayabilir ve bu cihazları komut ve kontrol edebilir. Hizmet, kimliği altında ağ geçitlerine ve diğer alt sistemlere göre hareket eden bir aracıdır:
- Verileri depolama ve analiz etme
- Veri içgörülerine veya zamanlamalarına göre cihazlara komut verme
- Bilgileri ve denetim özelliklerini yetkili son kullanıcıların kullanımına sunma
IoT cihazları
IoT cihazları genellikle basit sıcaklık algılayıcılarından içinde binlerce bileşen bulunan karmaşık fabrika üretim hatlarına kadar değişen özel amaçlı cihazlardır. Örnek IoT cihaz özellikleri şunlardır:
- Ortam koşullarını ölçme ve raporlama
- Tornalama vanaları
- Servoları kontrol etme
- Alarmları çaldırma
- Işıkları açma veya kapatma
Bu cihazların amacı, teknik tasarımlarını ve üretim ve zamanlanmış yaşam süresi çalışmalarına yönelik kullanılabilir bütçeyi belirler. Bu faktörlerin birleşimi, kullanılabilir operasyonel enerji bütçesini, fiziksel ayak izini ve kullanılabilir depolama, işlem ve güvenlik özelliklerini kısıtlar.
Otomatik veya uzaktan denetlenen bir IoT cihazıyla ilgili sorunlara neden olabilecek şeyler şunlardır:
- Fiziksel kusurlar
- Denetim mantığı hataları
- İzinsiz izinsiz giriş ve manipülasyon.
Bu hataların sonuçları, yıkılan üretim alanları, yanan binalar veya yaralanma ve ölüm gibi ciddi sonuçlar doğurabilir. Bu nedenle, öğelerin taşınmasını sağlayan veya algılayıcı verilerini raporlayan cihazlar için yüksek güvenlik çubuğu vardır ve bu da öğelerin taşınmasına neden olan komutlara neden olur.
Cihaz denetimi ve cihaz verileri etkileşimleri
Bağlan özel amaçlı cihazların önemli sayıda olası etkileşim yüzeyi alanı ve etkileşim deseni vardır ve bunların tümü, bu cihazlara dijital erişimin güvenliğini sağlamaya yönelik bir çerçeve sağlamak için dikkate alınmalıdır. Dijital erişim , cihaza doğrudan fiziksel erişim yerine yazılım ve donanım aracılığıyla gerçekleştirilen işlemleri ifade eder. Örneğin, fiziksel erişim, cihazın kapı kilidi olan bir odaya yerleştirilerek denetlenebilir. Yazılım ve donanım kullanılarak fiziksel erişim reddedilemiyor olsa da, fiziksel erişimin sistem girişimine neden olmasını önlemek için önlemler alınabilir.
Etkileşim desenlerini keşfederken cihaz denetimine ve cihaz verilerine aynı düzeyde dikkat edin. Cihaz denetimi, bir cihaza davranışını değiştirme amacıyla sağlanan tüm bilgileri ifade eder. Cihaz verileri, bir cihazın başka bir tarafa kendi durumu ve ortamının gözlemlenen durumu hakkında yaydığı bilgileri ifade eder.
Azure IoT başvuru mimarisi için tehdit modelleme
Bu bölümde, IoT için tehdit modellemeyi nasıl düşüneceğini ve tanımlanan tehditlerin nasıl ele alınduğunu göstermek için Azure IoT başvuru mimarisi kullanılır:
Aşağıdaki diyagram, bir veri akışı diyagramı modeli kullanarak başvuru mimarisinin basitleştirilmiş bir görünümünü sağlar:
Mimari, cihaz ve alan ağ geçidi özelliklerini birbirinden ayırır. Bu yaklaşım, daha güvenli alan ağ geçidi cihazları kullanmanızı sağlar. Alan ağ geçidi cihazları, genellikle termostat gibi basit bir cihazın kendi başına sağlayabileceklerinden daha fazla işlem gücü gerektiren güvenli protokolleri kullanarak bulut ağ geçidiyle iletişim kurabilir. Diyagramdaki Azure Hizmetleri Bölgesi'nde Azure IoT Hub hizmeti bulut ağ geçididir.
Daha önce açıklanan mimariye bağlı olarak, aşağıdaki bölümlerde bazı tehdit modelleme örnekleri gösterilmektedir. Örnekler, bir tehdit modelinin temel öğelerine odaklanır:
- İşlemler
- İletişim
- Depolama
İşlemler
İşlemler kategorisindeki tehditlere ilişkin bazı örnekler aşağıda verilmiştir. Tehditler STRIDE modeline göre kategorilere ayrılmıştır:
Kimlik sahtekarlık: Saldırgan, yazılım veya donanım düzeyinde bir cihazdan şifreleme anahtarlarını ayıklayabilir. Ardından saldırıya uğrayan anahtarlar, özgün cihazın kimliğini kullanarak sisteme farklı bir fiziksel veya sanal cihazdan erişmek için bu anahtarları kullanır.
Hizmet Reddi: Bir cihaz, radyo frekanslarına müdahale ederek veya kabloları keserek çalışamaz veya iletişim kuramaz hale getirilebilir. Örneğin, gücü veya ağ bağlantısı kasıtlı olarak kesilen bir gözetim kamerası verileri raporlayamaz.
Kurcalama: Saldırgan, cihazdaki yazılımı kısmen veya tamamen değiştirebilir. Cihazın şifreleme anahtarları saldırganlar kodu tarafından kullanılabiliyorsa, cihazın kimliğini kullanabilir.
Kurcalama: Boş bir koridorun görünür spektrumlu resmini gösteren bir güvenlik kamerası, böyle bir koridorun fotoğrafına hedeflenebilir. Duman veya yangın sensörü altında çakmak tutan birini bildirmiş olabilir. Her iki durumda da, cihaz sisteme teknik olarak tamamen güvenilir olabilir, ancak manipüle edilmiş bilgileri bildirir.
Kurcalama: Saldırgan, cihazdan gönderilen verileri engellemek ve engellemek için ayıklanan şifreleme anahtarlarını kullanabilir ve bunları çalınan anahtarlarla kimliği doğrulanmış yanlış verilerle değiştirebilir.
Bilgilerin Açığa Çıkması: Cihaz manipüle edilmiş yazılım çalıştırıyorsa, bu tür manipüle edilmiş yazılımlar yetkisiz taraflara veri sızdırabilir.
Bilgilerin Açığa Çıkması: Saldırgan, bilgileri almak için cihaz ve alan ağ geçidi veya bulut ağ geçidi arasındaki iletişim yoluna kod eklemek için ayıklanan şifreleme anahtarlarını kullanabilir.
Hizmet Reddi: Cihaz kapatılabilir veya iletişimin mümkün olmadığı bir moda dönüştürülebilir (birçok endüstriyel makinede kasıtlı olarak kullanılır).
Kurcalama: Cihaz, kontrol sistemi tarafından bilinmeyen bir durumda çalışacak şekilde yeniden yapılandırılabilir (bilinen kalibrasyon parametrelerinin dışında) ve bu nedenle yanlış yorumlanabilecek veriler sağlayabilir
Ayrıcalık Yükseltme: Belirli bir işlevi yerine getiren bir cihaz başka bir şey yapmaya zorlanabilir. Örneğin, yarı yol açılacak şekilde programlanmış bir vana, tamamen açılacak şekilde kandırılabilir.
Kimlik sahtekarlığı/Kurcalama/İnkar etme: Güvenli değilse (tüketici uzaktan denetimlerinde nadiren böyle bir durum söz konusudur), saldırgan bir cihazın durumunu anonim olarak işleyebilir. İyi bir çizim, herhangi bir TV'yi kapatabilen bir uzaktan kumandadır.
Aşağıdaki tabloda bu tehditlere yönelik örnek risk azaltma işlemleri gösterilmektedir. Tehdit sütunundaki değerler kısaltmalardır:
- Kimlik sahtekarlık (S)
- Kurcalama (T)
- İnkar (R)
- Bilgilerin açığa çıkması (I)
- Hizmet reddi (D)
- Ayrıcalık yükseltme (E)
| Bileşen | Tehdit | Risk azaltma | Risk | Uygulama |
|---|---|---|---|---|
| Cihaz | S | Cihaza kimlik atama ve cihazın kimliğini doğrulama | Cihazı veya cihazın bir kısmını başka bir cihazla değiştirme. Doğru cihazla konuştuğunu nereden biliyorsun? | Aktarım Katmanı Güvenliği (TLS) veya IPSec kullanarak cihazın kimliğini doğrulama. Altyapı, tam asimetrik şifrelemeyi işleyemeyen cihazlarda önceden paylaşılan anahtarın (PSK) kullanılmasını desteklemelidir. Microsoft Entra Id, OAuth kullanın. |
| TRID | Örneğin, cihazdan anahtarları ve diğer şifreleme malzemelerini ayıklamayı imkansız hale getirerek cihaza kurcalamaya dayanıklı mekanizmalar uygulayın. | Risk, birinin cihazı kurcalama (fiziksel girişim) olmasıdır. Bu cihazın üzerinde oynanmadığından nasıl eminsiniz? | En etkili azaltma güvenilir bir platform modülüdür (TPM). TPM anahtarları, anahtarların okunamayacağı özel yonga içi devrelerde depolar, ancak yalnızca anahtarı kullanan şifreleme işlemleri için kullanılabilir. Cihazın bellek şifrelemesi. Cihaz için anahtar yönetimi. Kodu imzalama. | |
| E | Cihazın erişim denetimine sahip olma. Yetkilendirme düzeni. | Cihaz, dış kaynaktan gelen komutlara veya hatta güvenliği aşılmış algılayıcılara göre tek tek eylemlerin gerçekleştirilmesini sağlıyorsa, saldırının başka türlü erişilemez işlemler gerçekleştirmesine izin verir. | Cihaz için yetkilendirme düzenine sahip olma. | |
| Field Gateway | S | Field gateway'i Cloud Gateway'e (sertifika tabanlı, PSK veya Talep tabanlı gibi) doğrulama. | Birisi Field Gateway'i yanıltabiliyorsa, kendisini herhangi bir cihaz olarak sunabilir. | TLS RSA/PSK, IPSec, RFC 4279. Genel olarak cihazların tüm aynı anahtar depolama ve kanıtlama endişeleri – en iyi durum TPM kullanmaktır. 6 Kablosuz Algılayıcı Ağlarını (WSN) desteklemek için IPSec içinlowPAN uzantısı. |
| TRID | Field Gateway'i kurcalamaya karşı koruma (TPM) | Bulut ağ geçidini alan ağ geçidiyle konuştuğunu düşünerek kandıran yanıltma saldırıları, bilgilerin açığa çıkmasına ve veri üzerinde oynanmaya neden olabilir | Bellek şifrelemesi, TPM'ler, kimlik doğrulaması. | |
| E | Field Gateway için erişim denetimi mekanizması |
İletişim
İletişim kategorisindeki tehditlere ilişkin bazı örnekler aşağıda verilmiştir. Tehditler STRIDE modeline göre kategorilere ayrılmıştır:
Hizmet Reddi: Kısıtlanmış cihazlar genellikle ağdaki gelen bağlantıları veya istenmeyen veri birimlerini etkin bir şekilde dinlediklerinde DoS tehdidi altındadır. Bir saldırgan birçok bağlantıyı paralel olarak açabilir ve bunlara hizmet vermeyebilir veya yavaş hizmet verebilir ya da cihazı istenmeyen trafikle kaplayabilir. Her iki durumda da cihaz ağda etkin bir şekilde çalışamaz şekilde işlenebilir.
Yanıltma, Bilgilerin Açığa Çıkması: Kısıtlanmış cihazlar ve özel amaçlı cihazlar genellikle parola veya PIN koruması gibi her şey için bire bir güvenlik olanaklarına sahiptir. Bazen tamamen ağa güvenmeye güvenir ve tüm cihazlara aynı ağda bulunan bilgilere erişim izni verir. Ağ, ifşa edilen paylaşılan bir anahtarla korunuyorsa, saldırgan cihazı denetleyebilir veya ilettiği verileri gözlemler.
Kimlik sahtekarlığına: Saldırgan yayını kesebilir veya kısmen geçersiz kılabilir ve göndereni yanıltabilir.
Kurcalama: Saldırgan yayını kesebilir veya kısmen geçersiz kılabilir ve yanlış bilgiler gönderebilir.
Bilgilerin Açığa Çıkması: Saldırgan bir yayını dinleyebilir ve yetkilendirme olmadan bilgi edinebilir.
Hizmet Reddi: Saldırgan yayın sinyalini bozabilir ve bilgi dağıtımını reddedebilir.
Aşağıdaki tabloda bu tehditlere yönelik örnek risk azaltma işlemleri gösterilmektedir:
| Bileşen | Tehdit | Risk azaltma | Risk | Uygulama |
|---|---|---|---|---|
| Cihaz IoT Hub'ı | TID | (D) Trafiği şifrelemek için TLS (PSK/RSA) | Cihazla ağ geçidi arasındaki iletişimi dinleme veya engelleme | Protokol düzeyinde güvenlik. Özel protokollerle bunları nasıl koruyacağınızı öğrenmeniz gerekir. Çoğu durumda, iletişim cihazdan IoT Hub'a gerçekleşir (cihaz bağlantıyı başlatır). |
| Cihazdan Cihaza | TID | (D) Trafiği şifrelemek için TLS (PSK/RSA). | Cihazlar arasında aktarımdaki verileri okuma. Verilerle oynanıyor. Cihazı yeni bağlantılarla aşırı yükleme | Protokol düzeyinde güvenlik (MQTT/AMQP/HTTP/CoAP). Özel protokollerle bunları nasıl koruyacağınızı öğrenmeniz gerekir. DoS tehdidinin azaltılması, cihazları bulut veya alan ağ geçidi üzerinden eşlemek ve yalnızca ağa yönelik istemciler olarak davranmalarını sağlamaktır. Ağ geçidi eşlemeye aracılık ettikten sonra, eşler arasında doğrudan bir bağlantı olabilir. |
| Dış Varlık Cihazı | TID | Dış varlığın cihaza güçlü bir şekilde eşlenmesi | Cihaza bağlantıyı gizlice dinleme. Cihazla iletişimi engelleme | Dış varlığı NFC/Bluetooth LE cihazıyla güvenli bir şekilde eşleştirme. Cihazın işletim panelini denetleme (Fiziksel). |
| Field Gateway Cloud Gateway | TID | Trafiği şifrelemek için TLS (PSK/RSA). | Cihazla ağ geçidi arasındaki iletişimi dinleme veya engelleme | Protokol düzeyinde güvenlik (MQTT/AMQP/HTTP/CoAP). Özel protokollerle bunları nasıl koruyacağınızı öğrenmeniz gerekir. |
| Cihaz Bulut Ağ Geçidi | TID | Trafiği şifrelemek için TLS (PSK/RSA). | Cihazla ağ geçidi arasındaki iletişimi dinleme veya engelleme | Protokol düzeyinde güvenlik (MQTT/AMQP/HTTP/CoAP). Özel protokollerle bunları nasıl koruyacağınızı öğrenmeniz gerekir. |
Depolama
Aşağıdaki tabloda, depolama tehditlerine yönelik örnek risk azaltma işlemleri gösterilmektedir:
| Bileşen | Tehdit | Risk azaltma | Risk | Uygulama |
|---|---|---|---|---|
| Cihaz depolama alanı | TRID | Şifrelemeyi Depolama, günlükleri imzalama | Depolamadan veri okuma, telemetri verileriyle oynama. Kuyruğa alınmış veya önbelleğe alınmış komut denetimi verileriyle oynama. Yerel olarak önbelleğe alınmış veya kuyruğa alınmış yapılandırma veya üretici yazılımı güncelleştirme paketleriyle oynanması işletim sistemi ve/veya sistem bileşenlerinin güvenliğinin tehlikeye atılmasına neden olabilir | Şifreleme, ileti kimlik doğrulama kodu (MAC) veya dijital imza. Mümkün olduğunda, kaynak erişim denetim listeleri (ACL'ler) veya izinler aracılığıyla güçlü erişim denetimi. |
| Cihaz işletim sistemi görüntüsü | TRID | İşletim sistemi ile oynama /işletim sistemi bileşenlerini değiştirme | Salt okunur işletim sistemi bölümü, imzalı işletim sistemi görüntüsü, şifreleme | |
| Field Gateway depolama (verileri kuyruğa alma) | TRID | Şifrelemeyi Depolama, günlükleri imzalama | Depolamadan veri okuma, telemetri verileriyle oynama, kuyruğa alınmış veya önbelleğe alınmış komut denetimi verileriyle oynama. Yerel olarak önbelleğe alınmış veya kuyruğa alınmışken yapılandırma veya üretici yazılımı güncelleştirme paketleriyle (cihazlar veya alan ağ geçidi için hedeflenen) oynanması işletim sistemi ve/veya sistem bileşenlerinin güvenliğinin aşılmasına neden olabilir | BitLocker |
| Field Gateway işletim sistemi görüntüsü | TRID | İşletim sistemi ile oynama /işletim sistemi bileşenlerini değiştirme | Salt okunur işletim sistemi bölümü, imzalı işletim sistemi görüntüsü, Şifreleme |
Sonraki adımlar
IoT güvenliği hakkında daha fazla bilgi edinmek için bkz: