IIC lõpp-punkti turvalisuse parimad tavad

Üsna hiljuti avaldas The Industrial Internet Consortium huvitava paberi koos nende soovitatava turvalisuse parima tavaga lõpp-punkti jaoks.

Barbara IoT on sedalaadi algatuste üle alati elevil, kuna usume kindlalt, et asjade Interneti turvalisuses on palju tööd teha ja seade on tõenäoliselt asjade Interneti väärtusahela praegu kõige nõrgem lüli. Ja nagu me teame, on kett sama tugev kui kõige nõrgem lüli, nii et seadmete kinnitamine oleks kohustuslik (kui see veel pole).

See artikkel tutvustab IIC soovituste põhitõdesid ja kaardistab neid Barbara tarkvaraplatvormi abil, mis on IoT-seadme elutsükli turvaline lahendus. Järgmine tabel võtab kokku vastavuse maatriksi:

Kuid laskem üksikasjadesse süveneda….

Turvatasemed:

IIC määratleb kolm turbetaset: turbetase Basic (SLB), tõhustatud turvatase (SLE) ja kriitiline turvatase (SLC), mis vastavad turvatasemetele 2, 3 ja 4, nagu on määratletud IEC 62443 3–3. Baastase kaitseb tahtliku rikkumise eest, kasutades lihtsate vahenditega ja vähe ressursse. Kõrgendatud tase kaitseb meie süsteemi "mõõdukate ressurssidega keerukate vahendite" eest. Kriitiline tase tugevdab kaitset keerukatele ja laiendatud ressurssidega vahenditele. Sõltuvalt rakendusest ja asjaoludest peate oma lõpp-punkti kaitsma sobiva turbetasemega.

Sellele turbetasemele tuginedes pakub IIC välja kolm erinevat arhitektuuri, mis peaksid põhinema avatud standarditel ja mis peaksid olema koostalitlusvõimelised mitme müüja ja mitme platvormi lõpp-punkti vahel, et neid saaks ohutuks pidada.

IIC kavandatud arhitektuurid

Tutvume nende komponentidega sügavamalt, kirjeldades neid detailsemalt ja uurides, kuidas Barbara tarkvaraplatvorm vastab IIC juhistele.

Usalduse juur:

Root of Trust (RoT) on iga lõpp-punkti turvalisuse alus ja pakub funktsioone, nagu lõpp-punkti identiteet ja tarkvara ning riistvara identiteedi ja terviklikkuse tõestamine. Nagu võite ette kujutada, on tulemusnäitaja sama tugev kui usalduse juur, nii et usalduse juuri turvaline rakendamine on kohustuslik.

Täpsemalt väidab IIC, et tõhustatud ja kriitiliste turvatasemete jaoks tuleks Root of Trust juurutada riistvara baasil. IIC soovituste järgimiseks on meil vaja spetsiifilist riietuse turbekiipi (või sarnast), millel on võltsimiskindlus.

Mis puudutab usalduse juuri, siis Barbara tarkvaraplatvorm koondab kõik turvafunktsioonid, et tugevdada usalduse juuri. Meie tarkvarapakk kasutab eraomandis olevat PKI-d (avaliku võtme krüptograafia standarditel põhinevat avaliku võtme infrastruktuuri) ja pakub vastavaid konkse, mis võimaldavad hõlpsat integreerimist kliendi valitud usaldusväärsete platvormmoodulitega.

Lõpp-punkti identiteet:

Lõpp-punkti identiteet on põhikomponent, mille abil saab turvaelemente kõige paremini kasutada. IIC soovituste kohaselt on PKI (avaliku võtme infrastruktuuri) tugi kohustuslik, et katta põhitase, tugevdatud ja kriitiline tase. Samuti on soovitatav rakendada avatud standardi sertifikaatide haldusprotokoll sertifikaatide väljastamiseks ja haldamiseks sisemiselt või väliselt CA-lt (sertifikaatiasutus).

Nagu kommenteeriti enne Barbara tarkvaraplatvormi, hõlmab ka oma PKI-l põhinev PKI (Freeipa, www.freeipa.org/). FreeIPA on integreeritud identiteedi ja autentimise lahendus, mis pakub tsentraliseeritud autentimis-, autoriseerimis- ja kontoteavet. Nagu IIC nõudis, on FreeIPA üles ehitatud tuntud avatud lähtekoodiga komponentide ja standardsete protokollide peale.

Turvaline alglaadimine:

Usaldusväärne turvaline alglaadimissüsteem, mis krüptograafiliselt kaitseb lõpp-punkti toidet, on jällegi põhi-, täiustatud ja kriitilise taseme nõue. IIC parimate tavade kohaselt võib seda rakendada krüptograafiliste räside abil, mis põhinevad PKCS-il (avaliku võtme krüptograafia standardid). Seejuures võime olla kindlad, et ilma korralike võtmeteta tarkvara suudab seadme käivitada. Tarkvaraplatvormi Barbara saab mõistliku pingutuse korral teisaldada riistvaratahvlitele, mis toetavad turvalist alglaadimist.

Krüptograafiateenused ja turvaline side:

Krüptograafia kasutamine andmete transportimisel (liikumisel), andmete säilitamiseks (puhkeasendis) ja rakenduste jaoks (kasutuses) on selge eeldus kolmele ülalnimetatud turbetasemele (põhiline, tõhustatud, kriitiline). Sellise kaitse tagamiseks on vaja järgmisi funktsioone:

  • NIST / FIPS valideeritud standarditel põhinevad krüptograafilised algoritmid.
  • Asümmeetriline ja sümmeetriline šifrikomplekt, räsifunktsioonid ja juhuslik arv. piisavalt tugevad generaatorid, mis põhinevad PKCS-il (avaliku võtme krüptograafia standardid)
  • Krüptograafiliste algoritmide väljavärskendusvõimalus võimalike haavatavuste katmiseks.
  • Krüptofunktsioonide rakenduste poliitikapõhine juhtimine, vältides mitteturvalise krüptograafia kasutamist.
  • Krüptovõtmete ja sertifikaatide koostalitlusvõime mitme müüja süsteemides.

Barbara tarkvaraplatvormil on mitmeid funktsioone, mis tagavad krüptograafiateenuste kvaliteedi. See kasutab vaikimisi LUKS-i, mis on LINUX-i kõvaketta krüptimise standard. LUKS on avatud, nii et see on hõlpsasti kontrollitav ja põhineb soovitatud PKCS-idel.

Andmeedastuse poolel sisaldab Barbara OS vajalikke raamatukogusid, et suhelda IoT-i standardsete rakendusprotokollidega krüptitud edastuse (TLS ja DTLS) kaudu.

Lisaks sellele on kolme määratletud taseme jaoks vajalik turvaline otspunktist koosnev kommunikatsioonivirn. See kommunikatsioonivirn peaks sisaldama autentimise, kaitstud ühenduvuse, lõpp-tulemüüri ja turvaliste transpordiprotokollide (TLS, DTLS, SSH ...) toetamist. Kõik need funktsioonid on kaasatud Barbara tarkvaraplatvormi, seega autentitakse ja krüptitakse KÕIK Barbara side.

Lõpppunkti konfigureerimine ja haldamine

Ja opsüsteemi värskendamiseks on vaja skaleeritavat süsteemi, rakendused ja / või seadme konfiguratsioon peavad vastama tõhustatud ja kriitilisele tasemele, võttes arvesse, et võib olla vajalik selliste värskenduste tegemiseks üle miljoni lõpp-punkti korraga. Muidugi, kõik need toimingud tuleks läbi viia turvalises keskkonnas, sealhulgas sertifikaadipõhisel valideerimisel värskendust pakkuva üksuse ja seda vastuvõtva lõpp-punkti vahel.

Sellega seoses hõlmab Barbara tarkvaraplatvorm Barbara paneeli. Barbara paneel on serveripoolne lahendus asjade Interneti kasutuselevõtu kõigi lõpp-punktide haldamiseks. See pakub lihtsat ja tsentraliseeritud konsooli OTA (Over The Air) värskenduste halduseks, seadme jälgimiseks ja konfiguratsiooni haldamiseks. Kõiki neid funktsioone pakutakse parima kvaliteediga turbekeskkonnas.

Pidev jälgimine

Lõpppunkti reaalajas jälgimine on kriitilise turvataseme eeldus, väidab IIC. See võimaldaks kasutajal konfiguratsioonis omavolilisi muudatusi kontrollida ja ära hoida ning rakenduse tasemel kontrolli omavoliliste toimingute tuvastamiseks ja ärahoidmiseks, kuna süsteemi kahjustada võivate ebaturvaliste šifrite kasutamine

Barbara paneel sisaldab ja hoiatussüsteemi, mis võimaldaks kasutajal eeldefineeritud turvateateid vastu võtta ning määratleda oma hoiatused ja suunata need lõpp-punktidesse.

Poliitika ja tegevuse juhtpaneel

Kriitilisele tasemele vastamiseks on vajalik võime lõpp-punkte eemalt hallata. Süsteemi administraatoril peaks olema võimalik poliitikaid edasi lükata ja täita viisil, mis tagab poliitika õige jaotamise võrgus, toimides sel viisil tõhusa turberaamistikuna.

Barbara paneel võimaldab juurutushalduritel jälgida lõpp-punkti tegevusi ning määratleda ja tõestada saadud teabe põhjal turbepoliitikaid. Näiteks võivad uued poliitikad kahtlaste suhtlusmustrite tuvastamisel eelnimetatud tulemüüris juurutada uusi reegleid.

Süsteemi teave ja sündmuste haldus

Eelmise lõiguga seotuna on kriitilise taseme eelduseks ka võimalus sündmuste logisid hõivata ning logidest saadava teabe põhjal põhimõtteid määratleda ja levitada. Neid haldustoiminguid soovitatakse teha andmemudelite või laiendatavate vormingute, näiteks REST API või JSON abil.

Tarkvaraplatvormi Barbara logimissüsteem pakub süsteemiadministraatoritele suures koguses teavet, mida kasutataks turvapoliitikate genereerimiseks.

Järeldus

Barbara IoT teeb turvalise toote loomiseks suuri jõupingutusi. Toode, mida saab kasutada tööstusturbe seisukohast kõige nõudlikumates stsenaariumides. Nagu IIC, arvame, et ka sellised algatused saavad aidata kogu tööstuse ökosüsteemi, edendades usaldust ja võimaldades kõikidel ökosüsteemi osalistel.

Viited:

  • http://www.iiconsortium.org/
  • IIC lõpp-punkti turvalisuse parimad tavad; IIC: WHT: IN17: V1.0: PB: 20180312 Steve Hanna, Srinivas Kumar, Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • Mida peaksid kasutajad teadma LUKS-i, Simone Bossi ja Andrea Visconti põhinevat täisketaste krüptimist; Krüptograafia ja kodeerimise laboratoorium (CLUB), arvutiteaduse osakond, Universitá degli Studi di Milano http://www.club.di.unimi.it/

See postitus avaldati algselt saidil barbaraiot.com 6. juunil 2018. Kui teile meeldib ja soovite saada sarnast sisu, tellige meie uudiskiri