Безпека в IoT: Azure IoT Suite для тих, хто починає з нуля

Представляємо переклад серії статей, присвячених безпеки в IoT. Перший матеріал буде більш теоретичний і присвячений огляду можливостей Microsoft Azure IoT Suite.



Цикл статей «Безпека в IoT»
1. Azure IoT Suite для тих, хто починає з нуля.
2. Кращі практики.
3. Архітектура системи безпеки.
4. Забезпечення безпеки розгортання IoT.

Примітка: далі розповідь буде вестися від імені автора.

Azure IoT Suite — це комплексне рішення з вбудованими інструментами безпеки, які забезпечують захист на всіх рівнях. В корпорації Microsoft забезпечення безпеки є невід'ємною частиною процесу розробки у відповідності з усталеними за десятиліття принципами конструювання надійного і захищеного. Для цього використовується життєвий цикл розробки захищених додатків (SDL) — базова методика розробки ПО, об'єднана з набором служб безпеки рівня інфраструктури (Operational Security Assurance (OSA), а також Microsoft Digital Crimes Unit, Microsoft Security Response Center і Центр Microsoft із захисту від шкідливих програм).

У Azure IoT Suite доступні унікальні функції, які дозволяють просто, наочно і, що найважливіше, безпечно готувати до роботи пристрою IoT, підключитися до них і зберігати надходять від них даних. У цьому матеріалі ми розглянемо компоненти безпеки та стратегії розгортання Azure IoT Suite, які забезпечують надійний захист, конфіденційність і відповідність вимогам.

Введення
«Інтернет речей» (IoT) — це технологія, яка вже сьогодні дає компаніям реальну можливість скоротити витрати, збільшити прибуток і перетворити свій бізнес. Тим не менше багато компаній не вирішуються перейти до активного розгортання технологій IoT, оскільки не відчувають себе впевнено в питаннях безпеки, конфіденційності та відповідності вимогам. Найбільше занепокоєння викликає унікальна інфраструктура IoT, в якій цифровий світ об'єднується з фізичним. При цьому, звичайно, зростають і ризики, характерні для обох світів. Безпека інфраструктури IoT залежить від цілісності коду, що виконується на пристроях. Такий код служить для перевірки справжності пристрою і користувачів, визначення приналежності пристрою (і генеруються їм даних), а також для захисту від мережевих і фізичних атак зловмисників.

І нарешті, питання конфіденційності. Компаніям потрібна прозорість при передачі даних. Їм потрібно розуміти, збір яких даних здійснюється і чому, хто може їх переглядати, хто управляє доступом і так далі. Не менш важливі і загальні питання, пов'язані з безпекою роботи обладнання і безпекою операторів під час експлуатації, а також проблеми відповідності галузевим стандартам.

Враховуючи численні вимоги щодо безпеки, конфіденційності, прозорості та відповідності вимогам, вибір постачальника рішення IoT стає дуже складним завданням. Якщо в одному рішенні об'єднані окремі програми і служби IoT різних постачальників, то вразливостей в плані безпеки, конфіденційності та відповідності вимогам просто не уникнути. Найчастіше їх неймовірно важко навіть виявити, не говорячи вже про усунення. Надійний постачальник програмного забезпечення та служб IoT повинен володіти великим досвідом в області розробки таких служб, які охоплюють різні рівні інфраструктури, враховують географічне розташування та, крім того, надають інструменти для безпечного і прозорого горизонтального масштабування. Великою перевагою для обраного постачальника також буде багаторічний досвід в області розробки захищеного ПО, яке встановлено на мільярди комп'ютерів у всьому світі, а також уміння швидко і професійно оцінювати і усувати загрози, пов'язані з реалізацією технології «Інтернет речей».

Безпечна інфраструктура з нуля
Інфраструктуру Microsoft Cloud використовують понад мільярд клієнтів в 127 країнах. Наш багатий багаторічний досвід розробки корпоративного програмного забезпечення і підтримки найбільших мережевих служб дозволяє забезпечувати такий рівень безпеки, конфіденційності, відповідності вимогам та усунення ризиків, якого більшість клієнтів навряд чи змогли б досягти самостійно.

Життєвий цикл розробки захищених додатків (SDL) Microsoft дозволяє примусово включити всі рівні компанії в процес розробки, мета якого — впровадження компонентів безпеки протягом усього життєвого циклу програмного забезпечення. Щоб забезпечити відповідність процесів експлуатації всім вимогам безпеки, ми використовуємо суворі політики безпеки, розроблені в рамках процесу Operational Security Assurance (OSA). Ми співпрацюємо зі сторонніми постачальниками послуг аудиту, залучаючи їх для перевірки відповідності всім вимогам і нормативам. Ми також приймаємо належні заходи безпеки при створенні центрів компетенції (Microsoft Digital Crimes Unit, Microsoft Security Response Center і Центр Microsoft із захисту від шкідливих програм).

Microsoft Azure — надійна і безпечна інфраструктура IoT для компанії будь-якого профілю
Microsoft Azure — це комплексне хмарне рішення, в якому постійно розширюваний набір інтегрованих хмарних служб (аналітика, машинне навчання, зберігання, безпека, мережеві і веб-служби) об'єднаний з провідними галузевими технологіями забезпечення захисту та конфіденційності даних. Наша стратегия очікування злому реалізується силами «red team» експертів з безпеки. Імітуючи атаки, вони перевіряють здатність Azure виявляти виникаючі загрози, а також забезпечувати ефективний захист і відновлення даних. Наші фахівці з глобального реагування на інциденти працюють цілодобово і без вихідних, допомагаючи користувачам усувати наслідки атак і шкідливих дій. Наші фахівці дотримуються встановлених процедур з управління інцидентами, інформування користувачів і ліквідації наслідків атаки, взаємодіючи за допомогою максимально прозорих і прогнозованих каналів з партнерами як всередині організації, так і за її межами.

Наші системи безперервно здійснюють виявлення та запобігання вторгнень, блокують атаки на служби, регулярно виконують тести на проникнення, а також широко використовують аналітичні інструменти, які допомагають своєчасно виявляти і усувати загрози. Багатофакторна перевірка справжності забезпечує додатковий рівень безпеки доступу кінцевих користувачів до мережі. Постачальникам додатків і віддаленого доступу ми пропонуємо повний контроль доступу, інструменти моніторингу та антивірусного сканування вразливостей, а також виправлення та засоби конфігурування.

Microsoft Azure IoT Suite містить вбудовані функції безпеки та конфіденційності платформи Microsoft, а також процеси SDL і OSA — все це використовується для безпечної розробки та експлуатації програмного забезпечення Microsoft. З допомогою цих процедур реалізовані захист інфраструктури і мережі, а також функції ідентифікації та управління, які мають ключове значення для забезпечення безпеки в рамках будь-якого рішення.

Компонент Azure IoT Hub у складі IoT Suite — це повністю керована служба, яка забезпечує надійний захист двостороннього обміну даними між пристроями IoT і службами Azure (наприклад, службами машинного навчання Azure і Azure Stream Analytics за рахунок використання індивідуальних облікових даних для кожного конкретного пристрою і контролю доступу до нього.

Щоб найбільш повно представити вбудовані функції безпеки та конфіденційності Azure IoT Suite, ми розглядаємо програмний комплекс в розрізі трьох головних областей безпеки:



Захищена підготовка пристроїв і перевірка справжності
Azure IoT Suite забезпечує захист пристроїв на час їх роботи на місцях. Для цього на кожному пристрої налаштований унікальний ключ посвідчення, який інфраструктура використовує для зв'язку з працюючим пристроєм. Налаштування цієї процедури не відрізняється складністю і не забирає багато часу. На базі ключа з ідентифікатором пристрою, заданим користувачем, створюється маркер, який згодом використовується у всіх сеансах передачі даних між пристроєм та службою Azure IoT Hub.

Можна асоціювати ідентифікатори з пристроями ще на етапі виготовлення (тобто додати їх в апаратний модуль модель) або використовувати існуючі фіксовані посвідчення (наприклад, серійний номер ЦП) в якості проксі. Змінити ці ідентифікаційні дані пристрої непросто, однак важливо також задіяти логічні ідентифікатори. Таким чином, навіть при зміні базових апаратних характеристик пристрою його логічні характеристики залишаться колишніми. В окремих випадках зіставлення посвідчення пристрою можна виконувати на етапі розгортання (тобто технічний фахівець фізично налаштовує новий пристрій безпосередньо в процесі обміну даними з серверною частиною рішення IoT). Реєстр посвідчень Azure IoT Hub призначений для безпечного зберігання посвідчень пристрою, а також ключів безпеки рішення. Додаючи в білий або чорний список окремі посвідчення пристроїв або групи посвідчень, можна повністю контролювати доступ до пристроїв.

З допомогою політик контролю доступу в хмарі, реалізованих у Azure IoT Hub, можна включати і відключати будь посвідчення пристрою, а також при необхідності скасувати зіставлення пристрої з розгортанням IoT. Зіставлення і скасування зіставлення пристроїв виконуються з допомогою посвідчень кожного конкретного пристрою.

Додатково можна використовувати наступні функції захисту пристрою:

  • Пристрою не приймають незапрошенние вхідні з'єднання. Підтримується настройка тільки вихідних з'єднань і маршрутів. Щоб отримати команди від сервера, пристрій повинен самостійно ініціювати з'єднання і перевірити наявність команд, що очікують обробки. Після того як між пристроєм і службою IoT Hub встановлено захищене з'єднання, для обміну повідомленнями між хмарної середовищем і пристроєм, а також між різними пристроями не потрібно шифрування.
  • Пристрої можуть підключатися і встановлювати маршрути тільки до відомих перевіреним службам, які знаходяться на одному рівні з ним (наприклад, Azure IoT Hub).
  • Для авторизації автентифікація на рівні системи використовуються посвідчення пристроїв, що дозволяє практично миттєво відкликати облікові дані та дозволи.
Захищене з'єднання
Безперервний і стійкий обмін даними має критично важливе значення для будь-якого рішення IoT. Особливо важлива безперервність доставки команд і отримання даних з пристрою, враховуючи, що пристрої IoT підключаються через Інтернет або інші аналогічні мережі, і таке підключення може виявитися ненадійним. Використовуючи систему відправки підтверджень для отриманих повідомлень, Azure IoT Hub забезпечує необхідну стійкість при обміні даними між хмарної середовищем і пристроєм. Завдяки кешированию повідомлень у службі IoT Hub підвищується стійкість при обміні повідомленнями. Кешированные повідомлення зберігаються протягом семи (телеметрія) або двох днів (команди).

Вкрай важливо забезпечити ефективність при консервації ресурсів і роботі в середовищі з обмеженими ресурсами. HTTPS (HTTP Secure) — це відповідна галузевим стандартам захищена версія популярного протоколу HTTP. У Azure IoT Hub протокол HTTPS відповідає за максимально ефективний обмін даними. Протоколи AMQP і MQTT, які також підтримуються службою Azure IoT Hub, не тільки забезпечують ефективність в плані споживання ресурсів, але й гарантують надійну доставку повідомлень.

Для масштабування потрібне безпечне взаємодія з різними пристроями. Azure IoT Hub надає захищене з'єднання з пристроями, що підтримують, так і не підтримує протокол IP. Пристрої з підтримкою протоколу IP можуть безпосередньо підключатися до служби IoT Hub і обмінюватися з нею даними по захищеному з'єднанню. Пристрої без підтримки протоколу IP використовують обмежений обсяг ресурсів і можуть встановлювати з'єднання лише з допомогою протоколів обміну даними з невеликим радіусом дії (Z-Wave, ZigBee і Bluetooth).

Для агрегування цих пристроїв і транслювання протоколу використовується польовий шлюз, який забезпечує захищений двосторонній обмін даними з хмарою.

Додатково можна використовувати наступні функції захисту з'єднання:

  • Захист обміну даними між пристроями і (або) шлюзами і службою Azure IoT Hub здійснюється за допомогою відповідного галузевим стандартам протоколу TLS. Перевірка справжності Azure IoT Hub виконується за допомогою протоколу X. 509.

  • Щоб захистити пристрій від незапрошених вхідних з'єднань, служба Azure IoT Hub блокує всі запити сполук до цього пристрою. Пристрій завжди ініціює з'єднання самостійно.

  • Azure IoT Hub зберігає повідомлення, адресовані пристроїв, в захищеному сховище і чекає, поки пристрій самостійно ініціює з'єднання. Команди зберігаються два дні, що дозволяє пристроям спорадично встановлювати з'єднання для отримання команд, якщо це необхідно в силу особливостей енергопостачання або можливості підключення. Служба Azure IoT Hub також створює для кожного пристрою окрему чергу.
Безпечна обробка і зберігання в хмарі
Azure IoT Hub гарантує комплексний захист на всіх рівнях передачі даних — від шифрування до обробки в хмарі. Служба забезпечує належну гнучкість і адаптивність, дозволяючи застосовувати додаткові методи шифрування ключів безпеки і розширені функції управління ключами. Для автентифікації та авторизації користувачів Azure IoT Hub використовується Microsoft Active Directory (AAD). У Azure IoT Suite реалізована модель авторизації даних у хмарі на основі політик, яка спрощує управління доступом і надає можливість перевірки та аудиту. Вона дозволяє практично миттєво відкликати дозволи на доступ до даних в хмарі і блокувати пристрої, підключені до Azure IoT Suite.

Передані в хмару дані можна обробляти та зберігати в будь-якому робочому процесі, визначеному користувачем. Microsoft Active Directory управляє доступом до різних розділів даних в залежності від використовуваної служби зберігання даних.

Все ключі, що використовуються інфраструктурою IoT, зберігаються в захищеному хмарному сховищі. Їх можна змінювати в разі, якщо буде потрібно їх повторне надання. Дані зберігаються в базі даних DocumentDB або базах даних SQL, що дозволяє визначати необхідні рівні безпеки. Крім того, в Azure є ефективні інструменти моніторингу та аудиту доступу до даних, що сповіщають користувача про вторгнення або несанкціонованому доступі.

Висновок
Інтернет речей починається з речей. З тих самих речей, які найбільш важливі для сучасних компаній. Технологія IoT дає компаніям неймовірні переваги — скорочення витрат, збільшення прибутку і перетворення бізнесу. Успіх такого перетворення багато в чому залежить від вибору надійного постачальника програмного забезпечення та служб IoT. Іншими словами, необхідно знайти такого постачальника, який не просто зуміє зрозуміти всі ваші потреби і допоможе грамотно перетворити ваш бізнес, але також надасть програми та служби, що гарантують безпеку, захист конфіденційності, прозорість та відповідність вимогам.

Microsoft Azure IoT Suite пропонує вбудовані інструменти для забезпечення безпеки і безпечного моніторингу ресурсів. Ці інструменти дозволять підвищити продуктивність і експлуатаційну ефективність, впровадити інновації і задіяти технології поглибленого аналізу даних для перетворення бізнесу. Багаторівневий підхід до забезпечення безпеки, різні компоненти безпеки і шаблони архітектури Azure IoT Suite — все це допоможе розгорнути інфраструктуру, яка стане надійним помічником компанії в перетворенні бізнесу.

докладніше
Всі попередньо налаштовані рішення в рамках Azure IoT Suite створюють такі екземпляри служб Azure:

  • Azure IoT Hub. Шлюз, за допомогою якого встановлюється з'єднання між хмарою і «речами». Ви можете масштабувати свою інфраструктуру, налаштовуючи мільйони підключень до кожного концентратора, і обробляти величезні обсяги даних за допомогою перевірки автентичності всіх пристроїв, яка гарантує безпеку і захист для всього рішення.

  • Azure DocumentDB. Масштабована, індексується повністю служба баз даних, яка використовується для зберігання напівструктурованих даних. Вона управляє метаданими пристроїв (атрибутами, конфігурацією і параметрами безпеки) при підготовці їх до роботи. DocumentDB забезпечує високу продуктивність і пропускну здатність при обробці даних, а також індексацію без урахування схеми і покращений інтерфейс для створення SQL-запитів.

  • Azure Stream Analytics. Завдяки потокової обробки в хмарі в режимі реального часу можна швидко розробляти і розгортати недорогі аналітичні рішення, щоб в реальному часі аналізувати дані, що надходять від пристроїв, датчиків, елементів інфраструктури та додатків. Дані, отримані з цієї повністю керованої служби, можна масштабувати без обмежень, зберігаючи високу пропускну здатність, стійкість і низьку затримку.

  • Azure App Services. Хмарна платформа для розробки потужних веб — і мобільних додатків, здатних підключатися до даних як в хмарі, так і локально. Розробка привабливих мобільних додатків для платформ iOS, Android і Windows. Вбудовані функції підключення до десятків хмарних служб і корпоративних додатків забезпечують можливість інтеграції з додатками SaaS і корпоративних. Завдяки можливості написання коду потрібною мовою і інтерфейсу IDE (.NET, NodeJS, PHP, Python або Java) можна ще швидше створювати веб-додатки та API.

  • Додатки логіки. Функція додатків логіки в службі додатків Microsoft дозволяє інтегрувати рішення IoT в існуючі бізнес-системи і ефективно автоматизувати робочі процеси. Розробники можуть використовувати додатки логіки для створення робочих процесів, які запускаються у відповідь на дію і виконують послідовність дій — правила та операції, що використовують ефективні з'єднувачі для інтеграції з існуючими бізнес-процесами компанії. Додатки логіки також надають вбудовані функції підключення до екосистемі SaaS, хмарної середовищі і локальних програм.

  • Сховище великих двійкових об'єктів. Надійне і економічне хмарне сховище для даних, що передаються пристроями в хмару.
Корисні матеріали
Ми також пропонуємо ознайомитися з іншими функціями і можливостями попередньо налаштованих рішень IoT Suite:

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.