Geriausia IIC baigties saugumo praktika

Gana neseniai „The Industrial Internet Consortium“ išleido įdomų dokumentą su jų rekomenduojama geriausia galutinio saugumo praktika.

„Barbara IoT“ visada džiaugiasi tokiomis iniciatyvomis, nes mes tvirtai tikime, kad reikia dar daug nuveikti IoT saugumo srityje, o įrenginys yra bene silpniausia dabartinė daiktų interneto vertės grandinė. Ir kaip mes žinome, grandinė yra tokia pat stipri kaip silpniausia grandis, todėl pritvirtinti įtaisus būtų būtina (jei to dar nėra).

Šiame straipsnyje pateikiami IIC rekomendacijų pagrindai ir pateikiamos jų palyginimas su „Barbara“ programinės įrangos platforma - saugiu IoT įrenginių gyvenimo ciklo sprendimu. Ši lentelė apibendrina atitikties matricą:

Bet įsigilinkime į detales ...

Apsaugos lygiai:

IIC apibrėžia tris apsaugos lygius: Pagrindinį saugos lygį (SLB), Sustiprintą saugos lygį (SLE) ir Kritinį saugos lygį (SLC), atitinkančius 2, 3 ir 4 apsaugos lygius, kaip apibrėžta IEC 62443 3–3. Pagrindinis lygis apsaugo nuo „tyčinio pažeidimo, naudojant paprastas priemones, turint mažai išteklių“. Padidėjęs lygis apsaugo mūsų sistemą nuo „sudėtingų priemonių su nedideliais ištekliais“. Kritinio lygio apsauga yra užtikrinama „sudėtingesnėms priemonėms su dideliais ištekliais“. Priklausomai nuo programos ir aplinkybių, turite apsaugoti savo baigtį tinkamu saugos lygiu.

Remdamasi šiais saugumo lygiais, IIC siūlo tris skirtingas architektūras, kurios turėtų būti pagrįstos atvirais standartais ir kurios turėtų būti suderinamos tarp daugelio pardavėjų ir kelių platformų galinių taškų, kad būtų laikomos saugiomis.

IIC siūlomos architektūros

Leiskite įsigilinti į kiekvieną iš šių komponentų, išsamiau aprašyti juos ir sužinoti, kaip „Barbara“ programinės įrangos platforma atitinka IIC gaires.

Pasitikėjimo šaknis:

Pasitikėjimo šaknis (RoT) yra kiekvieno galutinio taško saugumo pagrindas ir teikia tokias funkcijas kaip galinio taško tapatumas ir programinės įrangos bei aparatinės įrangos tapatumo ir vientisumo patvirtinimas. Kaip galite įsivaizduoti, galinis taškas bus toks pat stiprus kaip ir pasitikėjimo šaknis, todėl privaloma saugiai įgyvendinti pasitikėjimo šaknį.

Tiksliau, IIC tvirtina, kad siekiant pagerinti ir kritinius saugumo lygius, „Root of Trust“ turėtų būti įdiegtas remiantis aparatine įranga. Norint įvykdyti IIC rekomendacijas, mums gali prireikti specialaus aparatūros saugos lusto (ar panašaus) su atsparumu klastojimui.

Kalbant apie pasitikėjimo šaknis, „Barbara“ programinės įrangos platforma sujungia visas saugos priemones, kad sustiprintų pasitikėjimo šaknis. Mūsų programinės įrangos paketas naudoja privačiai priklausančią PKI (viešojo rakto infrastruktūra, pagrįsta viešojo rakto kriptografijos standartais) ir pateikia atitinkamus kabliukus, leidžiančius lengvai integruoti su kliento pasirinktais patikimų platformų moduliais.

Galinio taško tapatybė:

Galinio taško tapatybė yra pagrindinis komponentas, leidžiantis sukurti kuo daugiau saugumo funkcijų. Remiantis IIC rekomendacijomis, PKI (viešojo rakto infrastruktūros) parama yra privaloma, kad ji apimtų pagrindinį, patobulintą ir kritinį lygį. Taip pat rekomenduojama įdiegti atvirą standartinį sertifikatų valdymo protokolą, skirtą išduoti ir valdyti sertifikatus iš vidinės ar išorinės CA (sertifikatų institucija).

Kaip komentuojama anksčiau, „Barbara“ programinės įrangos platforma įtraukia savo PKI, pagrįstą PKCS („Freeipa“, www.freeipa.org/). „FreeIPA“ yra integruotas tapatybės ir autentifikavimo sprendimas, teikiantis centralizuotą autentifikavimo, autorizacijos ir sąskaitos informaciją. Kaip paprašė IIC, „FreeIPA“ yra sukurta ant gerai žinomų atvirojo kodo komponentų ir standartinių protokolų.

Saugus įkrovimas:

Patikima „Secure Boot“ sistema, kriptografiškai sauganti galinio taško maitinimą, vėlgi yra pagrindinio, patobulinto ir kritinio lygio reikalavimas. Remiantis geriausia IIC praktika, tai gali būti įgyvendinta kriptografinė maiša, pagrįsta PKCS (viešojo rakto kriptografijos standartais). Tai darydami galime būti tikri, kad programinė įranga be tinkamų raktų galės paleisti įrenginį. „Barbara“ programinės įrangos platforma, esant protingoms pastangoms, gali būti perkelta į aparatūros plokštes, palaikančias saugų įkrovą.

Kriptografinės paslaugos ir saugūs ryšiai:

Kriptografijos naudojimas duomenų perdavimo (judesio metu), duomenų saugojimo (ramybės būsenoje) ir programų (naudojamų) metu yra aiškus reikalavimas minėtiems trims saugos lygiams (pagrindinis, patobulintas, kritinis). Tokiai apsaugai užtikrinti reikalingos šios savybės:

  • Kriptografiniai algoritmai, pagrįsti NIST / FIPS patvirtintais standartais.
  • Asimetriniai ir simetriniai šifro rinkiniai, maišos funkcijos ir atsitiktinis skaičius. pakankamai stiprūs generatoriai, pagrįsti PKCS (viešojo rakto kriptografijos standartais)
  • Kriptografinių algoritmų atnaujinimo lauke gebėjimas padengti galimus pažeidžiamumus.
  • Politika pagrįsta programų, naudojančių kriptografines funkcijas, kontrolė, vengiant nesaugios kriptografijos.
  • Šifravimo raktų ir sertifikatų sąveika tarp daugelio pardavėjų sistemų.

„Barbara“ programinės įrangos platformoje įdiegtos kelios funkcijos, užtikrinančios kriptografinių paslaugų kokybę. Jis pagal nutylėjimą naudoja LUKS, kuris yra LINUX standžiojo disko šifravimo standartas. LUKS yra atviras, todėl yra lengvai patikrinamas ir remiasi PKCS, kaip rekomenduojama.

Duomenų perdavimo srityje „Barbara OS“ yra reikalingos bibliotekos, reikalingos palaikyti ryšį naudojant IoT standartinius programų protokolus per šifruotą transportą (TLS ir DTLS).

Be to, trims apibrėžtiems lygiams reikalingas saugus ryšys tarp galo. Šis ryšių paketas turėtų apimti autentifikavimo, apsaugoto ryšio, galutinio taško užkardą ir saugių transportavimo protokolų (TLS, DTLS, SSH ...) palaikymą. Visos šios funkcijos yra įtrauktos į „Barbara“ programinės įrangos platformą, todėl VISOS „Barbaros“ komunikacijos yra autentifikuotos ir užšifruotos.

Galinio taško konfigūravimas ir valdymas

Mastelis keičiamas taip, kad būtų atnaujinta operacinė sistema, programos ir (arba) įrenginio konfigūracija turi atitikti patobulintą ir kritinį lygius, atsižvelgiant į tai, kad gali reikėti tokius atnaujinimus atlikti per milijoną galinių taškų tuo pačiu metu. Žinoma, visos šios operacijos turėtų būti atliekamos saugioje aplinkoje, įskaitant sertifikatu pagrįstą patvirtinimą tarp subjekto, teikiančio naujinimą, ir galutinio taško, gaunančio jį.

Šiuo atžvilgiu „Barbara“ programinės įrangos platforma apima „Barbara“ grupę. „Barbara Panel“ yra serverio sprendimas, skirtas valdyti visus IP diegimo galinius taškus. Tai suteikia paprastą ir centralizuotą konsolę OTA (Over the Air) atnaujinimų valdymui, įrenginio stebėjimui ir konfigūracijos valdymui. Visos šios funkcijos siūlomos geriausios klasės saugumo aplinkoje.

Nuolatinis stebėjimas

Remiantis IIC, būtina nustatyti galutinio taško stebėjimą realiuoju laiku. Tai leistų vartotojui valdyti neleistinus konfigūracijos pakeitimus ir užkirsti jiems kelią, ir programos lygmeniu būtų galima valdyti, kad būtų galima aptikti ir užkirsti kelią neteisėtai veiklai, nes naudojami nesaugūs šifrai, kurie gali pakenkti sistemai.

„Barbara“ skydelyje yra ir „Alert“ sistema, leidžianti vartotojui gauti iš anksto nustatytus saugos įspėjimus ir apibrėžti savo įspėjimus bei nukreipti juos į galinius taškus.

Politikos ir veiklos informacijos suvestinė

Norint atitikti kritinį lygį, reikalingas sugebėjimas galinius taškus valdyti nuotoliniu būdu. Sistemos administratorius turėtų sugebėti vykdyti ir vykdyti strategijas taip, kad būtų garantuojamas teisingas politikos paskirstymas tinkle, tokiu būdu veikiant kaip veiksmingą saugos sistemą.

„Barbara Panel“ leidžia dislokacijos vadybininkams stebėti galutinio taško veiklą ir apibrėžti bei pritaikyti saugos strategijas, remiantis gauta informacija. Pavyzdžiui, nustatant įtartinus ryšių modelius, naujoji politika gali diegti naujas taisykles minėtoje užkardoje.

Sistemos informacija ir įvykių valdymas

Ryšium su ankstesne pastraipa, galimybė kritiškai saugoti įvykių žurnalus ir apibrėžti bei paskirstyti strategijas remiantis informacija iš žurnalų taip pat yra kritinio lygio reikalavimas. Rekomenduojama šias valdymo operacijas atlikti naudojant duomenų modelius arba išplėstinius formatus, tokius kaip REST API ar JSON.

„Barbara“ programinės įrangos platformos registravimo sistema teikia sistemos administratoriams didelį kiekį informacijos, kuri būtų naudojama kuriant saugumo politiką.

Išvada

„Barbara IoT“ labai stengiasi sukurti saugų produktą. Produktas, kuris gali būti naudojamas atsižvelgiant į reikliausius scenarijus pramoninės saugos požiūriu. Kaip ir IIC, mes manome, kad šios rūšies iniciatyvos gali padėti visos pramonės ekosistemai, nes skatina pasitikėjimą ir įgalina visus ekosistemos dalyvius.

Nuorodos:

  • http://www.iiconsortium.org/
  • „IIC Endpoint Security“ geriausia praktika; IIC: WHT: IN17: V1.0: PB: 20180312 Steve Hanna, Srinivas Kumar, Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • Ką vartotojai turėtų žinoti apie viso disko šifravimą, pagrįstą LUKS, Simone Bossi ir Andrea Visconti; Kriptografijos ir kodavimo laboratorija (CLUB), Kompiuterių mokslo katedra, Universiteto degli studi di Milano http://www.club.di.unimi.it/

Šis įrašas iš pradžių buvo paskelbtas barbaraiot.com 2018 m. Birželio 6 d. Jei jums tai patinka ir norite gauti panašaus turinio, užsiprenumeruokite mūsų naujienlaiškį