IIC parametru drošības paraugprakse

Diezgan nesen The Industrial Internet Consortium ir izlaidis interesantu rakstu ar ieteikto parametru Drošības paraugprakse parametram.

Barbara IoT vienmēr ir sajūsmā par šāda veida iniciatīvām, jo ​​mēs esam pārliecināti, ka IoT drošībā ir daudz darāmā, un ierīce, iespējams, ir vājākais posms, kas pašlaik atrodas IoT vērtību ķēdē. Un kā mēs zinām, ķēde ir tikpat stipra kā vājākais posms, tāpēc obligāti būtu jāpiestiprina ierīces (ja tā vēl nav).

Šajā rakstā ir aprakstīti IIC ieteikumu pamati un tos salīdzināti ar Barbara programmatūras platformu, kas ir drošs IoT ierīču dzīves cikla risinājums. Šajā tabulā ir apkopota atbilstības matrica:

Bet iedziļināsimies detaļās….

Drošības līmeņi:

IIC definē trīs drošības līmeņus: drošības līmeņa pamatlīmeni (SLB), uzlaboto drošības līmeni (SLE) un kritisko drošības līmeni (SLC), kas atbilst 2., 3. un 4. drošības līmenim, kā noteikts IEC 62443 3–3. Pamata līmenis aizsargā pret “tīšu pārkāpumu, izmantojot vienkāršus līdzekļus ar maziem resursiem”. Paaugstināts līmenis aizsargā mūsu sistēmu pret “sarežģītiem līdzekļiem ar mēreniem resursiem”. Kritiskā līmeņa paaugstināšana nodrošina aizsardzību “sarežģītiem līdzekļiem ar paplašinātiem resursiem”. Atkarībā no lietojumprogrammas un apstākļiem jums ir jānosargā savs galapunkts ar atbilstošu drošības līmeni.

Balstoties uz šiem drošības līmeņiem, IIC piedāvā trīs dažādas arhitektūras, kurām vajadzētu būt balstītām uz atvērtiem standartiem un kurām jābūt sadarbspējīgām starp vairākiem pārdevējiem, vairāku platformu gala punktiem, lai tos uzskatītu par drošiem.

IIC piedāvātās arhitektūras

Padziļināti izpētīsim katru no šiem komponentiem, sīkāk aprakstot tos un atklājot, kā Barbara programmatūras platforma atbilst IIC vadlīnijām.

Uzticības sakne:

Uzticības sakne (RoT) ir katra parametra drošības pamats un nodrošina tādas funkcijas kā parametra identitāte un programmatūras un aparatūras identitātes un integritātes apliecināšana. Kā jūs varat iedomāties, galapunkts būs tikpat spēcīgs kā uzticības sakne, tāpēc droša uzticības saknes ieviešana ir obligāta.

Konkrēti IIC apgalvo, ka paaugstinātiem un kritiskiem drošības līmeņiem uzticības sakne jāievieš, pamatojoties uz aparatūru. Lai ievērotu IIC ieteikumus, mums var būt nepieciešama īpaša aparatūras drošības mikroshēma (vai līdzīga) ar izturību pret viltojumiem.

Attiecībā uz uzticības saknēm Barbara programmatūras platforma apvieno visus drošības elementus, lai stiprinātu uzticības saknes. Mūsu programmatūras pakotnē tiek izmantota privātā īpašumā esoša PKI (publiskās atslēgas infrastruktūra, kuras pamatā ir publiskās atslēgas kriptogrāfijas standarti), un tā nodrošina atbilstošus āķus, kas ļauj ērti integrēties ar klienta izvēlētiem uzticamās platformas moduļiem.

Galapunkta identitāte:

Galapunkta identitāte ir pamata sastāvdaļa, lai izveidotu lielāko daļu drošības elementu. Saskaņā ar IIC ieteikumiem PKI (publiskās atslēgas infrastruktūras) atbalsts ir obligāts, lai aptvertu pamata, uzlaboto un kritisko līmeni. Ieteicams arī ieviest atvērtu standarta sertifikātu pārvaldības protokolu sertifikātu izdošanai un pārvaldībai no iekšējās vai ārējās SI (sertifikātu iestāde).

Kā komentēts pirms Barbara programmatūras platformas, tā iekļauj savu PKI, kas balstās uz PKCS (Freeipa, www.freeipa.org/). FreeIPA ir integrēts identitātes un autentifikācijas risinājums, kas nodrošina centralizētu autentifikāciju, autorizāciju un konta informāciju. Pēc IIC pieprasījuma FreeIPA ir veidota uz labi zināmo atvērtā pirmkoda komponentu un standarta protokolu bāzes.

Droša sāknēšana:

Uzticama droša sāknēšanas sistēma, kas kriptogrāfiski aizsargā gala parametru jaudu, atkal ir prasība pamata, uzlabotajā un kritiskajā līmenī. Saskaņā ar IIC paraugpraksi to var ieviest uz kriptogrāfijas jaucieniem, pamatojoties uz PKCS (publiskās atslēgas kriptogrāfijas standartiem). To darot, mēs varam būt pārliecināti, ka programmatūra bez atbilstošiem taustiņiem spēs ierīci ielādēt. Barbara programmatūras platformu var pārvietot uz aparatūras plāksnēm, kas atbalsta drošu sāknēšanu saprātīgās piepūlē.

Kriptogrāfijas pakalpojumi un droša komunikācija:

Kriptogrāfijas izmantošana datu transportēšanas laikā (kustībā), datu glabāšanai (miera stāvoklī) un lietojumprogrammām (lietošanā) ir nepārprotama prasība trim iepriekšminētajiem trim drošības līmeņiem (Pamata, Papildu, Kritiskais). Šādas aizsardzības nodrošināšanai vajadzīgās funkcijas ir:

  • Kriptogrāfijas algoritmi, kuru pamatā ir NIST / FIPS apstiprināti standarti.
  • Asimetriski un simetriski šifru komplekti, sajaukšanas funkcijas un nejaušais skaitlis. pietiekami spēcīgi ģeneratori, kuru pamatā ir PKCS (publiskās atslēgas kriptogrāfijas standarti)
  • Kriptogrāfijas algoritmu lauka atjaunināšanas spēja aptvert iespējamās ievainojamības.
  • Uz politiku balstīta kriptogrāfijas funkciju izmantošanas kontrole, izvairoties no nedrošas kriptogrāfijas izmantošanas.
  • Kripto atslēgu un sertifikātu sadarbspēja vairāku pārdevēju sistēmās.

Barbara programmatūras platforma realizē vairākas funkcijas, kas garantē kriptogrāfijas pakalpojumu kvalitāti. Pēc noklusējuma tas izmanto LUKS, kas ir LINUX cietā diska šifrēšanas standarts. LUKS ir atvērts, tāpēc tas ir viegli pārbaudāms, un tā pamatā ir PKCS, kā ieteikts.

Datu transporta pusē Barbara OS satur nepieciešamās bibliotēkas saziņai, izmantojot IoT standarta lietojumprogrammu protokolus, izmantojot šifrētu transportēšanu (TLS un DTLS).

Turklāt trīs definētiem līmeņiem ir nepieciešama droša visaptveroša komunikāciju kaudze. Šajā sakaru paketē jāiekļauj autentifikācijas, aizsargāta savienojamības, parametru ugunsmūra un drošu transporta protokolu (TLS, DTLS, SSH…) atbalsts. Visas šīs funkcijas ir iekļautas Barbara programmatūras platformā, tāpēc VISI Barbara sakari tiek autentificēti un šifrēti.

Galapunkta konfigurēšana un pārvaldība

Ir nepieciešama mērogojama sistēma operētājsistēmas, lietojumprogrammu un / vai ierīces konfigurācijas atjaunināšanai, lai nodrošinātu atbilstību uzlabotajam un kritiskajam līmenim, ņemot vērā, ka, iespējams, būs nepieciešams veikt šādus atjauninājumus vienlaikus vairāk nekā miljonā parametru. Protams, visas šīs darbības jāveic drošā vidē, ieskaitot validāciju, kas balstīta uz sertifikātu, starp entītiju, kas apkalpo atjauninājumu, un galapunktu, kas to saņem.

Šajā sakarā Barbara programmatūras platformā ietilpst Barbara panelis. Barbara panelis ir servera puses risinājums, lai pārvaldītu visus IoT izvietošanas parametrus. Tas nodrošina vienkāršu un centralizētu konsoli OTA (Over The Air) atjauninājumu pārvaldībai, ierīces uzraudzībai un konfigurācijas pārvaldībai. Visas šīs funkcijas tiek piedāvātas labākās klases drošības vidē.

Nepārtraukta uzraudzība

Saskaņā ar IIC kritiskā drošības līmeņa prasība ir parametra uzraudzība reāllaikā. Tas ļautu lietotājam kontrolēt un novērst neatļautas konfigurācijas izmaiņas un veikt kontroli lietojumprogrammu līmenī, lai atklātu un novērstu neatļautas darbības, jo tiek izmantoti nedroši šifri, kas var apdraudēt sistēmu

Barbaras panelī ietilpst un trauksmes sistēma, kas ļautu lietotājam saņemt iepriekš noteiktus drošības brīdinājumus un definēt savus brīdinājumus un virzīt tos uz gala punktiem.

Politikas un darbības informācijas panelis

Lai nodrošinātu atbilstību kritiskajam līmenim, ir nepieciešama spēja attālināti pārvaldīt parametrus. Sistēmas administratoram vajadzētu būt iespējai virzīt un izpildīt politikas tādā veidā, kas garantē pareizu politikas sadalījumu tīklā, darbojoties šādā veidā kā efektīvs drošības pamatsistēma.

Barbara panelis ļauj izvietošanas vadītājiem uzraudzīt parametru darbības un noteikt un virzīt drošības politikas, pamatojoties uz iegūto informāciju. Piemēram, jaunās politikas var izvietot jaunus noteikumus iepriekšminētajā ugunsmūrā, kad tiek atklāti aizdomīgi sakaru modeļi.

Informācija par sistēmu un notikumu vadība

Saistībā ar iepriekšējo rindkopu spēja uztvert notikumu žurnālus un definēt un izplatīt politikas, pamatojoties uz informāciju no žurnāliem, ir arī Kritiskā līmeņa prasība. Šīs pārvaldības operācijas ieteicams veikt, izmantojot datu modeļus vai paplašināmus formātus, piemēram, REST API vai JSON.

Barbara programmatūras platformas reģistrēšanas sistēma nodrošina sistēmas administratorus ar lielu informācijas daudzumu, kas tiktu izmantots drošības politikas ģenerēšanai.

Secinājums

Barbara IoT pieliek lielas pūles, lai izveidotu drošu produktu. Produkts, ko rūpnieciskās drošības ziņā var izmantot visprasīgākajos scenārijos. Tāpat kā IIC, mēs domājam, ka šāda veida iniciatīvas var palīdzēt visas nozares ekosistēmai, veicinot uzticēšanos un dodot iespēju visiem ekosistēmas dalībniekiem.

Atsauces:

  • http://www.iiconsortium.org/
  • IIC parametru drošības paraugprakse; IIC: WHT: IN17: V1.0: PB: 20180312 Stīvs Hanna, Srinivas Kumars, Dens Vēbers.
  • https://github.com/guardianproject/luks/wiki
  • Kas lietotājiem būtu jāzina par pilnīgu diska šifrēšanu, pamatojoties uz LUKS, Simone Bossi un Andrea Visconti; Kriptogrāfijas un kodēšanas laboratorija (CLUB), Datorzinātnes nodaļa, Universitá degli Studi di Milano http://www.club.di.unimi.it/

Sākotnēji šī ziņa tika publicēta barbaraiot.com 2018. gada 6. jūnijā. Ja jums tas patīk un vēlaties saņemt līdzīgu saturu, abonējiet mūsu biļetenu.