物联网安全解决方案必须内置,不应扩展
为了实现设备完整性、数据保护和设备管理,自己动手 (DIY) 安全解决方案并不可行,即使您是经验丰富的工程师仍应如此。最近的物联网设备漏洞明确地体现了这一点,代价巨大。最近发现,有超过 50 亿的蓝牙设备容易受到 BlueBorne 恶意软件攻击。只要打开蓝牙设备,黑客就能进行攻击。黑客然后可以注入恶意代码,在一些情况下,黑客可以拦截来自 Windows 电脑的网络流量,并随意修改。这不是一个孤立事件。一次快速搜索会导致数十次攻击。物联网设备因制造商使用默认密码和不必要的开放端口而易受感染,因此,此类密码和端口可被用作攻击整个物联网堆栈的手段。这正是为何物联网安全攻击如此严重的原因:犯罪者不仅可以窃取数据并关闭服务,还会对设备到云流中任意位置的设备和用户造成损害。当然,设计人员可以下载一些开源的传输和加密代码,并将其连接到应用程序,但这不可避免地会导致可被黑客发现的缺口。虽然当今市售的商业安全平台并没有彻底消除安全风险,但必定可以降低安全风险。为了获得最佳安全性,这些解决方案必须无缝集成到一个平台中,而不是作为单独发售的扩展设计。
物联网安全解决方案与传统安全解决方案
物联网安全措施与更传统的安全措施之间存在一些主要区别。传统安全解决方案假定 IT 可以控制对隔离网络上的设备和数据的访问,这两者都存在于定义的物理环境中。用于保护这些设备和数据的解决方案在端点上需要相当大的计算能力,例如防病毒软件、防火墙和入侵检测/防御系统 (IDS/IPS)。如果需要安全更新,可以轻松地在设备上下载和安装最新的补丁。而物联网安全解决方案更像是拓荒前的美国西部。设备通常存在于相对开放的网络上,往往处于没有物理保护措施的区域。计算能力更为有限 — 特别是对于电池供电的设备,如同发布软件更新的能力。而且,物联网系统的端点可能为安全软件留出很小空间或甚至未留空间。因此,物联网安全解决方案必须在边缘设备通信之前进行身份验证,并将数据从终端设备一直保护到云端。这意味着必须在设备交付之前内置安全解决方案,而不要在现场部署设备后再扩展安全解决方案。
内部 DIY 安全解决方案的缺点
为了更好地了解物联网安全遭受的巨大影响,我们以典型系统架构为例说明:
- 设备端:包括物联网设备、应用程序、数据以及与网络交换机/网关的连接
- 网络交换机/网关:包括网络交换机/网关、路由软件和其他应用程序以及与设备端和云之间的通信
- 云:包括服务器基础设施、存储数据、本机应用程序、可能访问的硬件安全模块 (HSM) 以及与网络交换机/网关或设备之间的向南通信机制
若要开发内部物联网安全解决方案来应对上述领域中的问题,设计团队必须在范围、时间和成本之间进行权衡。用于构建此类解决方案的组件通常借鉴自内部开发和开源社区,如 SSL/TLS、OpenSSH、OpenVAS、AES、TrueCrypt 等。不幸的是,在许多情况下,这些组件甚至都是在物联网产生之前开发出来的。它们通常认为物联网不会延伸到防火墙之外,并且在许多情况下不会超出所有围墙,因为物联网设备悬挂在野外电线杆和其他结构中。这便造成许多不可预见的攻击机会(图 1)。
将由多个装置、设备、服务和软件包组成的物联网系统拼凑在一起形成的安全解决方案并不是最佳选择。一则,它可能导致安全解决方案组合庞大且缺乏整合性。每个单点解决方案必须单独管理,这增加了工程支持的负担。单点解决方案之间也难以共享数据,从而导致用户缺乏安全性整体了解,以及形成威胁检测的限制。二则,增加的复杂性可能会产生摩擦,因为新的应用程序和服务必须与一系列专门技术兼容,每种技术都具有自己的 API、策略和要求。如果选择了错误的安全解决方案,对敏捷性和上市时间的影响可能是巨大的。创建紧密集成的物联网安全解决方案的挑战通常以工作年数测量,而不是工作时数。
综合安全方法
Centri 物联网高级安全 (AS) 平台面向寻求一开始即集成安全解决方案的设计师(图 2) 该平台允许开发人员将基于标准的加密和高级密码集成到物联网解决方案堆栈中,实现从芯片到云的安全通信、静态数据保护以及数据取证的管理控制台。IoTAS 平台的主要组件包括:
- 安全通信端点:允许开发人员使用设备软件堆栈中的轻量级安全通信库或代理客户端,将其设备端安全解决方案集成到物联网应用程序中。它与安全通信服务结合使用,确保数据安全移入/移出云端。
- 数据保护工具:可以使用 API 从物联网应用程序调用轻量级数据保护库,以在数据进入设备或本地存储器之前加密数据。
- 安全通信服务:该工具在现有的应用服务器上运行,为云基础设施提供安全保障。
特别是,CENTRI 安全通信库和安全通信服务有助于在物联网设备和云基础设施之间立即进行加密单级握手。这降低了复杂证书管理方案的复杂性,并且消除了使用第三方证书颁发机构 (CA) 解决方案的需要。该系统还采用无保管库密钥管理技术,将加密密钥信息嵌入数据,因而无需使用 HSM 或第三方密钥存储机制。智能缓存和数据压缩技术有助于将安全解决方案的开销降至 1% 的 CPU 利用率,使平台适用于资源受限的物联网设备。CENTRI IoTAS 的每个组件都不需要设备和操作系统支持,从而经验丰富的开发人员可在一天之内将这些技术集成到应用程序代码中。
安全性:内置对比扩展
如果许多第三方商业安全解决方案提供比 DIY 替代方案更好的保护,那么后期设计阶段实施时的成本和管理开销也会显著增加。更好的选择是尽可能早地在端点和云端安装安全解决方案。这既降低了设备遭受攻击和数据泄露的风险,又缩短了上市时间。