文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

关键基础设施的物联网安全解决方案

2024-12-01 17:34

关注

与 2020 年相比, 2021 年企业每周遭受的网络攻击尝试 (darkreading.com) 增加了 50%​。更令人担忧的是埃森哲的网络犯罪成本研究发现小型企业受到 43% 的网络攻击,但只有 14% 的企业可以自卫。在这个“连接”设备激增的时代,安全性至关重要,但与此同时,由于担心公众知道组织遭到破坏,因此对风险和解决方案都保持着震耳欲聋的沉默.

安全解决方案不再只是购买病毒扫描包,而是需要对不断增加的进出网络的设备组合进行日复一日的分析。以下是这些设备的列表以及通过 IoT 平台在绿地或棕地环境中集成它们的推荐安全性。

典型的建筑“边缘”解决方案

这些边缘解决方案通常由许多零件和零件组成,每个零件和零件都来自不同的制造商,而且通常是不同型号和不同代的设备。物联网桥设备通常用于收集这些数据并将其合理化为可用的形式,最重要的是,云中的存储桶用于基于结果的实时和历史分析。这从“边缘”的一般专用网络开始我们的故事。 

边缘专用网络和 RTU– 从远端设备的本地协议收集信息的边缘网桥或远程终端单元 (RTU) 的环境。这通常可以包括传感器或系统在诸如 Modbus、BACnet、SNMP 等事物上进行通信。通常还有基于 TCP/IP 的设备,但这被认为是边缘的非公共网络,边缘网桥作为其数据收集器运行,同时也是 DHCP、DNS 和其他网络服务的服务提供商. 然而,无论你怎么看,它都是一个私有网络,以 Bridge 作为向云提供数据的唯一事实来源。对此的访问通常通过不直接在互联网上的专用网络进行保护,即使在需要蜂窝网络的情况下,这些网络也可以在蜂窝运营商上的专用 APN 上运行以限制流量。

专用网络应包含所有支持 TCP/IP 的远端设备、RTU 和云基础设施。大多数情况下,漏洞的外部攻击媒介来自用户界面 (UI),因为它很可能有一个开放的端口。

通过边缘桥接的标准物联网解决方案通常提供可配置的可信客户端,以允许访问内部设备 UI。这些可以放在具有已建立的双因素身份验证 (2FA) 方案的虚拟专用网络 (VPN) 后面。如果在不部署 VPN 的情况下绝对需要外部客户端,请确保至少使用以下方式部署您的 Web 服务器:

注意:边缘设备通常需要升级。强烈建议升级,因为它们通常包括安全增强功能。最好在需要人工干预的定期维护间隔执行升级,或者,如果不可能,手动打开然后关闭端口以允许升级。这确实需要代表运营商付出更多努力,但在无法提供内部升级服务时,这被视为设备安全性的最安全的边缘设备升级方式。

关键设施监控软件(CFMS) 是一种基于云和边缘的解决方案,可实现远程边缘设备信息的监控、数据聚合、数据打包、诊断和远程控制。它还支持从单个或集中位置进行远程多站点管理——连接到数据库(内部或外部)以允许长期存储远端数据。如前所述,它们通常充当边缘现场物联网设备和内部网络之间的仲裁者和防火墙,设备数据存储和远程操作发生在内部网络。  

  1. 在物联网平台的用户管理中使用强用户密码——最好是单点登录 (SSO) 集成。
  2. 虽然某些解决方案具有内置保护,但管理所有文件权限至关重要。
  3. 在规划用户权限管理时,请特别注意数据源的细粒度权限,以确保分配所有基于角色的访问权限。确保特别注意继承和增强的访问控制。

在任何边缘设备防火墙上使用白名单,仅将批准的云连接列入白名单以进行数据传输。

物联网云服务通常包括虚拟计算机资源、用于长期边缘数据存储的数据库技术、防火墙和支持边缘设备的网络。Amazon (Amazon Web Services)、Google (Google Cloud Platform)、Microsoft (Azure) 和 Digital Ocean 是您可以使用的常见云提供商之一,尽管在不愿意的环境中使用“裸机”实例并不少见使用云提供商。

  1. 仅将公共网络端口限制为所需的 CFMS 端口。
  2. 将专用网络端端口限制为“按需”。这在很大程度上取决于您的物联网解决方案。端口越少越好。
  3. 如果您决定部署独立的 CFMS 数据库而不是供应商提供的集成数据库,请确保数据库与供应商解决方案的 CFMS 运行时不在同一 VM 上,并使用虚拟私有云 (VPC) 与数据库以避免任何打开公共端口的要求。任何时候都不要让公共端口对数据库可用。
  4. 如果 CMFS 需要外部 Web 访问,请始终使用 SSL 证书和安全端口。

CFMS 数据库是从远端设备收集数据的位置。通常,这来自您的云提供商,并且来自边缘位置的所有数据在打包后都流向此处。它是您的分析源的唯一来源。不要将此与外部数据湖也连接到云提供商以允许自定义应用的数据存储的实例混淆。数据库是唯一的事实来源,CFMS 通常包含一个方便的 API,可通过 REST API 或 gRPC 访问该数据库。

网络基础设施是虚拟或物理网络组件的集合,包括路由器、交换机、防火墙、DHCP 服务器、蜂窝调制解调器等,可促进专用或公共网络中设备之间的以太网流量。在任何云环境中,这通常是系统固有的。

棕地系统通常是在没有 RTU 的情况下运行的边缘系统。它们通常是预先存在的,并且被认为过于昂贵,没有切实的投资回报率可以替代。它们可以在 TCP/IP 或其他专有协议上运行。这些示例包括照明系统、楼宇管理系统 (BMS) 以及火警和灭火系统。

  1. 这种类型的设备,即使是 TCP/IP,也不应该公开遍历物联网云。它们应该被降级到边缘,并允许 RTU 执行与这些网桥的通信功能以限制风险。
  2. 实践最小权限原则,以验证您仅被授予完成与这些设备的任何通信所需的功能所需的最低限度。
  3. 理想情况下,如果可用,请使用 TLS 加密有效负载流量。

上游连接(潜在)是边缘到云的物理连接。这是与关键设施管理软件所在位置的基于 TCP/IP 的连接。它被认为是潜在的不可靠性,因为任何物联网解决方案都应该能够容忍蜂窝、卫星和 Wi-Fi 等情况下的上游不稳定性。

服务总线是经过身份验证的 REST API,允许第三方软件和分析使用关键设施监控软件存储的数据(当前和历史)。它还允许外部访问 CFMS 数据库,通常用于外部分析。

安全威胁不会消失。事实上,去年,美国、澳大利亚和英国的网络安全当局报告称,针对全球关键基础设施组织的复杂、高影响力的勒索软件事件有所增加。多站点关键基础设施运营经理采取措施保护他们的站点并确保为依赖它们的客户和组织提供不间断的服务变得越来越重要。这些建议只是全球任何物联网解决方案中应被视为基础的开始。

对于任何组织来说,最好的选择是与物联网平台公司合作,讨论他们现有的基础设施和未来的潜在需求。

来源:千家网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯