物联网(IoT)在帮助产品开发和增强方面变得越来越重要。然而,它也可以在制造业内部带来显著的好处——简化流程和快速生产。
在本文中,我们将介绍一些关键的安全原则——物联网制造业的重要考虑因素。
1. 为什么要为你的产品或生态系统投资安全?
物联网在制造业中发挥着尤为重要的作用。物联网关乎进步。物联网展望未来,推动如何构建和构建解决方案的新方法。它还有助于推动运营和战略决策——作为一个嵌入传感器的物理设备网络,物联网可以收集和交换数据,帮助制造商优化产品和流程、操作和性能,减少停机时间并实现预测性维护。
因此,物联网带来了新的业务流和模式,使制造商保持竞争力。
因此,设备不能在没有适当安全措施的情况下简单地制造出来然后进入市场。每个设备都代表着潜在黑客攻击的入口。“设计安全”是至关重要的,它从制造点开始,然后允许组织从控制位置远程自动提供关键的安全更新。
制造业面临的一些最大的网络安全挑战是;
-
社会工程学
-
系统入侵
-
基本的web应用程序攻击
这些攻击背后的原因很大程度上与金钱有关,但产业间谍活动也是一个重要因素。
制造业中的任何组织,包括为该行业服务的供应网络,都容易受到网络攻击。
2. 数据安全和信任链
更聪明并不意味着安全。物联网需要一个持续的信任链,在不限制数据和信息通信能力的情况下提供适当的安全级别。物联网及其驱动的设备和应用程序导致产生了大量的、持续的、不断变化的数据。
数据从机器和工厂车间流向设备,再流向云,然后在供应链的所有利益相关者之间进行信息交换。每个设备都需要一个标识,以及在网络中自主传输数据的能力。如果没有充分的安全保护,允许设备连接到互联网会使它们面临许多重大风险。
尽管制造供应链为攻击者提供了许多危害设备的方法,但安全性通常是作为一种功能而添加的,而不是在产品生命周期的一开始就构建的重要组件。
物联网安全是保护设备和后续数据不被泄露的必要手段。
3. 组织如何成功地构建安全和安全的互联产品
“通过设计实现安全”的思想为组织提供了更大的投资回报,因为在产品生命周期的早期进行更改更容易,成本更低,特别是在适当的安全和隐私功能很少固定的情况下。
这种方法的“如何”更加多变,通常基于组织和操作环境。 首先,您必须像一个糟糕的参与者一样思考,并确定系统中的核心目标。在此基础上,评估该资产领域出现漏洞的可能性和严重程度,然后最终转移到技术评估以减轻风险。
这里的一个核心要点是,安全永远不会是一个人的责任,因为没有人会真正了解环境的全部范围。 这是一个团队游戏,必须这样玩才能成功。
我们想要解决的下一个在你的产品中实现安全的战术点是我们在这里称之为“站在巨人的肩膀上”。 我们的意思是,使用已经存在的工具和信息,你已经知道工作。
-
信息安全原则和最佳实践多年来已经成熟。我们不应该忽视互联网的成功,我们已经认识到信息安全原则和最佳实践已经成熟。
-
这不仅仅是关于“东西”。虽然炒作围绕的是解决方案中的“东西”,但它们只是生态系统的一个组成部分,我们仍然会有用户、服务和组织,它们将是核心和必要的参与者。
-
解决方案已经存在 ,已经尝试和测试。虽然不可否认,设备带来了新的考虑,但现有的解决方案和标准已经成功,可以应用于设备环境,实现分布式和可信的身份保证。 并且这些解决方案的好处是在现有的互联网中被测试和改进 。
总结一下,我们将讨论的一些构建到物联网产品中的核心信息安全概念包括身份验证,从某种意义上说,在用户和设备之间以及从设备到设备之间进行身份验证。 其次是加密,它为两个实体之间的通信提供隐私和保密。处理数据和通信的完整性也是至关重要的,这样消息就可以被信任,而不会在传输过程中被改变。
4. 物联网产品架构师或开发人员如何解决这些问题?
公钥基础设施(Public Key Infrastructure, PKI)是目前已被证实的设备身份识别技术解决方案之一。PKI在各种协议和标准(如TLS)中的应用,实际上是信息安全的瑞士军刀,它允许你实现一系列信息安全原则,包括我们刚才提到的三个原则。
公钥基础设施(公钥基础设施PKI)是目前已被证实的设备身份识别技术解决方案之一。PKI在各种协议和标准(如TLS)中的应用,实际上是信息安全的瑞士军刀,它允许你实现一系列信息安全原则,包括我们刚才提到的三个原则。
您可以使用一些技术和解决方案来限制您对制造环境的信任程度,同时仍然可以构建可信赖的产品并降低过度生产的风险。我们介绍的方法 在设备和平台构建过程中将TPM硬件与PKI注册技术相结合。
利用这些技术可以帮助您达到构建产品的情况,在这种情况下,您可以确保硬件保护的完整性,确保您向设备颁发的凭据受到硬件的保护,并且在从可信层次颁发身份之前,注册过程已经验证了这些组件和假设。
5. 通用架构考虑事项
如果我们可以想象设备在生产线上运行,通常在构建过程的最后阶段,设备进入配置和初始化阶段。在这个阶段,这是我们规定设备标识供应发生的地方。 生产线上的配置系统与设备接口,可能通过探针或网络连接,并将促进设备创建密钥、提取设备ID号并将身份发放请求代理给GlobalSign的IoT Edge Enroll。
Iot Edge Enroll 将颁发证书并将其安装回设备上。 在此阶段之后,您将拥有一个由可信签发过程提供的身份凭据的配置设备,安全硬件将保护其不受损害。 凭据可以在设备生命周期的运行阶段用于身份验证和其他安全需求。
这些技术在垂直方向上的应用和用例范围是不可知的。 然而,有一些 特别适合应用PKI和物联网的强设备标识。
这些包括:
-
用于特性许可的网络或服务器设备。
-
家用电器的设备标识用于认证和加密通信,提供隐私保护。
-
连接的诊断设备运行嵌入式服务器,需要为管理员提供可信的SSL连接。
-
利用强大的设备标识进行安全通信,以及可信和安全的固件更新的汽车用例。
6. 利用云来实现身份认证的好处
对于SaaS解决方案的消费者来说,这些概念中有许多是熟悉的,在某些情况下,对于运营技术提供商来说,这些概念相对较新,因为他们可能没有在解决方案中使用云服务的广泛或深度经验。
首先,通过展望云,它真正实现了简化基础设施需求和本地硬件设置和配置的成本,以及以边际增量成本将额外的制造站点上线的能力。与此相呼应的是SaaS模式所提供的弹性,这使得原始设备制造商(OEM)能够更好地将费用和收入绑定在运营支出中,并具有动态扩展系统以满足业务增长需求的能力。 最后还有平台可以提供的可审计性、访问控制和报告的附加功能,这些功能通常在跨多站点内部部署时更难维护。 将轻量级 云服务 API与现代网络故障转移硬件解决方案相结合,可以降低由于网络连接而导致制造停机的风险。
7. 物联网安全的持续考虑
与对物联网的任何评估一样,每个生态系统中运行的设备、用户和系统的数量正在放大,了解其影响至关重要。 随着部署的物联网设备数量呈指数级增长,安全问题需要在制造层面解决。在以前的许多案例中,产品供应商要么在遇到安全问题时临时解决,要么使用第三方安全公司,要么简单地依赖最终客户的内部安全措施。
因此,信任模型正在发展。解决方案有一个时间维度,您必须考虑从构建、配置、操作到日落的产品和设备。
在物联网解决方案中启用强大身份和安全的答案是什么?
-
在产品的整个生命周期中考虑安全性问题,尽早开始。
-
在与第三方服务和解决方案提供商合作时,确保他们有能力维护服务的完整性。
-
尽可能查看和利用现有的经过验证的解决方案,特别是在安全性方面,而不是新颖或专有的标准和方法。
-
认识到这些生态系统的多样性是巨大的,每个生态系统都有自己的关键需求,因此利用灵活的解决方案也是关键。
GlobalSign在了解物联网安全考虑方面有丰富的经验,并提供了一个灵活,可扩展和专用的PKI平台,解决了 物联网的需求。 首先是可伸缩性,以适应每个客户生态系统中大量的身份和端点,以及动态和快速的运营需求。 此外,我们支持各种设备环境的复杂性和细微差别,并提供使用和生命周期模型的变化。
GlobalSign还能够提供上述一系列可定制的解决方案,并以业务为中心的部署模型,以确保解决方案的成功。
