本文作者:Michael C. Skurla 是Radix IoT的首席技术官

关键基础设施的物联网安全解决方案

对于关键基础设施,安全是不可协商的。保护网络、系统和资产以实现不间断运营对于组织、城市和国家的安全至关重要。令人遗憾的是,网络犯罪分子可以渗透 93% 的公司网络 (betanews.com)。鉴于此,最好的保护措施是使其尽可能困难,鉴于处理受到良好保护的网络所需的时间和精力以及其他目标的普遍存在,迫使网络犯罪分子转移到其他目标。

与 2020 年相比, 2021 年企业每周遭受的网络攻击尝试 (darkreading.com) 增加了 50%。更令人担忧的是埃森哲的网络犯罪成本研究发现小型企业受到 43% 的网络攻击,但只有 14% 的企业可以自卫。在这个“连接”设备激增的时代,安全性至关重要,但与此同时,由于担心公众知道组织遭到破坏,因此对风险和解决方案都保持着震耳欲聋的沉默.

安全解决方案不再只是购买病毒扫描包,而是需要对不断增加的进出网络的设备组合进行日复一日的分析。以下是这些设备的列表以及通过 IoT 平台在绿地或棕地环境中集成它们的推荐安全性。

典型的建筑“边缘”解决方案

这些边缘解决方案通常由许多零件和零件组成,每个零件和零件都来自不同的制造商,而且通常是不同型号和不同代的设备。物联网桥设备通常用于收集这些数据并将其合理化为可用的形式,最重要的是,云中的存储桶用于基于结果的实时和历史分析。这从“边缘”的一般专用网络开始我们的故事。 

边缘专用网络和 RTU– 从远端设备的本地协议收集信息的边缘网桥或远程终端单元 (RTU) 的环境。这通常可以包括传感器或系统在诸如 Modbus、BACnet、SNMP 等事物上进行通信。通常还有基于 TCP/IP 的设备,但这被认为是边缘的非公共网络,边缘网桥作为其数据收集器运行,同时也是 DHCP、DNS 和其他网络服务的服务提供商. 然而,无论你怎么看,它都是一个私有网络,以 Bridge 作为向云提供数据的唯一事实来源。对此的访问通常通过不直接在互联网上的专用网络进行保护,即使在需要蜂窝网络的情况下,这些网络也可以在蜂窝运营商上的专用 APN 上运行以限制流量。

专用网络应包含所有支持 TCP/IP 的远端设备、RTU 和云基础设施。大多数情况下,漏洞的外部攻击媒介来自用户界面 (UI),因为它很可能有一个开放的端口。

通过边缘桥接的标准物联网解决方案通常提供可配置的可信客户端,以允许访问内部设备 UI。这些可以放在具有已建立的双因素身份验证 (2FA) 方案的虚拟专用网络 (VPN) 后面。如果在不部署 VPN 的情况下绝对需要外部客户端,请确保至少使用以下方式部署您的 Web 服务器:

  • 用于部署 SSL/TLS 加密的 SSL 证书,允许 HTTPS 到平台的 Web 服务器。
  • 将防火墙配置和限制到所需的端口,理想情况下,IP 白名单。
  • 路由器和防火墙配置以使用自动 IP 地址禁止来解决暴力攻击。
  • 供应商可能会提供多个边缘 RTU,以便根据特定要求进行简单安装。对于多站点关键设施解决方案,该架构通常在每个站点都有一个边缘 RTU,该 RTU 将上游连接到 VM 上解决方案的云实例。如果您使用这种类型的解决方案,边缘 RTU 和云 VM 都应该驻留在同一个专用网络中。任何物联网解决方案都应允许其软件在专有硬件和客户提供的硬件上运行。这为客户提供了可扩展性和灵活性,而不会出现长期供应商锁定问题。  
  • 建议密切关注远端设备,尤其是那些通过 TCP/IP 进行通信的设备——尤其是在没有 RTU 作为仲裁器的情况下。

注意:边缘设备通常需要升级。强烈建议升级,因为它们通常包括安全增强功能。最好在需要人工干预的定期维护间隔执行升级,或者,如果不可能,手动打开然后关闭端口以允许升级。这确实需要代表运营商付出更多努力,但在无法提供内部升级服务时,这被视为设备安全性的最安全的边缘设备升级方式。

关键设施监控软件(CFMS) 是一种基于云和边缘的解决方案,可实现远程边缘设备信息的监控、数据聚合、数据打包、诊断和远程控制。它还支持从单个或集中位置进行远程多站点管理——连接到数据库(内部或外部)以允许长期存储远端数据。如前所述,它们通常充当边缘现场物联网设备和内部网络之间的仲裁者和防火墙,设备数据存储和远程操作发生在内部网络。  

  • 尽管这些设备位于内部网络上,但由于它们充当其他协议和内部 TCP/IP 网络之间的中介,因此对于希望访问网络的任何一方来说,它们都是一个重要的兴趣点:
    • 在物联网平台的用户管理中使用强用户密码——最好是单点登录 (SSO) 集成。
    • 虽然某些解决方案具有内置保护,但管理所有文件权限至关重要。
    • 在规划用户权限管理时,请特别注意数据源的细粒度权限,以确保分配所有基于角色的访问权限。确保特别注意继承和增强的访问控制。
    • 在任何边缘设备防火墙上使用白名单,仅将批准的云连接列入白名单以进行数据传输。

物联网云服务通常包括虚拟计算机资源、用于长期边缘数据存储的数据库技术、防火墙和支持边缘设备的网络。Amazon (Amazon Web Services)、Google (Google Cloud Platform)、Microsoft (Azure) 和 Digital Ocean 是您可以使用的常见云提供商之一,尽管在不愿意的环境中使用“裸机”实例并不少见使用云提供商。

  • 根据您的供应商,云平台操作和命名约定可能会有所不同。云环境通常运行混合连接到其他供应商的其他云服务,这增加了安全性的复杂性。供应商的选择可能会产生巨大的安全影响,但更重要的是,谁管理该云服务起着关键作用。以下是云服务的标准建议:
    • 仅将公共网络端口限制为所需的 CFMS 端口。
    • 将专用网络端端口限制为“按需”。这在很大程度上取决于您的物联网解决方案。端口越少越好。
    • 如果您决定部署独立的 CFMS 数据库而不是供应商提供的集成数据库,请确保数据库与供应商解决方案的 CFMS 运行时不在同一 VM 上,并使用虚拟私有云 (VPC) 与数据库以避免任何打开公共端口的要求。任何时候都不要让公共端口对数据库可用。
    • 如果 CMFS 需要外部 Web 访问,请始终使用 SSL 证书和安全端口。

CFMS 数据库是从远端设备收集数据的位置。通常,这来自您的云提供商,并且来自边缘位置的所有数据在打包后都流向此处。它是您的分析源的唯一来源。不要将此与外部数据湖也连接到云提供商以允许自定义应用的数据存储的实例混淆。数据库是唯一的事实来源,CFMS 通常包含一个方便的 API,可通过 REST API 或 gRPC 访问该数据库。

  • 对于可扩展的解决方案和较大的项目,请使用来自主要云提供商的托管服务数据库环境,这将允许您构建简单有效的 MySQL 托管数据库解决方案。在任何时候,这都应该在 CFMS 外部,允许通过标准 IT 手段进行通用数据可移植性和备份。
  • 如上所述,在任何时候都不应公开访问该数据库。外部各方应通过 CFMS 提供的 API 访问该数据库——CFMS 应仅通过 VPC 连接访问数据库,避免任何公共访问。 

网络基础设施是虚拟或物理网络组件的集合,包括路由器、交换机、防火墙、DHCP 服务器、蜂窝调制解调器等,可促进专用或公共网络中设备之间的以太网流量。在任何云环境中,这通常是系统固有的。

  • 在部署之前规划网络基础架构解决方案,并使用符合业务需求的标准,同时提供安全的环境。供应商通常会提供构建此基础架构的完全托管解决方案,但如果需要您将其部署到现有架构中,则需要您的组织提供服务器和安全策略来满足解决方案的需求。
  • 鉴于可用的云环境千差万别,您必须与了解特定云实例及其各自安全解决方案的人合作;或者选择使用完全托管的服务物联网解决方案来为您解决这个问题。到目前为止,这是任何解决方案中最危险的攻击面。

棕地系统通常是在没有 RTU 的情况下运行的边缘系统。它们通常是预先存在的,并且被认为过于昂贵,没有切实的投资回报率可以替代。它们可以在 TCP/IP 或其他专有协议上运行。这些示例包括照明系统、楼宇管理系统 (BMS) 以及火警和灭火系统。

  • 虽然类似于远端设备,但通常情况下,棕地系统采用网关来促进专有协议(或有线设备)和以太网协议之间的转换。最常见的是,这些是具有专有固件的单个 NIC 设备,可能需要自定义编程以促进对象和功能的映射,从而对任何其他系统具有逻辑意义。存在范围广泛的这些系统。如果它们存在,重要的是要了解它们是否具有 IoT CMFS 可以利用的 REST API,或者是否必须做一些更专有的事情来促进连接。
    • 这种类型的设备,即使是 TCP/IP,也不应该公开遍历物联网云。它们应该被降级到边缘,并允许 RTU 执行与这些网桥的通信功能以限制风险。
    • 实践最小权限原则,以验证您仅被授予完成与这些设备的任何通信所需的功能所需的最低限度。
    • 理想情况下,如果可用,请使用 TLS 加密有效负载流量。

上游连接(潜在)是边缘到云的物理连接。这是与关键设施管理软件所在位置的基于 TCP/IP 的连接。它被认为是潜在的不可靠性,因为任何物联网解决方案都应该能够容忍蜂窝、卫星和 Wi-Fi 等情况下的上游不稳定性。

  • 尽可能使用专用网络。硬线以太网总是最好的,其次是蜂窝。应避免使用 Wi-Fi。
  • 蜂窝网络——虽然不推荐用于与边缘的主要通信——对于某些应用来说是一个可行的选择,作为主要的,更常见的是,作为与云的备份连接。使用蜂窝技术作为到云的回程,最安全的路径是通过来自服务提供商的私有 APN——尽管并非总是可行,但只要您的 RTU 有防火墙,就可以使用公共 APN。

服务总线是经过身份验证的 REST API,允许第三方软件和分析使用关键设施监控软件存储的数据(当前和历史)。它还允许外部访问 CFMS 数据库,通常用于外部分析。

  • 在可行的情况下,使用基于可靠的、经过验证的身份验证和授权机制的解决方案,例如 OAuth2.0 或用于对供应商 API 进行外部授权的密钥交换。
  • 实践最小权限验证原则,仅通过 REST API 向外部实体公开相关信息。
  • 使用 TLS 进行传输。
  • 在网络基础设施中使用速率限制以在阈值(每天 10,000 个请求或更低)拒绝后续请求,以防止 DOS 攻击。
  • 使用 IP 白名单。

安全威胁不会消失。事实上,去年,美国、澳大利亚和英国的网络安全当局报告称,针对全球关键基础设施组织的复杂、高影响力的勒索软件事件有所增加。多站点关键基础设施运营经理采取措施保护他们的站点并确保为依赖它们的客户和组织提供不间断的服务变得越来越重要。这些建议只是全球任何物联网解决方案中应被视为基础的开始。

对于任何组织来说,最好的选择是与物联网平台公司合作,讨论他们现有的基础设施和未来的潜在需求。