IIC Endpoint Security أفضل الممارسات

لقد أصدر The Industrial Internet Consortium مؤخرًا ورقة مهمة تتضمن أفضل ممارسات الأمان الموصى بها لنقطة النهاية.

تحمس Barbara IoT دائمًا لهذا النوع من المبادرات لأننا نعتقد بقوة أن هناك الكثير من العمل الذي يتعين القيام به في أمان IoT وربما يكون الجهاز هو الحلقة الأضعف الموجودة حاليًا في سلسلة قيم IoT. وكما نعلم ، تكون السلسلة قوية مثل الحلقة الأضعف ، لذلك سيكون تأمين الأجهزة أمرًا ضروريًا (إذا لم يكن ذلك بالفعل).

تتناول هذه المقالة أساسيات توصيات IIC وتعيينها في مقابل برنامج Barbara Software Platform ، وهو حل آمن لدورة حياة جهاز IoT. يلخص الجدول التالي مصفوفة الامتثال:

ولكن دعنا ندخل في التفاصيل ...

مستويات الأمان:

تحدد IIC ثلاثة مستويات أمان ، مستوى الأمان الأساسي (SLB) ، ومستوى الأمان المحسن (SLE) ، ومستوى الأمان الحرج (SLC) ، المقابلة لمستويات الأمان 2 و 3 و 4 على النحو المحدد في IEC 62443 3-3. المستوى الأساسي يحمي من "الانتهاك المتعمد باستخدام وسائل بسيطة مع انخفاض الموارد". المستوى المحمي يحمي نظامنا من "الوسائل المتطورة ذات الموارد المعتدلة". الخطوات الحاسمة في توفير الحماية لـ "الوسائل المعقدة ذات الموارد الموسعة". وفقًا للتطبيق والظروف ، يجب عليك حماية نقطة النهاية الخاصة بك باستخدام "مستوى الأمان" المناسب.

بناءً على مستويات الأمان هذه ، تقترح IIC ثلاثة أشكال معمارية مختلفة يجب أن تستند إلى معايير مفتوحة ويجب أن تكون قابلة للتشغيل البيني بين بائعين متعددين ونقاط النهاية متعددة المنصات لتكون آمنة.

IIC البنى المقترحة

دعنا نتعمق في كل واحد من هذه المكونات ، ووصفها بمزيد من التفصيل واكتشاف كيف يتوافق برنامج Barbara Software Platform مع إرشادات IIC.

جذر الثقة:

يمثل Root of Trust (RoT) الأساس لكل أمان لنقطة النهاية ويوفر ميزات مثل هوية نقطة النهاية وإثبات صحة هوية البرامج والأجهزة وتكاملها. كما يمكنك أن تتخيل ، ستكون نقطة النهاية قوية مثل جذر الثقة وبالتالي فإن التنفيذ الآمن لجذر الثقة إلزامي.

على وجه التحديد ، تدعي IIC أنه بالنسبة لمستويات الأمان المحسّنة والحرجة ، يجب تنفيذ Root of Trust استنادًا إلى الأجهزة. للامتثال لتوصيات IIC ، قد نحتاج إلى شريحة أمان خاصة بالأجهزة (أو ما شابه) مع مقاومة للعبث.

فيما يتعلق بجذر الثقة ، تجمع Barbara Software Platform جميع ميزات الأمان لتدعيم جذر الثقة. تستخدم حزمة البرامج الخاصة بنا PKI (البنية التحتية للمفاتيح العمومية المملوكة للقطاع الخاص بناءً على معايير تشفير المفتاح العام) ، وتوفر روابط مناسبة للسماح بدمج سهل مع الوحدات النمطية للنظام الأساسي الموثوق به التي يختارها العميل.

هوية نقطة النهاية:

تعد هوية نقطة النهاية مكونًا أساسيًا لبناء معظم ميزات الأمان. وفقًا لتوصيات IIC ، يعد دعم البنية التحتية للمفاتيح العمومية (PKI) إلزاميًا لتغطية المستويات الأساسية المحسّنة والحرجة. يوصى أيضًا بتنفيذ بروتوكول إدارة شهادة قياسي مفتوح لإصدار وإدارة الشهادات من مرجع مصدق داخلي أو خارجي (مرجع مصدق).

كما علق قبل أن تتضمّن Barbara Software Platform PKI الخاص به على أساس PKCS (Freeipa ، www.freeipa.org/). يعد FreeIPA حلًا متكاملًا للهوية والتوثيق يوفر معلومات المصادقة المركزية والترخيص والحساب المركزي. بناءً على طلب IIC ، فإن FreeIPA مبني على مكونات وبرمجيات قياسية مفتوحة المصدر.

الإقلاع الآمن:

يعد نظام التشغيل الآمن الموثوق به الذي يحمي قوة نقطة النهاية بشكل مشفر مطلبًا أساسيًا لمستويات أساسية معززة وحرجة. وفقًا لأفضل ممارسات IIC ، قد يتم تنفيذ تجزئة التشفير بناءً على PKCS (معايير تشفير المفتاح العام). عند القيام بذلك ، يمكننا التأكد من أن البرنامج بدون المفاتيح المناسبة سيكون قادرًا على تشغيل الجهاز. يمكن نقل منصة Barbara Software Platform إلى لوحات الأجهزة التي تدعم التمهيد الآمن في محاولة معقولة.

خدمات التشفير والاتصالات الآمنة:

يعد استخدام التشفير أثناء نقل البيانات (قيد الحركة) ، لتخزين البيانات (أثناء الراحة) والتطبيقات (قيد الاستخدام) مطلبًا واضحًا لمستويات الأمان الثلاثة المذكورة أعلاه (أساسية ، محسّنة ، حرجة). الميزات المطلوبة لتوفير مثل هذه الحماية هي:

  • خوارزميات التشفير على أساس معايير التحقق من صحة بواسطة NIST / FIPS.
  • أجنحة التشفير غير المتماثلة والمتماثلة ، وظائف التجزئة وعدد عشوائي. مولدات قوية بما يكفي وعلى أساس PKCS (معايير تشفير المفتاح العام)
  • في مجال التحديث القدرة على خوارزميات التشفير لتكون قادرة على تغطية الثغرات المحتملة.
  • التحكم المستند إلى السياسة في استخدام التطبيقات لوظائف التشفير ، وتجنب استخدام التشفير غير الآمن.
  • إمكانية التشغيل المتداخل لمفاتيح وشهادات التشفير عبر أنظمة متعددة البائعين.

يقوم برنامج Barbara Software Platform بتنفيذ العديد من الميزات التي تضمن جودة خدمات التشفير. يستخدم LUKS افتراضيًا ، وهو المعيار لتشفير القرص الثابت LINUX. LUKS مفتوح ، لذلك يمكن تدوينه بسهولة ويستند إلى PKCS على النحو الموصى به.

على جانب نقل البيانات ، يحتوي نظام التشغيل Barbara OS على المكتبات المطلوبة للاتصال باستخدام بروتوكولات التطبيق القياسية لـ IoT عبر النقل المشفر (TLS و DTLS).

علاوة على ذلك ، يلزم وجود مكدس اتصالات آمن من طرف إلى آخر للمستويات الثلاثة المحددة. يجب أن تتضمن رصة الاتصالات دعم المصادقة والاتصال المحمي وجدار الحماية لنقطة النهاية وتضمين بروتوكولات النقل الآمنة (TLS و DTLS و SSH ...). يتم تضمين كل هذه الميزات في برنامج Barbara Software Platform ، لذلك تتم مصادقة وتشفير جميع اتصالات Barbara.

تكوين نقطة النهاية وإدارتها

ونظام قابل للتحديث لتحديث نظام التشغيل والتطبيقات و / أو تكوين الجهاز مطلوب للامتثال للمستويات المحسنة والحرجة ، مع الأخذ في الاعتبار أنه قد تكون هناك حاجة لإجراء هذه التحديثات على ملايين من نقاط النهاية في نفس الوقت. بالطبع ، يجب إجراء جميع هذه العمليات في بيئة آمنة بما في ذلك التحقق من صحة الشهادة بين الكيان الذي يخدم التحديث ونقطة النهاية التي تستلمه.

في هذا الصدد ، يتضمن برنامج Barbara Software Platform لوحة Barbara. Barbara Panel هي الحل من جانب الخادم لإدارة جميع نقاط النهاية لنشر إنترنت الأشياء. يوفر وحدة تحكم بسيطة ومركزية لإدارة تحديث OTA (Over The Air) ، ومراقبة الجهاز وإدارة التكوين. يتم تقديم كل هذه الميزات ضمن أفضل بيئة أمان للفئة.

المراقبة المستمرة

في الوقت الحقيقي رصد نقطة النهاية هو شرط لمستوى الأمان الحرج ، وفقا IIC. سيسمح ذلك للمستخدم بالتحكم في التغييرات غير المصرح بها في التكوين ومنعها والتحكم في مستوى التطبيق للكشف عن الأنشطة غير المصرح بها ومنعها مثل استخدام الأصفار غير الآمنة التي قد تعرض النظام للخطر.

تتضمن لوحة Barbara ونظام تنبيه يسمح للمستخدم بتلقي تنبيهات أمنية محددة مسبقًا وتحديد تنبيهاتها ودفعها إلى نقاط النهاية.

لوحة معلومات السياسة والنشاط

لتكون متوافقة مع المستوى الحرج ، فمن المطلوب القدرة على إدارة نقاط النهاية عن بعد. يجب أن يكون مسؤول النظام قادرًا على دفع السياسات وتنفيذها بطريقة تضمن التوزيع الصحيح للسياسات عبر الشبكة ، بحيث يعمل كإطار أمان فعال.

تسمح لوحة Barbara لمديري النشر بمراقبة أنشطة نقطة النهاية وتحديد سياسات الأمان ودفعها بناءً على المعلومات التي تم الحصول عليها. على سبيل المثال ، يمكن للسياسات الجديدة نشر قواعد جديدة في جدار الحماية المذكور أعلاه عند اكتشاف أنماط اتصالات مشبوهة.

نظام المعلومات وإدارة الأحداث

ترتبط بالفقرة السابقة ، كما أن القدرة على التقاط سجلات الأحداث وتحديد السياسات وتوزيعها استنادًا إلى المعلومات من السجلات تعد أيضًا شرطًا للمستوى الحرج. يوصى بعمليات الإدارة هذه باستخدام نماذج البيانات أو التنسيقات القابلة للتوسيع مثل REST API أو JSON.

يوفر نظام تسجيل Barbara Software Platform لمسؤولي النظام كميات كبيرة من المعلومات التي سيتم استخدامها لإنشاء سياسات الأمان.

استنتاج

تبذل Barbara IoT جهداً هائلاً لبناء منتج آمن. منتج يمكن استخدامه في أكثر السيناريوهات تطلبًا فيما يتعلق بالأمن الصناعي. مثل IIC ، نعتقد أن هذا النوع من المبادرات يمكن أن يساعد النظام الإيكولوجي للصناعة بأكملها من خلال تعزيز الثقة وتمكين جميع الجهات الفاعلة داخل النظام البيئي.

المراجع:

  • http://www.iiconsortium.org/
  • أفضل ممارسات أمان نقطة النهاية IIC ؛ IIC: WHT: IN17: V1.0: PB: 20180312 Steve Hanna، Srinivas Kumar، Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • ما يجب أن يعرفه المستخدمون عن Full Disk Encryption استنادًا إلى LUKS و Simone Bossi و Andrea Visconti ؛ مختبر التشفير والترميز (CLUB) ، قسم علوم الكمبيوتر ، جامعة ديلي ستودي دي ميلانو http://www.club.di.unimi.it/

تم نشر هذه المشاركة في الأصل على barbaraiot.com في 6 يونيو ، 2018. إذا أعجبك ذلك وترغب في الحصول على محتوى مماثل ، اشترك في نشرتنا الإخبارية