IIC Endpoint Security En İyi Uygulamaları

Son zamanlarda, Endüstriyel İnternet Konsorsiyumu, Son Nokta için Önerilen En İyi Güvenlik Uygulamaları ile ilginç bir bildiri yayınladı.

Barbara IoT, IoT güvenliğinde yapılacak çok iş olduğuna inandığımız için bu tür girişimlerden her zaman heyecan duymaktadır ve cihaz şu anda IoT değer zincirinde mevcut en zayıf halkadır. Ve bildiğimiz gibi, zincir en zayıf halka kadar güçlüdür, bu nedenle cihazları emniyete almak bir zorunluluktur (eğer zaten değilse).

Bu makale, IIC tavsiyelerinin temellerini gözden geçirmekte ve IoT cihaz yaşam döngüsü için güvenli bir çözüm olan Barbara Yazılım Platformu'na karşı eşleştirmektedir. Aşağıdaki tablo uyumluluk matrisini özetlemektedir:

Ama ayrıntılara girelim….

Güvenlik Seviyeleri:

IIC, IEC 62443 3–3'te tanımlandığı gibi güvenlik seviyesi 2, 3 ve 4'e karşılık gelen üç güvenlik seviyesi, Güvenlik Düzeyi Temel (SLB), Güvenlik Düzeyi Geliştirilmiş (SLE) ve Güvenlik Düzeyi Kritik (SLC) tanımlar. Temel seviye “düşük kaynakları olan basit araçlar kullanarak kasıtlı ihlale” karşı koruma sağlar. Gelişmiş seviye, sistemimizi “ılımlı kaynaklara sahip gelişmiş araçlara” karşı korur. Kritik seviye, “genişletilmiş kaynaklara sahip sofistike araçlar” için koruma sağlayarak hızlanır. Uygulamaya ve koşullara bağlı olarak, uç noktanızı uygun Güvenlik Seviyesi ile korumalısınız.

Bu güvenlik seviyelerine dayanarak, IIC, açık standartlara dayalı olması ve güvenli olarak kabul edilmesi gereken çok satıcılı, çok platformlu uç noktaları arasında birlikte çalışılması gereken üç farklı mimariyi önerir.

IIC önerilen mimarileri

Bu bileşenlerin her birine daha derinlemesine bakalım, bunları daha ayrıntılı olarak açıklayalım ve Barbara Yazılım Platformunun IIC kurallarına nasıl uyduğunu keşfedelim.

Güvenin Kökü:

Güvenin Kökü (RoT), her uç nokta güvenliğinin temelini oluşturur ve uç nokta kimliği ve yazılım ve donanım kimliği ve bütünlüğü ile ilgili doğrulamalar sağlar. Tahmin edebileceğiniz gibi, son nokta Güven Kökü kadar güçlü olacak, bu nedenle Güven Kökü'nün güvenli bir şekilde uygulanması zorunludur.

Özellikle IIC, gelişmiş ve kritik güvenlik seviyeleri için, Donanıma dayanarak Güvenin uygulanması gerektiğini iddia eder. IIC tavsiyelerine uymak için, kurcalama direncine sahip belirli bir donanım güvenlik yongasına (veya benzeri) ihtiyacımız olabilir.

Güven Köküyle ilgili olarak, Barbara Yazılım Platformu, tüm güvenlik özelliklerini bir araya gelerek Güven Kökü'ne koyar. Yazılım yığınımız özel bir sahip olduğu PKI'yı (Genel Anahtar Şifreleme Standartlarına dayalı Ortak Anahtar Altyapısı) kullanıyor ve müşterinin tercih ettiği Güvenilir Platform Modülleriyle kolay entegrasyonlara izin vermek için karşılık gelen kancaları sağlıyor.

Bitiş Noktası Kimliği:

Uç nokta kimliği, güvenlik özelliklerinden en iyi şekilde yararlanmayı sağlayan temel bir bileşendir. IIC önerilerine göre, temel, gelişmiş ve kritik seviyelerin örtülmesi için PKI (Public Key Infrastructure) desteği zorunludur. Sertifikaları dahili veya harici bir CA'dan (sertifika yetkilisi) vermek ve yönetmek için bir Açık standart sertifika yönetimi protokolünün uygulanması önerilir.

Barbara Software Platform'dan önce yorumlandığı gibi, PKCS'ye dayanan kendi PKI'sını da içeriyor (Freeipa, www.freeipa.org/). FreeIPA, merkezi kimlik doğrulama, yetkilendirme ve hesap bilgileri sağlayan entegre bir Kimlik ve Kimlik Doğrulama çözümüdür. IIC tarafından talep edildiği gibi, FreeIPA bilinen Açık Kaynak bileşenlerinin ve standart protokollerin üzerine kuruludur.

Güvenli Önyükleme:

Uç nokta gücünü açık bir şekilde kriptografik olarak koruyan güvenilir Secure Boot sistemi yine temel, gelişmiş ve kritik seviyeler için bir gerekliliktir. IIC'in en iyi uygulamalarına göre, bu, PKCS'ye (Kamu Anahtar Şifreleme Standartları) dayalı şifreleme karma değerleri uygulanabilir. Bunu yaptığımızda, uygun tuşları olmayan yazılımların cihazı açabileceğinden emin olabiliriz. Barbara Software Platform, makul bir çaba içerisinde güvenli önyüklemeyi destekleyen donanım panolarına taşınabilir.

Şifreleme Hizmetleri ve Güvenli İletişim:

Veri taşıma sırasında (hareket halinde), veri depolama (istirahat halinde) ve uygulamalar (kullanımda) için kriptografiyi kullanmak, yukarıda belirtilen üç güvenlik seviyesi için (Temel, Geliştirilmiş, Kritik) açık bir gerekliliktir. Böyle bir koruma sağlamak için gereken özellikler:

  • NIST / FIPS tarafından onaylanmış standartlara dayalı kriptografik algoritmalar.
  • Asimetrik ve simetrik şifre takımları, karma fonksiyonları ve rasgele sayılar. yeterince güçlü ve PKCS'ye dayalı jeneratörler (Genel Anahtar Şifreleme Standartları)
  • Sahada güncellemede şifreleme algoritmalarının olası açıkları kapsayabilme özelliği.
  • Uygulamaların politika temelli kontrolü kriptografik işlevlerin kullanılmasını, güvenli olmayan kriptografinin kullanılmasını önler.
  • Çok satıcılı sistemler arasında kripto anahtarlarının ve sertifikaların birlikte çalışabilirliği.

Barbara Yazılım Platformu, Şifreleme Hizmetlerinin kalitesini garanti eden çeşitli özellikler uygular. LINUX sabit disk şifrelemesi için standart olan LUKS'u varsayılan olarak kullanır. LUKS Açık, bu yüzden kolayca denetlenebilir ve önerildiği gibi PKCS'ye dayanıyor.

Veri taşıma tarafında, Barbara OS şifreli taşıma (TLS ve DTLS) üzerinden IoT standart uygulama protokollerini kullanarak iletişim kurmak için gerekli kütüphaneleri içerir.

Bunun üzerine, tanımlanmış üç seviye için güvenli bir uçtan uca iletişim yığını gerekir. Bu iletişim yığını kimlik doğrulama, korumalı bağlantı, uç nokta güvenlik duvarı ve güvenli taşıma protokollerinin dahil edilmesini (TLS, DTLS, SSH…) içermelidir. Tüm bu özellikler Barbara Yazılım Platformu'na dahil edilmiştir, bu yüzden TÜM Barbara iletişimlerinin kimliği doğrulanır ve şifrelenir.

Uç Nokta Yapılandırması ve Yönetimi

Ve İşletim Sistemini güncellemek için ölçeklenebilir bir sistem, cihazın uygulamaları ve / veya konfigürasyonu, aynı anda milyonlarca uç nokta üzerinde bu tür güncellemelerin yapılması gerekebileceğini dikkate alarak Gelişmiş ve Kritik seviyelere uymak zorundadır. Tabii ki, tüm bu işlemler, güncellemeye hizmet veren varlık ile onu alan son nokta arasında sertifika tabanlı doğrulama içeren güvenli bir ortamda gerçekleştirilmelidir.

Bu bakımdan, Barbara Yazılım Platformu, Barbara Panelini içerir. Barbara Panel, bir IoT dağıtımının tüm uç noktalarını yönetmek için sunucu tarafı bir çözümdür. OTA (Over Air) güncelleme yönetimi, cihaz izleme ve konfigürasyon yönetimi için basit ve merkezi bir konsol sağlar. Tüm bu özellikler sınıfının en iyi güvenlik ortamı içinde sunulmaktadır.

Sürekli izleme

IIC'ye göre, bitiş noktasının gerçek zamanlı izlenmesi, Kritik güvenlik seviyesi için bir gerekliliktir. Bu, kullanıcının konfigürasyondaki yetkisiz değişiklikleri kontrol etmesini ve önlemesini ve sistemi tehlikeye atabilecek güvensiz şifrelerin kullanımı olarak yetkisiz faaliyetleri tespit etmek ve önlemek için uygulama düzeyinde kontrol sahibi olmasını sağlar.

Barbara Panel, kullanıcının önceden tanımlanmış güvenlik uyarıları almasına ve kendi uyarıları tanımlayıp bitiş noktalarına itmesine olanak tanıyan bir Uyarı sistemi içerir.

Politika ve Etkinlik Panosu

Kritik Seviye ile uyumlu olmak için, bitiş noktalarını uzaktan yönetme yeteneği gerekir. Sistem yöneticisi, politikaların ağ boyunca doğru dağıtımını sağlayacak şekilde etkili bir güvenlik çerçevesi olarak hareket edecek şekilde politikaları zorlayabilmeli ve uygulayabilmelidir.

Barbara Panel, dağıtım yöneticilerinin uç nokta etkinliklerini izlemelerine ve edinilen bilgilere dayanarak güvenlik politikalarını tanımlama ve zorlamalarına izin veriyor. Örnek olarak, yeni politikalar, şüpheli iletişim kalıpları tespit edildiğinde yukarıda belirtilen güvenlik duvarında yeni kurallar dağıtabilir.

Sistem Bilgisi ve Etkinlik Yönetimi

Önceki paragrafa bağlı olarak, olay günlüklerini yakalama ve günlüklerden gelen bilgilere dayanarak politikaları tanımlama ve dağıtma yeteneği de Kritik seviye için bir gerekliliktir. Bu yönetim işlemlerinin veri modelleri veya REST API veya JSON gibi genişletilebilir formatlar kullanılarak yapılması önerilir.

Barbara Software Platform kayıt sistemi, sistem yöneticilerine güvenlik politikaları oluşturmak için kullanılabilecek çok miktarda bilgi sağlar.

Sonuç

Barbara IoT güvenli bir ürün oluşturmak için büyük çaba harcıyor. Endüstriyel güvenlik açısından en zorlu senaryolarda kullanılabilecek bir ürün. IIC gibi biz de bu tür girişimlerin, ekosistem içerisindeki tüm oyuncuları kendine güvenerek ve güveni artırarak tüm endüstri ekosistemine yardımcı olabileceğini düşünüyoruz.

Referanslar:

  • http://www.iiconsortium.org/
  • IIC Endpoint Security En İyi Uygulamaları; IIC: WHT: IN17: V1.0: PB: 20180312 Steve Hanna, Srinivas Kumar, Dekan Weber.
  • https://github.com/guardianproject/luks/wiki
  • Kullanıcıların LUKS, Simone Bossi ve Andrea Visconti'ye dayalı Tam Disk Şifreleme hakkında bilmesi gerekenler; Şifreleme ve Kodlama Laboratuvarı (CLUB), Bilgisayar Bilimleri Bölümü, Universitá degli Studi di Milano http://www.club.di.unimi.it/

Bu yayın ilk olarak barbaraiot.com'da 6 Haziran 2018'de yayınlandı. Eğer beğenir ve benzer bir içerik almak istiyorsanız Bültenimize abone olun