ИИЦ Ендпоинт Сецурити Бест Працтицес

Недавно је Индустријски интернет конзорцијум објавио занимљив рад са својим препорученим најбољим безбедносним праксама за крајњу тачку.

Барбара ИоТ је увек одушевљена оваквим иницијативама, јер чврсто верујемо да треба много радити на ИоТ безбедности и уређај је вероватно најслабија веза која је тренутно присутна у ланцу вредности ИоТ-а. А као што знамо, ланац је јак као и најслабија карика, па би сигурно постављање уређаја било неопходно (ако већ није).

Овај чланак пролази кроз основе ИИЦ препорука и приказује их у складу са Барбара Софтваре Платформ, сигурним решењем за животни циклус ИоТ уређаја. Следећа табела резимира матрицу усаглашености:

Али уђимо у детаље….

Нивои безбедности:

ИИЦ дефинише три нивоа сигурности, основни ниво заштите (СЛБ), ниво побољшања заштите (СЛЕ) и критични ниво заштите (СЛЦ), који одговарају нивоима сигурности 2, 3 и 4 како је дефинисано у ИЕЦ 62443 3–3. Основни ниво штити од „намјерног кршења користећи једноставна средства са малим ресурсима“. Појачани ниво штити наш систем од „софистицираних средстава са умереним ресурсима“. Налази се на критичном нивоу и пружа заштиту „софистицираних средстава са проширеним ресурсима“. Зависно од апликације и околности, своју крајњу тачку морате заштитити одговарајућим нивоом сигурности.

На основу овог нивоа сигурности, ИИЦ предлаже три различите архитектуре које би требале бити засноване на отвореним стандардима и које би требале бити интероперабилне између вишеструких добављача, крајњих тачака више платформи да би се сматрали сигурним.

ИИЦ је предложио архитектуре

Кренимо дубље у сваку од ових компоненти, описујући их детаљније и откривајући како Барбара Софтваре Платформ у складу са ИИЦ смерницама.

Роот оф Труст:

Роот оф Труст (РоТ оф Труст) представља основу сваке безбедности крајње тачке и пружа функције као идентитет крајње тачке и потврду идентитета и интегритета софтвера и хардвера. Као што можете замислити, крајња тачка ће бити јака колико и Роот оф Труст, тако да је сигурна примена Роот оф Труст обавезна.

Конкретно, ИИЦ тврди да би се за побољшане и критичне нивое сигурности Роот Труст требало применити на основу Хардвера. Да бисмо удовољили ИИЦ препорукама, можда ће нам требати одређени хардверски сигурносни чип (или сличан) са отпорношћу на неовлаштени рад.

Што се тиче Роот оф Труст-а, Барбара Софтваре Платформ обједињује све сигурносне карактеристике како би се јачао Роот оф Труст. Наш софтверски пакет користи приватну ПКИ (јавну кључну инфраструктуру засновану на стандардима криптографије јавног кључа) и пружа одговарајуће куке како би се омогућила једноставна интеграција са поузданим платформама по избору купца.

Идентитет крајње тачке:

Идентитет крајње тачке основна је компонента за изградњу већине безбедносних карактеристика. Према ИИЦ препорукама, подршка ПКИ (јавна кључна инфраструктура) обавезна је за покривање основних, побољшаних и критичних нивоа. Такође се препоручује примена отвореног стандардног протокола за управљање сертификатима за издавање и управљање сертификатима из интерног или екстерног ЦА (ауторитет за сертификате).

Као што је раније коментарисано, Барбара Софтваре Платформ укључује сопствени ПКИ заснован на ПКЦС (Фрееипа, ввв.фрееипа.орг/). ФрееИПА је интегрисано решење за идентитет и аутентификацију које пружа централизовану аутентификацију, ауторизацију и информације о рачуну. Према захтеву ИИЦ-а, ФрееИПА је изграђена на основу познатих компоненти отвореног кода и стандардних протокола.

Безбедно покретање:

Поуздани систем Сецуре Боот који криптографски штити напајање крајње тачке поново је захтев за основним, побољшаним и критичним нивоима. Према најбољим праксама ИИЦ-а, ово се може имплементирати криптографским хешевима заснованима на ПКЦС (Стандардима криптографије јавног кључа). На тај начин можемо бити сигурни да ће софтвер без одговарајућих тастера моћи да покрене уређај. Софтверска платформа Барбара може се пренети на хардверске плоче које подржавају сигурно покретање уз разуман напор.

Криптографске услуге и сигурна комуникација:

Коришћење криптографије током транспорта података (у покрету), за складиштење података (у мировању) и апликација (у употреби) је јасан захтев за претходно поменуте три нивоа сигурности (основни, побољшани и критични). Карактеристике потребне за пружање такве заштите су:

  • Криптографски алгоритми засновани на стандардима који су потврђени од стране НИСТ / ФИПС.
  • Асиметрични и симетрични шифарски пакети, хасхинг функције и случајни број. генератори довољно јаки и засновани на ПКЦС (Стандардима криптографије јавних кључева)
  • У могућности ажурирања на терену криптографски алгоритми могу покрити могуће рањивости.
  • Контрола на апликацијама заснована на кориштењу криптографских функција, избегавајући употребу несигурне криптографије.
  • Интероперабилност крипто-кључева и сертификата за системе више добављача.

Софтверска платформа Барбара имплементира неколико функција које гарантују квалитет криптографских услуга. Подразумевано користи ЛУКС, што је стандард за ЛИНУКС шифровање чврстог диска. ЛУКС је отворен, тако да је лако проверљив и заснован је на ПКЦС-у, као што је препоручено.

На страни преноса података, Барбара ОС садржи потребне библиотеке за комуникацију користећи ИоТ стандардне протоколе апликација преко шифрованог транспорта (ТЛС и ДТЛС).

Поврх тога, за три дефинисана нивоа потребан је сигуран комуникацијски пакет од краја до краја. Овај комуникацијски пакет требао би садржавати подршку за провјеру аутентичности, заштићену повезаност, фиревалл крајње точке и укључивање сигурних транспортних протокола (ТЛС, ДТЛС, ССХ…). Све ове карактеристике су укључене у софтверску платформу Барбара, тако да су СВЕ Барбара комуникације оверене и шифриране.

Конфигурација и управљање крајњим тачкама

А скалабилан систем за ажурирање оперативног система, апликација и / или конфигурација уређаја је потребан да би био у складу са унапређеним и критичним нивоима, узимајући у обзир да ће можда бити потребно да се такве исправке изврше у исто време преко милиона крајњих тачака истовремено. Наравно, све ове операције треба да се изводе у сигурном окружењу, укључујући потврду засновану на сертификату између ентитета који послужује ажурирање и крајње тачке која га прима.

С тим у свези, софтверска платформа Барбара укључује Барбара панел. Барбара Панел је решење на серверу за управљање свим крајњим тачкама распоређивања ИоТ-а. Омогућава једноставну и централизовану конзолу за управљање ажурирањима ОТА (Овер Тхе Аир), надгледање уређаја и управљање конфигурацијом. Све ове карактеристике нуде се у најбољем безбедносном окружењу класе.

Континуирано праћење

ИИЦ је праћење крајње тачке у реалном времену услов за критични ниво безбедности. Ово би омогућило кориснику да контролише и спречи неовлашћене промене у конфигурацији и да има контролу на нивоу апликације како би открио и спречио неовлашћене активности као употребу несигурних шифри које могу угрозити систем

Барбара Панел укључује и систем упозорења који би кориснику омогућио примање унапред дефинисаних безбедносних упозорења и дефинисање сопствених упозорења и гурну их до крајњих тачака.

Контролна табла за политику и активности

Да би била усклађена с критичним нивоом, потребна је способност даљинског управљања крајњим точкама. Администратор система требао би бити у могућности да гура и извршава политике на начин који гарантује исправну дистрибуцију политика широм мреже, дјелујући на тај начин као ефикасан сигурносни оквир.

Барбара Панел омогућава менаџерима за размештање да прате активности крајњих тачака и да дефинишу и гурају безбедносне политике на основу добијених информација. Као пример, нове политике могу да примене нова правила у горе поменутом ватрозиду када се открију сумњиви комуникацијски обрасци.

Информације о систему и управљање догађајима

Повезана с претходним ставком, способност хватања дневника догађаја и дефинисања и дистрибуције политика на основу информација из записника такође је услов за критични ниво. Препоручује се да се ове операције управљања изводе помоћу модела података или проширених формата попут РЕСТ АПИ-ја или ЈСОН-а.

Систем за евидентирање софтверске платформе Барбара пружа администраторима система велике количине информација које би се користиле за креирање сигурносних политика.

Закључак

Барбара ИоТ улаже велике напоре на изградњи сигурног производа. Производ који се може користити у најзахтјевнијим сценаријима у погледу индустријске сигурности. Као и ИИЦ, мислимо да овакве иницијативе могу помоћи читавом екосистему индустрије промовишући поверење и оснажујући све актере у оквиру екосистема.

Референце:

  • хттп://ввв.иицонсортиум.орг/
  • ИИЦ Бест Працтице Сецурити Бест Працтицес; ИИЦ: ВХТ: ИН17: В1.0: ПБ: 20180312 Стеве Ханна, Сринивас Кумар, Деан Вебер.
  • хттпс://гитхуб.цом/гуардианпројецт/лукс/вики
  • Шта би корисници требали знати о шифрирању пуног диска заснованом на ЛУКС-у, Симоне Босси и Андреа Висцонти; Лабораторија за криптографију и кодирање (ЦЛУБ), Одсек за рачунарске науке, Универзитет дегли Студи ди Милано хттп://ввв.цлуб.ди.уними.ит/

Овај је пост првобитно објављен на барбараиот.цом 6. јуна 2018. Ако вам се допада и желите да примите сличан садржај, претплатите се на наш Невслеттер