Cele mai bune practici pentru securitatea IAC

Destul de recent, The Industrial Internet Consortium a lansat o lucrare interesantă cu cele mai bune practici de securitate recomandate pentru obiectiv.

Barbara IoT este întotdeauna încântată de acest tip de inițiative, deoarece credem cu tărie că este foarte multă muncă de făcut în securitatea IoT, iar dispozitivul este probabil cea mai slabă legătură prezentă în prezent în lanțul de valori IoT. Și după cum știm, lanțul este la fel de puternic ca cea mai slabă legătură, astfel încât securizarea dispozitivelor ar fi o necesitate (dacă nu este deja).

Acest articol parcurge elementele de bază ale recomandărilor IIC și le mapează cu Barbara Software Platform, o soluție sigură pentru ciclul de viață al dispozitivului IoT. Următorul tabel rezumă matricea de conformitate:

Dar să intrăm în detalii ...

Niveluri de securitate:

IIC definește trei niveluri de securitate, Nivel de securitate de bază (SLB), Nivel de securitate îmbunătățit (SLE) și Nivel de securitate critic (SLC), corespunzător nivelurilor de securitate 2, 3 și 4, astfel cum sunt definite în IEC 62443 3–3. Nivelul de bază protejează împotriva „încălcării intenționate folosind mijloace simple cu resurse reduse”. Nivelul îmbunătățit protejează sistemul nostru împotriva „mijloacelor sofisticate cu resurse moderate”. Nivelul critic crește o protecție pentru „mijloace sofisticate cu resurse extinse”. În funcție de aplicație și de circumstanțe, trebuie să vă protejați punctul final cu nivelul de securitate corespunzător.

Pe baza acestor niveluri de securitate, IIC propune trei arhitecturi diferite, care ar trebui să se bazeze pe standarde deschise și ar trebui să fie interoperabile între mai mulți furnizori, obiective multiple ale platformei pentru a fi considerate sigure.

IIC a propus arhitecturi

Haideți să aprofundăm fiecare dintre aceste componente, descriindu-le mai detaliat și descoperind modul în care Barbara Software Platform respectă liniile directoare IIC.

Rădăcina de încredere:

Root of Trust (RoT) constituie baza pentru fiecare punct de securitate și oferă caracteristici ca identitate și atestare a punctului de vedere a identității și integrității hardware și hardware. După cum vă puteți imagina, obiectivul va fi la fel de puternic ca Rădăcina de încredere, astfel încât o implementare sigură a Radacinii de încredere este obligatorie.

Mai precis, IIC susține că pentru niveluri de securitate îmbunătățite și critice, Root of Trust ar trebui să fie implementat pe baza hardware-ului. Pentru a respecta recomandările IIC, este posibil să avem nevoie de un cip de securitate hardware (sau similar) cu rezistență la modificare.

În ceea ce privește Root of Trust, Barbara Software Platform pune la dispoziție toate caracteristicile de securitate ale Root of Trust. Stiva noastră de software folosește un PKI privat (infrastructura de chei publice bazată pe standardele de criptografie cu cheie publică) și oferă cârligele corespunzătoare pentru a permite integrări ușoare cu modulele de platformă de încredere la alegerea clientului.

Identitate finală:

Identitatea punctului final este o componentă de bază pentru a construi cele mai multe caracteristici de securitate. Conform recomandărilor IIC, suportul PKI (Public Key Infrastructure) este obligatoriu pentru acoperirea nivelurilor de bază, îmbunătățite și critice. De asemenea, este recomandat să implementăm un protocol Open Standard de gestionare a certificatelor pentru eliberarea și gestionarea certificatelor de la un CA intern sau extern (autoritatea de certificare).

Așa cum am comentat înainte de Barbara Software Platform include propriul PKI bazat pe PKCS (Freeipa, www.freeipa.org/). FreeIPA este o soluție de identificare și autentificare integrată care oferă informații de autentificare, autorizare și cont centralizate. Așa cum a cerut IIC, FreeIPA este construit pe baza componentelor Open Source cunoscute și a protocoalelor standard.

Încărcare sigură:

Un sistem de încredere Secure Boot care protejează criptografic puterea de pornire este din nou o cerință pentru niveluri de bază, îmbunătățite și critice. Conform celor mai bune practici IIC, acestea pot fi implementate hașe criptografice bazate pe PKCS (Public Key Cryptography Standards). Astfel, putem fi siguri că software-ul fără cheile corespunzătoare ar putea porni dispozitivul. Barbara Software Platform poate fi portată pe plăci hardware care acceptă boot-ul securizat într-un efort rezonabil.

Servicii criptografice și comunicații sigure:

Utilizarea criptografiei în timpul transportului de date (în mișcare), pentru stocarea datelor (în repaus) și a aplicațiilor (în uz) este o cerință clară pentru cele trei niveluri de securitate menționate mai sus (Basic, Enhanced, Critical). Caracteristicile necesare pentru a oferi o astfel de protecție sunt:

  • Algoritmi criptografici pe baza standardelor validate de NIST / FIPS.
  • Suite de cifre asimetrice și simetrice, funcții de hashing și număr aleatoriu. generatoare suficient de puternice și bazate pe PKCS (Public Key Cryptography Standards)
  • Capacitatea de actualizare în câmp a algoritmilor criptografici pentru a putea acoperi vulnerabilitățile posibile.
  • Controlul bazat pe politică a aplicațiilor, folosind funcții criptografice, evitând utilizarea criptografiei nesigure.
  • Interoperabilitatea cheilor criptelor și a certificatelor în sisteme multi-furnizori.

Platforma software Barbara implementează mai multe caracteristici care garantează calitatea serviciilor criptografice. Utilizează implicit LUKS, care este standard pentru criptarea hard disk-ului LINUX. LUKS este deschis, deci este ușor audibil și se bazează pe PKCS așa cum este recomandat.

În ceea ce privește transportul de date, Barbara OS conține bibliotecile necesare pentru a comunica utilizând protocoalele de aplicație standard IoT pe un transport criptat (TLS și DTLS).

În plus, este necesară o stivă de comunicații de la capăt la sfârșit pentru cele trei niveluri definite. Această stivă de comunicații ar trebui să includă suport pentru autentificare, conectivitate protejată, firewall final și includerea protocoalelor de transport sigure (TLS, DTLS, SSH ...). Toate aceste funcții sunt incluse în Barbara Software Platform, astfel încât TOATE comunicațiile Barbara sunt autentificate și criptate.

Configurare și gestionare finală

Și un sistem scalabil pentru a actualiza Sistemul de operare, aplicațiile și / sau configurația dispozitivului este necesar să respecte nivelurile îmbunătățite și critice, ținând cont de faptul că poate fi necesar să efectuați astfel de actualizări de peste milioane de puncte în același timp. Desigur, toate aceste operațiuni ar trebui să fie efectuate într-un mediu sigur, inclusiv validarea pe bază de certificat între entitatea care servește actualizarea și punctul final care o primește.

În această privință, Platforma software Barbara include Panoul Barbara. Barbara Panel este soluția din partea serverului pentru a gestiona toate punctele finale ale unei implementări IoT. Oferă o consolă simplă și centralizată pentru gestionarea actualizărilor OTA (Over The Air), monitorizarea dispozitivului și gestionarea configurației. Toate aceste funcții sunt oferite într-un mediu de securitate optim.

Monitorizare continuă

Monitorizarea în timp real a obiectivului este o cerință pentru nivelul critic de securitate, conform IIC. Acest lucru ar permite utilizatorului să controleze și să prevină modificări neautorizate în configurație și să dețină control la nivel de aplicație pentru a detecta și preveni activitățile neautorizate ca utilizarea cifrelor nesigure care pot compromite sistemul

Barbara Panel include și sistemul de alertă care ar permite utilizatorului să primească alerte de securitate predefinite și să-și definească propriile alerte și să le împingă spre obiective.

Tabloul de bord pentru politici și activități

Pentru a respecta nivelul critic, este necesară capacitatea de a gestiona punctele finale de la distanță. Administratorul de sistem ar trebui să fie capabil să împingă și să execute politicile într-un mod care să garanteze distribuirea corectă a politicilor în rețea, acționând în acest mod ca un cadru de securitate eficient.

Barbara Panel permite managerilor de implementare să monitorizeze activitățile finale și să definească și să împingă politicile de securitate pe baza informațiilor obținute. Ca exemplu, noile politici pot implementa noi reguli în firewallul menționat mai sus atunci când sunt detectate modele suspecte de comunicații.

Informații despre sistem și gestionarea evenimentelor

Legat de paragraful anterior, capacitatea de a capta jurnalele de evenimente și de a defini și distribui politicile bazate pe informațiile din jurnale este, de asemenea, o cerință pentru nivel critic. Se recomandă ca aceste operațiuni de gestionare să fie efectuate folosind modele de date sau formate extensibile precum API REST sau JSON.

Sistemul de înregistrare Barbara Software Platform oferă administratorilor de sistem o cantitate mare de informații care ar fi utilizate pentru generarea politicilor de securitate.

Concluzie

Barbara IoT depune un efort imens pentru a construi un produs sigur. Un produs care poate fi utilizat în cele mai solicitante scenarii în ceea ce privește securitatea industrială. La fel ca IIC, credem că acest tip de inițiative pot ajuta întregul ecosistem al industriei prin promovarea încrederii și abilitarea tuturor actorilor din ecosistem.

Referințe:

  • http://www.iiconsortium.org/
  • Cele mai bune practici pentru securitatea IIC IIC: WHT: IN17: V1.0: PB: 20180312 Steve Hanna, Srinivas Kumar, Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • Ce ar trebui să știe utilizatorii despre Criptarea completă a discurilor bazată pe LUKS, Simone Bossi și Andrea Visconti; Laboratorul de criptografie și codificare (CLUB), Departamentul de Informatică, Universitatea degli Studi di Milano http://www.club.di.unimi.it/

Această postare a fost publicată inițial la barbaraiot.com pe 6 iunie 2018. Dacă vă place și doriți să primiți conținut similar, abonați-vă la Newsletter-ul nostru