IIC Bestpoint Security Best Practices

Nedavno je industrijski internetski konzorcij objavio zanimljiv rad s njihovim preporučenim najboljim sigurnosnim praksama za krajnju točku.

Barbara IoT je uvijek oduševljena ovakvim inicijativama, jer čvrsto vjerujemo da treba puno raditi na sigurnosti IoT-a i uređaj je vjerojatno najslabija veza trenutno prisutna u lancu vrijednosti IoT-a. A kao što znamo, lanac je jak kao i najslabija karika, pa bi osiguravanje uređaja bilo neophodno (ako već nije).

Ovaj članak govori o osnovama IIC preporuka i uspoređuje ih s softverskom platformom Barbara, sigurnim rješenjem za životni ciklus IoT uređaja. Sljedeća tablica sažima matricu usklađenosti:

No, upustimo se u detalje….

Razine sigurnosti:

IIC definira tri razine sigurnosti, osnovnu razinu sigurnosti (SLB), poboljšanu razinu sigurnosti (SLE) i kritičnu razinu sigurnosti (SLC), što odgovara razinama sigurnosti 2, 3 i 4 kako je definirano u IEC 62443 3–3. Osnovna razina štiti od „namjernog kršenja jednostavnim sredstvima s malim resursima“. Pojačana razina štiti naš sustav od "sofisticiranih sredstava s umjerenim resursima". Kritična razina koraka osigurava zaštitu za "sofisticirana sredstva s proširenim resursima". Ovisno o aplikaciji i okolnostima, krajnju točku morate zaštititi odgovarajućom razinom sigurnosti.

Na temelju ove razine sigurnosti, IIC predlaže tri različite arhitekture koje bi se trebale temeljiti na otvorenim standardima i trebale bi biti interoperabilne između višestrukih dobavljača i krajnjih točaka više platformi da bi se smatrali sigurnim.

IIC predložio arhitekture

Krenimo dublje u svaku od ovih komponenti, opisujući ih detaljnije i otkrivajući kako Barbara Software Platform u skladu s IIC smjernicama.

Korijen povjerenja:

Root of Trust (RoT of Trust) predstavlja osnovu svake sigurnosti krajnje točke i pruža značajke kao identitet krajnje točke i potvrdu identiteta i integriteta softvera i hardvera. Kao što možete zamisliti, krajnja će točka biti jaka kao i Root of Trust, tako da je sigurna provedba Root of Trust obavezna.

Konkretno IIC tvrdi da bi se za poboljšane i kritične razine sigurnosti Root Trust trebao provoditi na temelju Hardvera. Da bismo udovoljili IIC preporukama, možda će nam trebati određeni hardverski sigurnosni čip (ili sličan) s otporom na neovlašteni rad.

Što se tiče korijena povjerenja, Barbara softverska platforma objedinjuje sve sigurnosne značajke za zaštitu Root of Trust. Naš softverski paket koristi privatnu PKI (infrastrukturu javnog ključa zasnovanu na standardima kriptografije javnog ključa) i pruža odgovarajuće kuke kako bi se omogućila jednostavna integracija s pouzdanim platformama po izboru kupca.

Identitet krajnje točke:

Identitet krajnje točke osnovna je komponenta za izgradnju većine sigurnosnih značajki. Prema IIC preporukama, podrška PKI-u (javna ključna infrastruktura) obavezna je za pokrivanje osnovnih, poboljšanih i kritičnih razina. Također se preporučuje provedba otvorenog standardnog protokola upravljanja certifikatom za izdavanje i upravljanje certifikatima iz unutarnje ili vanjske službe za potvrdu (certifikacijsko tijelo).

Kao što je komentirano prije Barbara Software Platform uključuje vlastiti PKI temeljen na PKCS (Freeipa, www.freeipa.org/). FreeIPA je integrirano rješenje za identitet i autentifikaciju koje omogućuje centraliziranu provjeru autentičnosti, autorizaciju i podatke o računu. Prema zahtjevu IIC-a, FreeIPA se temelji na dobro poznatim komponentama otvorenog koda i standardnim protokolima.

Sigurno pokretanje:

Pouzdani sustav Secure Boot koji kriptografski štiti napajanje krajnje točke ponovo je zahtjev za osnovnom, poboljšanom i kritičnom razinom. Prema najboljim praksama IIC-a, ovo se može implementirati kriptografskim hashejima na temelju PKCS (Standardi kriptografije javnog ključa). Na taj način možemo biti sigurni da bi softver bez odgovarajućih tipki mogao pokrenuti uređaj. Barbara Software Platform može se prenijeti na hardverske ploče koje podržavaju sigurno pokretanje u razumnom naporu.

Kriptografske usluge i sigurna komunikacija:

Korištenje kriptografije tijekom prijenosa podataka (u pokretu), za pohranu podataka (u mirovanju) i aplikacija (u upotrebi) jasan je zahtjev za prethodno spomenute tri razine sigurnosti (osnovna, poboljšana i kritična). Za pružanje takve zaštite potrebne su sljedeće značajke:

  • Kriptografski algoritmi temeljeni na standardima potvrđenim u NIST / FIPS.
  • Asimetrični i simetrični šifarski parovi, hashing funkcije i slučajni broj. generatori dovoljno jaki i temeljeni na PKCS (Standardima kriptografije javnih ključeva)
  • Mogućnost kriptografskih algoritama za ažuriranje na terenu kako bi se pokrijele moguće ranjivosti.
  • Kontrola temeljena na politici upotrebe aplikacija kriptografskih funkcija, izbjegavajući uporabu nezaštićene kriptografije.
  • Interoperabilnost kripto-ključeva i certifikata u sustavima više proizvođača.

Softverska platforma Barbara implementira nekoliko značajki koje jamče kvalitetu kriptografskih usluga. Prema zadanim postavkama koristi LUKS, što je standard za LINUX šifriranje tvrdog diska. LUKS je otvoren, pa je lako pregledan i temelji se na PKCS-u kao što je preporučeno.

Na strani prijenosa podataka, Barbara OS sadrži potrebne biblioteke za komunikaciju koristeći IoT standardne protokole aplikacija preko šifriranog prijevoza (TLS i DTLS).

Povrh toga, za tri definirane razine potreban je siguran komunikacijski paket s kraja na kraj. Ovaj komunikacijski snop treba sadržavati podršku za provjeru autentičnosti, zaštićenu povezanost, vatrozid krajnje točke i uključivanje sigurnih transportnih protokola (TLS, DTLS, SSH…). Sve ove značajke uključene su u softversku platformu Barbara, tako da su SVE Barbara komunikacije provjerene i šifrirane.

Konfiguracija i upravljanje krajnjom točkom

A skalabilan sustav za ažuriranje operativnog sustava, aplikacija i / ili konfiguracija uređaja potreban je da bi bio u skladu s poboljšanim i kritičnim razinama, uzimajući u obzir da će možda trebati istodobna ažuriranja na više od milijun krajnjih točaka istovremeno. Naravno, sve ove operacije treba izvoditi u sigurnom okruženju, uključujući potvrdu utemeljenu na certifikatu između subjekta koji poslužuje ažuriranje i krajnje točke koja ga prima.

U tom pogledu, Barbara Software Platform uključuje Barbara Panel. Barbara Panel je poslužiteljsko rješenje za upravljanje svim krajnjim točkama implementacije IoT-a. Pruža jednostavnu i centraliziranu konzolu za upravljanje ažuriranjem OTA (Over The Air), nadziranje uređaja i upravljanje konfiguracijom. Sve ove značajke nude se u najboljem sigurnosnom okruženju klase.

Kontinuirano praćenje

IIC praćenje krajnje točke uvjet je kritične razine sigurnosti, prema IIC. To će omogućiti korisniku kontrolu i sprječavanje neovlaštenih promjena u konfiguraciji i kontrolu na razini aplikacije radi otkrivanja i sprječavanja neovlaštenih aktivnosti kao korištenja nesigurnih šifri koje mogu ugroziti sustav

Barbara Panel uključuje i sustav upozorenja koji bi korisniku omogućio primanje unaprijed definiranih sigurnosnih upozorenja i definiranje vlastitih upozorenja te ih gurnuo do krajnjih točaka.

Nadzorna ploča s politikama i aktivnostima

Da bi bila usklađena s kritičnom razinom, potrebna je sposobnost daljinskog upravljanja krajnjim točkama. Administrator sustava trebao bi biti u mogućnosti gurati i provoditi politike na način koji jamči ispravnu raspodjelu politika kroz mrežu, djelujući na taj način kao učinkovit sigurnosni okvir.

Barbara Panel omogućuje upraviteljima razmještaja da nadgledaju aktivnosti krajnjih točaka i da definiraju i guraju sigurnosne politike na temelju prikupljenih podataka. Primjerice, nova pravila mogu primijeniti nova pravila u spomenutom vatrozidu kada se otkriju sumnjivi komunikacijski obrasci.

Informacije o sustavu i upravljanje događajima

Povezana s prethodnim stavkom, sposobnost hvatanja dnevnika događaja i definiranja i distribucije pravila temeljenih na podacima iz zapisnika također je zahtjev za kritičnu razinu. Preporučuje se da se ovi postupci upravljanja izvode pomoću podataka podataka ili proširivih formata poput REST API-ja ili JSON.

Sustav prijavljivanja Barbara Software Platform pruža administratorima sustava velike količine informacija koje bi se koristile za stvaranje sigurnosnih politika.

Zaključak

Barbara IoT ulaže velike napore na izgradnji sigurnog proizvoda. Proizvod koji se može koristiti u najzahtjevnijim scenarijima u pogledu industrijske sigurnosti. Kao i IIC, mislimo da ovakve inicijative mogu pomoći cijelom industrijskom ekosustavu promicanjem samopouzdanja i osnaživanjem svih aktera unutar ekosustava.

Reference:

  • http://www.iiconsortium.org/
  • IIC Best Practice Security Best Practices; IIC: WHT: IN17: V1.0: PB: 20180312 Steve Hanna, Srinivas Kumar, Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • Što bi korisnici trebali znati o potpunom šifriranju diska na temelju LUKS-a, Simone Bossi i Andrea Visconti; Laboratorij za kriptografiju i kodiranje (CLUB), Odjel za računalne znanosti, Universitá degli Studi di Milano http://www.club.di.unimi.it/

Ovaj je post prvobitno objavljen na barbaraiot.com, 6. lipnja 2018. Ako vam se sviđa i želite primati sličan sadržaj, pretplatite se na naš Newsletter