Gerätezertifikat geteilt - AWS IoT Device Defender
DetailsWarum dies wichtig istSo lässt es sich beheben

Gerätezertifikat geteilt

Mehrere gleichzeitige Verbindungen verwenden dasselbe X.509-Zertifikat zur Authentifizierung bei AWS IoT.

Diese Prüfung wird wie DEVICE_CERTIFICATE_SHARED_CHECK in der CLI und API angezeigt.

Schweregrad: Kritisch

Details

Wenn diese Prüfung im Rahmen eines On-Demand-Audits durchgeführt wird, untersucht sie die Zertifikate und Client-IDs, mit denen Geräte innerhalb der letzten 31 Tage vor dem Start des Audits eine Verbindung hergestellt haben. Bei geplanten Audits untersucht diese Prüfung die Daten ab 2 Stunden vor dem Zeitpunkt, an dem der Audit zuletzt ausgeführt wurde, bis zu 2 Stunden vor dem Zeitpunkt, an dem diese Instance des Audits gestartet wurde. Wenn Sie innerhalb des geprüften Zeitraums Abhilfemaßnahmen ergriffen haben, vermerken Sie, wann die gleichzeitigen Verbindungen hergestellt wurden, um zu bestimmen, ob das Problem weiterhin besteht.

Die folgenden Ursachencodes werden zurückgegeben, wenn diese Prüfung ein nicht-konformes Zertifikat findet:

  • CERTIFICATE_SHARED_BY_MULTIPLE_DEVICES

Außerdem enthalten die von dieser Prüfung zurückgegebenen Ergebnisse die ID des freigegebenen Zertifikats, die IDs der Clients, die mittels des Zertifikats eine Verbindung hergestellt haben, sowie den Zeitpunkt, an dem die Verbindung hergestellt oder getrennt wurde. Die neuesten Ergebnisse werden zuerst aufgelistet.

Warum dies wichtig ist

Jedes Gerät sollte sich mit einem eindeutigen Zertifikat bei AWS IoT authentifizieren. Wenn mehrere Geräte dasselbe Zertifikat verwenden, kann dies darauf hindeuten, dass ein Gerät kompromittiert wurde. Seine Identität wurde möglicherweise geklont, um das System noch mehr zu kompromittieren.

So lässt es sich beheben

Stellen Sie sicher, dass das Gerätezertifikat nicht kompromittiert wurde. Ist dies der Fall, befolgen Sie Ihre bewährten Sicherheitsmethoden, um die Situation zu entschärfen.

Wenn Sie dasselbe Zertifikat auf mehreren Geräten verwenden, sind die folgenden Maßnahmen zu empfehlen:

  1. Stellen Sie neue, eindeutige Zertifikate bereit und fügen Sie sie an jedes Gerät an.

  2. Überprüfen Sie, ob die neuen Zertifikate gültig sind und ob die Geräte mit ihnen eine Verbindung herstellen können.

  3. Verwenden Sie UpdateCertificate zum Kennzeichnen des alten Zertifikats als REVOKED in AWS IoT. Sie können auch Maßnahmen zur Schadensbegrenzung verwenden, um Folgendes zu tun:

    • Wenden Sie die Abhilfemaßnahme UPDATE_DEVICE_CERTIFICATE auf Ihre Prüfungsergebnisse an, um diese Änderung vorzunehmen.

    • Wenden Sie die Abhilfemaßnahme ADD_THINGS_TO_THING_GROUP an, um das Geräts zu einer Gruppe hinzuzufügen, über der Aktionen ausgeführt werden können.

    • Wenden Sie die Abhilfemaßnahme PUBLISH_FINDINGS_TO_SNS an, wenn Sie eine benutzerdefinierte Antwort als Antwort auf die Amazon SNS-Nachricht implementieren möchten.

    Weitere Informationen finden Sie unter Abschwächungsaktionen.

  4. Trennen Sie das alte Zertifikat von jedem der Geräte.