IoT-Sicherheitsfunktionen - AWS Präskriptive Leitlinien
Leitlinien zur RisikobeurteilungEmpfohlen AWS-Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IoT-Sicherheitsfunktionen

In diesem Abschnitt werden Empfehlungen für sicheren Zugriff, Nutzung und Implementierung der im vorherigen Abschnitt erörterten IoT-Sicherheitsfunktionen erörtert.

Wichtig

Verwenden Sie ein gemeinsames Framework wie MITRE ATT&CK oder ISA/IEC 62443, um eine Bewertung der Cybersicherheitsrisiken durchzuführen und die Ergebnisse als Grundlage für die Einführung relevanter Funktionen zu nutzen. Ihre Wahl hängt von der Vertrautheit Ihres Unternehmens mit diesen Frameworks und den Erwartungen Ihrer Prüfer für behördliche Vorschriften oder die Einhaltung von Vorschriften ab.

Leitlinien zur Risikobeurteilung

Unabhängig davon, ob Sie IoT-Geräte für Privatanwender, industrielle IoT-Workloads oder Betriebstechnologien einsetzen, sollten Sie zunächst die mit Ihrer Bereitstellung verbundenen Risiken und Bedrohungen bewerten. Eine häufige Bedrohung für IoT-Geräte, die im MITRE ATT&CK-Framework aufgeführt sind, ist beispielsweise Network Denial of Service (T1498). Die Definition eines denial-of-service (DoS-) Angriffs auf ein IoT-Gerät besteht darin, Status- oder Befehls- und Kontrollkommunikation zu und von einem IoT-Gerät und seinen Controllern zu verbieten. Im Fall eines IoT-Geräts für Verbraucher, wie z. B. einer intelligenten Glühbirne, könnte die Unfähigkeit, den Status zu kommunizieren oder Updates von einer zentralen Kontrollstelle zu erhalten, zu Problemen führen, hätte aber wahrscheinlich keine kritischen Folgen. In einem OT- und IIo T-System, das eine Wasseraufbereitungsanlage, ein Versorgungsunternehmen oder eine intelligente Fabrik verwaltet, könnte der Verlust der Fähigkeit, Befehle zum Öffnen oder Schließen von Schlüsselventilen zu empfangen, jedoch größere Auswirkungen auf den Betrieb, die Sicherheit und die Umwelt haben. Aus diesem Grund sollten Sie die Auswirkungen verschiedener gängiger Bedrohungen berücksichtigen, herausfinden, wie sie sich auf Ihre Anwendungsfälle auswirken, und Möglichkeiten zu ihrer Eindämmung ermitteln. Zu den wichtigsten Empfehlungen gehören:

  • Identifizieren, verwalten und verfolgen Sie Lücken und Sicherheitslücken. Erstellen und pflegen Sie ein up-to-date Bedrohungsmodell, anhand dessen Sie Ihre Systeme überwachen können.

  • Führen Sie ein Inventar aller verbundenen Anlagen und einer up-to-date Netzwerkarchitektur.

  • Segmentieren Sie Ihre Systeme auf der Grundlage ihrer Risikobewertung. Einige IoT- und IT-Systeme haben möglicherweise dieselben Risiken. Verwenden Sie in diesem Szenario ein vordefiniertes Zoning-Modell mit entsprechenden Steuerungen dazwischen.

  • Folgen Sie einem Mikrosegmentierungsansatz, um die Auswirkungen eines Ereignisses zu isolieren.

  • Verwenden Sie geeignete Sicherheitsmechanismen, um den Informationsfluss zwischen Netzwerksegmenten zu kontrollieren.

  • Machen Sie sich mit den möglichen Auswirkungen indirekter Auswirkungen auf Kommunikationskanäle vertraut. Wenn beispielsweise ein Kommunikationskanal mit einem anderen Workload gemeinsam genutzt wird, kann ein DoS-Ereignis auf diesem anderen Workload die Netzwerkkommunikation des IIo T- oder OT-Workloads beeinflussen.

  • Identifizieren und überprüfen Sie im Zuge der Weiterentwicklung Ihrer Lösung regelmäßig Möglichkeiten zur Minimierung von Sicherheitsereignissen.

In OT- oder IIo T-Umgebungen sollten Sie erwägen, das betrachtete System (SuC) gemäß ISA/IEC 62443-3-2, Bewertung der Sicherheitsrisiken für das Systemdesign, in separate Zonen und Leitungen zu unterteilen. Ziel ist es, Ressourcen mit gemeinsamen Sicherheitsmerkmalen zu identifizieren, um eine Reihe gemeinsamer Sicherheitsanforderungen festzulegen, die das Cybersicherheitsrisiko verringern. Die Unterteilung des SuC in Zonen und Leitungen kann auch dazu beitragen, das Gesamtrisiko zu verringern, indem die Auswirkungen eines Cybervorfalls begrenzt werden. Zonen- und Kanaldiagramme können bei der detaillierten Bewertung von OT- oder IIo T-Cybersicherheitsrisiken hilfreich sein und helfen, Bedrohungen und Schwachstellen zu identifizieren, Konsequenzen und Risiken zu ermitteln und Abhilfemaßnahmen oder Kontrollmaßnahmen zum Schutz von Anlagen vor Cyberereignissen zu ergreifen.

Empfohlen AWS-Services

Verwenden Sie beim Aufbau Ihrer Umgebung grundlegende Dienste wie Amazon Virtual Private Cloud (Amazon VPC), VPC-Sicherheitsgruppen und Netzwerkzugriffskontrolllisten (Netzwerk ACLs), um die Mikrosegmentierung zu implementieren. AWS Cloud Wir empfehlen, mehrere AWS-Konten zu verwenden, um IoT-, IIo T- und OT-Anwendungen, Daten und Geschäftsprozesse in Ihrer gesamten Umgebung zu isolieren und AWS Organizations für eine bessere Verwaltbarkeit und zentrale Einblicke zu verwenden.

Weitere Informationen finden Sie im Security Pillar of AWS Well-Architected Framework und im AWS Whitepaper Organizing Your AWS Environment Using Multiple Accounts.