Fähigkeit 1. Bereitstellung von sicherem Edge-Computing und Konnektivität - AWS Präskriptive Leitlinien
BegründungSicherheitsüberlegungenAbhilfemaßnahmen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fähigkeit 1. Bereitstellung von sicherem Edge-Computing und Konnektivität

Diese Funktion unterstützt die Best Practices 3, 4 und 5 aus den AWS SRA-Best Practices für IoT.

Das Modell der AWS gemeinsamen Verantwortung erstreckt sich auf den industriellen IoT-Edge und auf Umgebungen, in denen Geräte eingesetzt werden. In den Umgebungen, in denen Geräte eingesetzt werden, die oft als IoT-Edge-Standorte bezeichnet werden, sind die Verantwortlichkeiten der Kunden viel umfassender als in der Cloud-Umgebung. Die Sicherheit des IoT-Edge liegt in der Verantwortung des AWS Kunden und umfasst die Sicherung des Edge-Netzwerks, des Edge-Netzwerkperimeters und der Geräte im Edge-Netzwerk, die sichere Verbindung mit der Cloud, die Verwaltung von Softwareupdates von Edge-Geräten und -Geräten sowie die Protokollierung, Überwachung und Prüfung von Edge-Netzwerken, um nur einige wichtige Beispiele zu nennen. AWS ist verantwortlich für die von AWS ihm bereitgestellte Edge-Software wie AWS IoT SiteWise Edge AWS IoT Greengrass und die AWS Edge-Infrastruktur wie. AWS Outposts

Begründung

Da Industriebetriebe zunehmend Cloud-Technologien einsetzen, besteht ein wachsender Bedarf, die Lücke zwischen herkömmlichen OT-Systemen und moderner IT-Infrastruktur zu schließen. Diese Fähigkeit trägt der Notwendigkeit einer sicheren Verarbeitung mit niedriger Latenz am Netzwerkrand Rechnung und gewährleistet gleichzeitig eine robuste Konnektivität zu AWS Cloud Ressourcen. Durch die Implementierung von Edge-Gateways und sicheren Konnektivitätsmethoden können Unternehmen die für kritische industrielle Prozesse erforderliche Leistung und Zuverlässigkeit aufrechterhalten und gleichzeitig die Skalierbarkeit und die fortschrittlichen Analysefunktionen von Cloud-Diensten nutzen.

Diese Fähigkeit ist auch für die Aufrechterhaltung eines starken Sicherheitsniveaus in IIo T- und OT-Umgebungen unerlässlich. OT-Systeme verwenden häufig veraltete Geräte und Protokolle, denen möglicherweise integrierte Sicherheitsfunktionen fehlen und die daher anfällig für Cyberbedrohungen sind. Durch die Integration sicherer Edge-Computing- und Konnektivitätslösungen können Unternehmen wichtige Sicherheitsmaßnahmen wie Netzwerksegmentierung, Protokollkonvertierung und sicheres Tunneln näher an der Datenquelle implementieren. Dieser Ansatz trägt zum Schutz sensibler Industriedaten und -systeme bei und ermöglicht auch die Einhaltung branchenspezifischer Sicherheitsstandards und -vorschriften. Darüber hinaus bietet es ein Framework für die sichere Verwaltung und Aktualisierung von Edge-Geräten, wodurch die allgemeine Sicherheit und Zuverlässigkeit von IIo T- und OT-Installationen weiter verbessert wird.

Sicherheitsüberlegungen

Die Implementierung von sicherem Edge-Computing und Konnektivität in IoT-, IIo T- und OT-Lösungen stellt eine vielfältige Risikolandschaft dar. Zu den wichtigsten Bedrohungen gehören eine unzureichende Netzwerksegmentierung zwischen IT- und OT-Systemen, Sicherheitslücken in älteren Industrieprotokollen und die inhärenten Einschränkungen von Edge-Geräten mit begrenzten Ressourcen. Diese Faktoren schaffen potenzielle Eintrittspunkte und Möglichkeiten zur Ausbreitung von Bedrohungen. Die Übertragung sensibler Industriedaten zwischen Edge-Geräten und Cloud-Diensten kann auch das Risiko des Abhörens und der Manipulation mit sich bringen, und unsichere Cloud-Verbindungen können Systeme internetbasierten Bedrohungen aussetzen. Zu den weiteren Bedenken gehören das Potenzial für laterale Bewegungen innerhalb industrieller Netzwerke, mangelnde Transparenz der Aktivitäten von Edge-Geräten, physische Sicherheitsrisiken für abgelegene Infrastrukturen und Schwachstellen in der Lieferkette, die zu kompromittierten Komponenten führen können. Zusammengenommen unterstreichen diese Bedrohungen die dringende Notwendigkeit robuster Sicherheitsmaßnahmen für Edge-Computing- und Konnektivitätslösungen für industrielle Umgebungen.

Abhilfemaßnahmen

Datenschutz

Um Datenschutzbedenken auszuräumen, sollten Sie Verschlüsselung für Daten während der Übertragung und Speicherung implementieren. Verwenden Sie sichere Protokolle wie MQTT über TLS, HTTPS und WebSockets über HTTPS. Für die Kommunikation mit IoT-Geräten und generell in industriellen IoT-Edge-Umgebungen sollten Sie die Verwendung sicherer Versionen von Industrieprotokollen wie CIP Security, Modbus Secure und Open Platform Communications Unified Architecture (OPC UA) mit aktiviertem Sicherheitsmodus in Betracht ziehen. Wenn sichere Protokolle nicht nativ unterstützt werden, setzen Sie Protokollkonverter oder Gateways ein, um unsichere Protokolle so nah wie möglich an der Datenquelle in sichere Protokolle zu übersetzen. Für kritische Systeme, die eine strenge Datenflusskontrolle erfordern, sollten Sie die Implementierung unidirektionaler Gateways oder Datendioden in Betracht ziehen. Verwenden Sie AWS IoT SiteWise Edge-Gateways mit OPC UA-Sicherheitsmodus für industrielle Datenquellen und AWS IoT Greengrassfür sichere lokale MQTT-Broker-Konfigurationen. Wenn Sicherheit auf Protokollebene nicht möglich ist, sollten Sie erwägen, ein Verschlüsselungs-Overlay mithilfe VPNs oder anderer Tunneling-Technologien zu implementieren, um Daten während der Übertragung zu schützen.

Im Rahmen des AWS SRA für IoT-, IIo T- und OT-Umgebungen sollte die sichere Protokollnutzung und -konvertierung auf mehreren Ebenen implementiert werden:

  • Stufe 1. Durch die Verwendung eines AWS IoT SiteWise Edge-Gateways, das mit einer industriellen Datenquelle verbunden ist, die OPC UA im Sicherheitsmodus unterstützt.

  • Stufe 2. Durch die Verwendung eines AWS IoT SiteWise Edge-Gateways in Kombination mit einer Partnerdatenquelle, die ältere Protokolle unterstützt, um die erforderliche Protokollkonvertierung zu erreichen.

  • Stufe 3. Durch die Verwendung einer sicheren lokalen MQTT-Broker-Konfiguration mit MQTT-Brokern, die unterstützt werden durch. AWS IoT Greengrass

Verwalten von Identitäten und Zugriff

Implementieren Sie robuste Identitäts- und Zugriffsmanagementpraktiken, um die Risiken unberechtigter Zugriffe zu minimieren. Verwenden Sie starke Authentifizierungsmethoden, wo möglich, einschließlich Multi-Faktor-Authentifizierung, und wenden Sie das Prinzip der geringsten Rechte an. Verwenden Sie AWS Systems Managerfür die Edge-Geräteverwaltung den sicheren Zugriff und die Konfiguration von Edge-Computing-Ressourcen. Verwendung AWS IoT Device Managementund AWS IoT Greengrassfür die sichere Verwaltung von IoT-Geräten. Wenn Sie AWS IoT SiteWise Gateways verwenden, verwenden Sie diese AWS OpsHubfür eine sichere Verwaltung. Für die Edge-Infrastruktur sollten Sie einen vollständig verwalteten Service in Betracht ziehen AWS Outposts, der konsequent bewährte Methoden auf AWS Ressourcen am Netzwerkrand anwendet.

Netzwerksicherheit

Die sichere Konnektivität zwischen dem industriellen Edge und dem AWS Cloud ist eine entscheidende Komponente für die erfolgreiche Bereitstellung von IoT-, IIo T- und OT-Workloads in der Cloud. Wie in der AWS SRA gezeigt, AWS bietet es mehrere Möglichkeiten und Entwurfsmuster, um vom industriellen Rand aus eine sichere Verbindung zur AWS Umgebung herzustellen.

Die Verbindung kann auf eine von drei Arten hergestellt werden:

  • Durch die Einrichtung einer sicheren VPN-Verbindung AWS über das Internet

  • Durch den Aufbau einer dedizierten privaten Verbindung über AWS Direct Connect

  • Durch die Verwendung sicherer TLS-Verbindungen zu AWS IoT öffentlichen Endpunkten

Diese Optionen bieten einen zuverlässigen und verschlüsselten Kommunikationskanal zwischen der industriellen Peripherie und der AWS Infrastruktur gemäß den Sicherheitsrichtlinien des National Institute of Standards and Technology (NIST) Guide to Operational Technology (OT) Security (NIST SP 800-82 Rev. 3), der die Notwendigkeit gewährleistet, sichere Verbindungen... zwischen Netzwerksegmenten zu verwenden, z. B. zwischen einem regionalen Zentrum und primären Kontrollzentren sowie zwischen Remote-Stationen und Kontrollzentren“.

Nachdem Sie eine sichere Verbindung zu Workloads hergestellt haben, die in AWS und zu ausgeführt werden AWS-Services, verwenden Sie nach Möglichkeit VPC-Endpunkte (Virtual Private Cloud). VPC-Endpunkte ermöglichen es Ihnen, eine private Verbindung zu unterstützten Regional herzustellen, AWS-Services ohne deren öffentliche IP-Adressen zu verwenden. AWS-Services Dieser Ansatz trägt zur weiteren Verbesserung der Sicherheit bei, indem private Verbindungen zwischen Ihrer VPC und hergestellt werden AWS-Services, und entspricht den Empfehlungen von NIST SP 800-82 Rev. 3 für sichere Datenübertragungen und Netzwerksegmentierung.

Sie können VPC-Endpunktrichtlinien konfigurieren, um den Zugriff nur auf die erforderlichen Ressourcen zu kontrollieren und zu beschränken, wobei das Prinzip der geringsten Rechte angewendet wird. Dies trägt dazu bei, die Angriffsfläche zu reduzieren und das Risiko eines unbefugten Zugriffs auf sensible IoT-, IIo T- und OT-Workloads zu minimieren. Wenn der VPC-Endpunkt für den erforderlichen Dienst nicht verfügbar ist, können Sie mithilfe von TLS eine sichere Verbindung über das öffentliche Internet herstellen. In solchen Szenarien empfiehlt es sich, diese Verbindungen über einen TLS-Proxy und eine Firewall weiterzuleiten, wie bereits im Abschnitt Infrastruktur-OU — Netzwerkkonto beschrieben.

In einigen Umgebungen müssen möglicherweise Daten in eine Richtung gesendet werden, AWS während der Verkehr in die entgegengesetzte Richtung physisch blockiert wird. Wenn Ihre Umgebung diese Anforderung erfüllt, können Sie Datendioden und unidirektionale Gateways verwenden. Unidirektionale Gateways bestehen aus einer Kombination von Hardware und Software. Das Gateway ist physisch in der Lage, Daten nur in eine Richtung zu senden, sodass keine Möglichkeit besteht, dass IT- oder internetbasierte Sicherheitsereignisse in die OT-Netzwerke übergehen. Unidirektionale Gateways können eine sichere Alternative zu Firewalls sein. Sie erfüllen mehrere industrielle Sicherheitsstandards, wie z. B. die North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP), die International Society of Automation and International Electrotechnical Commission (ISA/IEC) 62443, das Nuclear Energy Institute (NEI)08-09, die U.S. Nuclear Regulatory Commission (NRC) 5.71 und CLC/TS 50701. Sie werden auch vom Industrial Internet Security Framework des Industry IoT Consortium unterstützt, das Leitlinien zum Schutz von Sicherheitsnetzwerken und zur Steuerung von Netzwerken mit unidirektionaler Gateway-Technologie bietet. NIST SP 800-82 gibt an, dass die Verwendung unidirektionaler Gateways zusätzliche Schutzmaßnahmen im Zusammenhang mit Systemkompromittierungen auf höheren Ebenen oder Ebenen innerhalb der Umgebung bieten kann. Diese Lösung ermöglicht regulierten Branchen und kritischen Infrastruktursektoren, Cloud-Dienste AWS (wie IoT und AI/ML Dienste) zu nutzen und gleichzeitig zu verhindern, dass Remote-Ereignisse wieder in geschützte industrielle Netzwerke eindringen. OT-Geräte, die sich hinter der Datendiode und dem unidirektionalen Gateway befinden, müssen lokal verwaltet werden. Die Datendiodenfunktion ist eine netzwerkbezogene Funktion. Die Datendioden und unidirektionalen Gateways sollten, wenn sie in der AWS Umgebung eingesetzt werden, um das IoT Industrial Edge zu unterstützen, im Industrial Isolation-Netzwerkkonto eingesetzt werden, sodass sie zwischen den Ebenen des OT-Netzwerks eingebettet sind.