Capacidad 4. Proporcionar protección y gobernanza de datos - AWS Guía prescriptiva
JustificaciónConsideraciones de seguridadRemediaciones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Capacidad 4. Proporcionar protección y gobernanza de datos

Esta capacidad es compatible con la mejor práctica 8 de las mejores prácticas de la AWS SRA para el IoT.

Capability 4 aborda la necesidad crítica de proteger los datos de IoT y IIo T durante todo su ciclo de vida, desde los dispositivos periféricos hasta los sistemas de almacenamiento y procesamiento en la nube. Incluye mecanismos de cifrado sólidos tanto para los datos en reposo como para los datos en tránsito, además de establecer prácticas exhaustivas de gobierno de datos.

Justificación

Los sistemas industriales pueden generar, procesar y almacenar grandes cantidades de información confidencial, incluidos los procesos de fabricación patentados, los datos de rendimiento de los equipos y la telemetría operativa crítica. El acceso o la manipulación no autorizados de estos datos pueden tener consecuencias importantes que van desde el robo de propiedad intelectual hasta interrupciones operativas e incidentes de seguridad. La implementación de prácticas sólidas de cifrado y gobierno de datos aborda estos riesgos directamente. Ayuda a proteger los valiosos activos de información y a garantizar la continuidad de las operaciones industriales.

Consideraciones de seguridad

La implementación de medidas sólidas de protección y gobierno de datos aborda varios riesgos de seguridad en los entornos de IoT, IIo T y OT. Las principales preocupaciones incluyen el acceso no autorizado a datos confidenciales que se almacenan en dispositivos de IoT y puertas de enlace periféricas, y la interceptación de datos durante la transmisión entre dispositivos y sistemas en la nube.

Remediaciones

Protección de los datos

Cifrado de datos inactivos: la información que se almacena en los dispositivos desplegados, como sensores o cámaras, puede parecer inofensiva, pero cuando no se garantiza el control físico de un dispositivo, esa información puede ser blanco de actores no autorizados. Algunos ejemplos son los vídeos almacenados en caché en cámaras de consumo, los modelos patentados de aprendizaje automático (ML) en aplicaciones industriales y los datos de configuración para entornos operativos. En el caso de los dispositivos desplegados, la mejor práctica es cifrar todos los datos almacenados en reposo siempre que sea posible. Esto incluye:

  • Almacenamiento de dispositivos: cifra el almacenamiento local en los dispositivos de IoT mediante un cifrado basado en hardware (cuando esté disponible) o un cifrado de software seguro.

  • Puertas de enlace periféricas: implemente el cifrado de disco completo en las puertas de enlace periféricas y los servidores locales.

  • Almacenamiento en la nube: utilice servicios AWS de cifrado gestionados para los datos almacenados en la nube, tal y como se describe en la AWS KMS sección de la cuenta de aplicaciones de la SRA. AWS

Implemente mecanismos para borrar la información almacenada en los dispositivos. Esto puede ser necesario cuando los dispositivos se reutilicen o se vendan y cambien de propietario.

Cifrado de datos en tránsito: cifra todos los datos en tránsito, incluidos los datos de sensores y dispositivos, administración, aprovisionamiento e implementación. Casi todos los dispositivos IoT modernos tienen la capacidad de cifrar el tráfico de la red, así que aproveche esa capacidad y proteja las comunicaciones tanto en el plano de datos como en el plano de control. Esta práctica ayuda a garantizar tanto la confidencialidad de los datos como la integridad de las señales de monitoreo. En el caso de los protocolos que no se pueden cifrar, considere si un dispositivo perimetral que esté más cerca del activo de IoT puede aceptar la comunicación y convertirla en un protocolo seguro antes de enviarla fuera del perímetro local.

Entre las prácticas clave se incluyen las siguientes:

  • Utilice TLS para todas las comunicaciones MQTT y HTTP (es decir, utilice MQTTS y HTTPS). Se recomienda que las comunicaciones sean seguras independientemente de la ruta de enrutamiento de paquetes de la red, ya sea que se limite a la AWS red troncal o no.

  • Implemente mensajes MQTT seguros para IoT, incluso en la periferia.

  • Utilice AWS Site-to-Site VPN AWS PrivateLink, y AWS Direct Connect para una comunicación segura entre los componentes locales y. AWS Estos servicios proporcionan un enrutamiento de red o una encapsulación de paquetes más predecibles en comparación con los puntos finales de API accesibles a Internet.