Capacidad 1. Proporcionar conectividad y computación periférica seguras - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Capacidad 1. Proporcionar conectividad y computación periférica seguras

Esta capacidad es compatible con las mejores prácticas 3, 4 y 5 de las mejores prácticas de la AWS SRA para IoT.

El modelo de responsabilidad AWS compartida se extiende a la periferia del IoT industrial y a los entornos en los que se despliegan los dispositivos. En los entornos en los que se despliegan los dispositivos, a menudo denominados ubicaciones periféricas de IoT, las responsabilidades de los clientes son mucho más amplias que en el entorno de nube. La seguridad de la periferia de IoT es responsabilidad del AWS cliente e incluye la protección de la red perimetral, el perímetro de la red perimetral y los dispositivos de la red perimetral; la conexión segura a la nube; la gestión de las actualizaciones de software de los equipos y dispositivos perimetrales; y el registro, la supervisión y la auditoría de la red perimetral, como ejemplos clave. AWS es responsable del software perimetral AWS proporcionado, como AWS IoT SiteWise Edge, AWS IoT Greengrass y de la infraestructura AWS perimetral, como AWS Outposts.

Justificación

A medida que las operaciones industriales adoptan cada vez más las tecnologías en la nube, existe una creciente necesidad de cerrar la brecha entre los sistemas de TO tradicionales y la infraestructura de TI moderna. Esta capacidad responde a la necesidad de un procesamiento periférico seguro y de baja latencia y, al mismo tiempo, garantiza una conectividad sólida con los Nube de AWS recursos. Al implementar puertas de enlace periféricas y métodos de conectividad seguros, las organizaciones pueden mantener el rendimiento y la confiabilidad necesarios para los procesos industriales críticos y, al mismo tiempo, aprovechar la escalabilidad y las capacidades de análisis avanzadas de los servicios en la nube.

Esta capacidad también es esencial para mantener una sólida postura de seguridad en los entornos de IIo T y OT. Los sistemas de OT suelen incluir dispositivos y protocolos antiguos que pueden carecer de funciones de seguridad integradas y ser vulnerables a las ciberamenazas. Al incorporar soluciones seguras de conectividad y computación periférica, las organizaciones pueden implementar medidas de seguridad cruciales, como la segmentación de la red, la conversión de protocolos y la construcción de túneles seguros más cerca de la fuente de datos. Este enfoque ayuda a proteger los datos y sistemas industriales confidenciales y también permite el cumplimiento de las normas y reglamentos de seguridad específicos del sector. Además, proporciona un marco para administrar y actualizar de forma segura los dispositivos periféricos, lo que mejora aún más la seguridad y la confiabilidad generales de las implementaciones de IIo T y OT.

Consideraciones de seguridad

La implementación de conectividad y computación periférica seguras en las soluciones de IoT, IIo T y OT presenta un panorama de riesgos multifacético. Las principales amenazas incluyen una segmentación inadecuada de la red entre los sistemas de TI y TO, las debilidades de seguridad de los protocolos industriales tradicionales y las limitaciones inherentes a los dispositivos periféricos que tienen recursos limitados. Estos factores crean posibles puntos de entrada y vías para la propagación de amenazas. La transmisión de datos industriales confidenciales entre dispositivos periféricos y servicios en la nube también puede implicar riesgos de interceptación y manipulación, y las conexiones inseguras a la nube pueden exponer los sistemas a las amenazas de Internet. Otras preocupaciones incluyen la posibilidad de que se produzcan movimientos laterales dentro de las redes industriales, la falta de visibilidad de las actividades de los dispositivos periféricos, los riesgos de seguridad física de las infraestructuras ubicadas de forma remota y las vulnerabilidades de la cadena de suministro que pueden comprometer los componentes. En conjunto, estas amenazas subrayan la necesidad imperiosa de contar con medidas de seguridad sólidas en las soluciones de conectividad y computación periférica para entornos industriales.

Remediaciones

Protección de los datos

Para abordar los problemas de protección de datos, implemente el cifrado de los datos en tránsito y en reposo. Utilice protocolos seguros como MQTT sobre TLS, HTTPS y WebSockets HTTPS. Para las comunicaciones con dispositivos de IoT y, en general, dentro de los entornos periféricos industriales de IoT, considere la posibilidad de utilizar versiones seguras de protocolos industriales como CIP Security, Modbus Secure y Open Platform Communications Unified Architecture (OPC UA) con el modo de seguridad habilitado. Cuando los protocolos seguros no sean compatibles de forma nativa, utilice convertidores de protocolos o pasarelas para convertir los protocolos inseguros en protocolos seguros lo más cerca posible de la fuente de datos. En el caso de los sistemas críticos que requieren un control estricto del flujo de datos, considere la posibilidad de implementar pasarelas unidireccionales o diodos de datos. Utilice las puertas de enlace AWS IoT SiteWise Edge con el modo de seguridad OPC UA para fuentes de datos industriales y utilícelas para configuraciones seguras de corredores AWS IoT GreengrassMQTT locales. Cuando la seguridad a nivel de protocolo no sea posible, considere la posibilidad de implementar una capa de cifrado mediante VPNs el uso de otras tecnologías de tunelización para proteger los datos en tránsito.

En el contexto de la AWS SRA para entornos de IoT, IIo T y OT, el uso y la conversión seguros de protocolos deben implementarse en varios niveles:

  • Nivel 1. Mediante una puerta de enlace AWS IoT SiteWise Edge conectada a una fuente de datos industrial compatible con OPC UA con modo de seguridad.

  • Nivel 2. Mediante el uso de una puerta de enlace AWS IoT SiteWise Edge combinada con una fuente de datos asociada que sea compatible con los protocolos antiguos para lograr la conversión de protocolos requerida.

  • Nivel 3. Mediante una configuración segura de corredores MQTT local con corredores MQTT compatibles. AWS IoT Greengrass

Administración de identidades y accesos

Implemente prácticas sólidas de gestión de identidades y accesos para mitigar los riesgos de acceso no autorizado. Utilice métodos de autenticación sólidos, incluida la autenticación multifactorial siempre que sea posible, y aplique el principio del privilegio mínimo. Para la administración de dispositivos periféricos, AWS Systems Managerutilícelos para el acceso y la configuración seguros de los recursos informáticos periféricos. Utilice AWS IoT Device Managementy AWS IoT Greengrassgestione de forma segura los dispositivos de IoT. Cuando utilice AWS IoT SiteWise pasarelas, utilícelas AWS OpsHubpara una gestión segura. En el caso de la infraestructura perimetral, considérela AWS Outpostscomo un servicio totalmente gestionado que aplica de forma coherente las mejores prácticas a AWS los recursos periféricos.

Seguridad de la red

La conectividad segura entre la periferia industrial y la Nube de AWS tecnología es un componente fundamental para el despliegue exitoso de las cargas de trabajo de IoT, IIo T y OT en la nube. Como se muestra en la AWS SRA, AWS ofrece múltiples formas y patrones de diseño para establecer una conexión segura con el AWS entorno desde la periferia industrial.

La conexión se puede lograr de tres maneras:

  • Configurando una conexión VPN segura a AWS través de Internet

  • Estableciendo una conexión privada dedicada a través de AWS Direct Connect

  • Mediante el uso de conexiones TLS seguras a puntos finales AWS IoT públicos

Estas opciones proporcionan un canal de comunicación confiable y cifrado entre la periferia industrial y la AWS infraestructura, de acuerdo con las pautas de seguridad descritas en la Guía de Seguridad Tecnológica Operativa (OT) del Instituto Nacional de Estándares y Tecnología (NIST) (NIST SP 800-82 Rev. 3), que garantiza la necesidad de «utilizar conexiones seguras... entre los segmentos de la red, como entre un centro regional y los centros de control principales y entre estaciones remotas y centros de control».

Después de establecer una conexión segura con las cargas de trabajo que se ejecutan en AWS y hacia ellas Servicios de AWS, utilice los puntos finales de la nube privada virtual (VPC) siempre que sea posible. Los puntos de enlace de VPC le permiten conectarse de forma privada a las regiones compatibles Servicios de AWS sin utilizar las direcciones IP públicas de estas regiones. Servicios de AWS Este enfoque ayuda a mejorar aún más la seguridad al establecer conexiones privadas entre su VPC y Servicios de AWS, además, se ajusta a las recomendaciones del NIST SP 800-82 Rev. 3 para garantizar la seguridad de las transmisiones de datos y la segmentación de la red.

Puede configurar políticas de puntos finales de VPC para controlar y limitar el acceso solo a los recursos necesarios, aplicando el principio de privilegios mínimos. Esto ayuda a reducir la superficie de ataque y a minimizar el riesgo de acceso no autorizado a cargas de trabajo sensibles de IoT, IIo T y OT. Si el punto final de la VPC para el servicio requerido no está disponible, puedes establecer una conexión segura mediante TLS a través de la Internet pública. La mejor práctica en estos casos es enrutar estas conexiones a través de un proxy TLS y un firewall, tal y como se ha mostrado anteriormente en la sección Unidad organizativa de infraestructura: cuenta de red.

Es posible que algunos entornos requieran enviar datos en una dirección y bloquear AWS físicamente el tráfico en la dirección opuesta. Si su entorno exige este requisito, puede utilizar diodos de datos y puertas de enlace unidireccionales. Las puertas de enlace unidireccionales consisten en una combinación de hardware y software. La puerta de enlace puede enviar datos físicamente en una sola dirección, por lo que no hay posibilidad de que los eventos de seguridad basados en TI o en Internet repercutan en las redes de OT. Las pasarelas unidireccionales pueden ser una alternativa segura a los firewalls. Cumplen con varios estándares de seguridad industrial, como el de Protección de Infraestructuras Críticas de la Corporación de Fiabilidad Eléctrica de Norteamérica (NERC CIP), el 62443 de la Sociedad Internacional de Automatización y la Comisión Electrotécnica Internacional (ISA/IEC), el Instituto de Energía Nuclear (NEI)08-09, la Comisión Reguladora Nuclear de los Estados Unidos (NRC) 5.71 y el CLC/TS 50701. También cuentan con el respaldo del Marco de Seguridad de Internet Industrial del Consorcio Industry IoT, que proporciona orientación sobre la protección de las redes de seguridad y las redes de control con tecnología de puerta de enlace unidireccional. La norma SP 800-82 del NIST establece que el uso de pasarelas unidireccionales podría proporcionar protecciones adicionales asociadas a las deficiencias del sistema en los niveles o niveles superiores del entorno. Esta solución permite a las industrias reguladas y a los sectores de infraestructuras críticas aprovechar los servicios en la nube AWS (como el IoT y AI/ML los servicios) y, al mismo tiempo, evita que los eventos remotos vuelvan a penetrar en las redes industriales protegidas. Los dispositivos de TO que se encuentran detrás del diodo de datos y la puerta de enlace unidireccional deben gestionarse localmente. La función de diodo de datos es una función relacionada con la red. Los diodos de datos y las pasarelas unidireccionales, cuando se implementan en el AWS entorno para respaldar la ventaja industrial de la IoT, deben implementarse en la cuenta de red de Industrial Isolation para que estén integrados entre los niveles de la red de OT.