Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Capacidad 1. Proporcionar conectividad y computación periférica seguras
Esta capacidad es compatible con las mejores prácticas 3, 4 y 5 de las mejores prácticas de la AWS SRA para IoT.
El modelo de responsabilidad AWS compartida
Justificación
A medida que las operaciones industriales adoptan cada vez más las tecnologías en la nube, existe una creciente necesidad de cerrar la brecha entre los sistemas de TO tradicionales y la infraestructura de TI moderna. Esta capacidad responde a la necesidad de un procesamiento periférico seguro y de baja latencia y, al mismo tiempo, garantiza una conectividad sólida con los Nube de AWS recursos. Al implementar puertas de enlace periféricas y métodos de conectividad seguros, las organizaciones pueden mantener el rendimiento y la confiabilidad necesarios para los procesos industriales críticos y, al mismo tiempo, aprovechar la escalabilidad y las capacidades de análisis avanzadas de los servicios en la nube.
Esta capacidad también es esencial para mantener una sólida postura de seguridad en los entornos de IIo T y OT. Los sistemas de OT suelen incluir dispositivos y protocolos antiguos que pueden carecer de funciones de seguridad integradas y ser vulnerables a las ciberamenazas. Al incorporar soluciones seguras de conectividad y computación periférica, las organizaciones pueden implementar medidas de seguridad cruciales, como la segmentación de la red, la conversión de protocolos y la construcción de túneles seguros más cerca de la fuente de datos. Este enfoque ayuda a proteger los datos y sistemas industriales confidenciales y también permite el cumplimiento de las normas y reglamentos de seguridad específicos del sector. Además, proporciona un marco para administrar y actualizar de forma segura los dispositivos periféricos, lo que mejora aún más la seguridad y la confiabilidad generales de las implementaciones de IIo T y OT.
Consideraciones de seguridad
La implementación de conectividad y computación periférica seguras en las soluciones de IoT, IIo T y OT presenta un panorama de riesgos multifacético. Las principales amenazas incluyen una segmentación inadecuada de la red entre los sistemas de TI y TO, las debilidades de seguridad de los protocolos industriales tradicionales y las limitaciones inherentes a los dispositivos periféricos que tienen recursos limitados. Estos factores crean posibles puntos de entrada y vías para la propagación de amenazas. La transmisión de datos industriales confidenciales entre dispositivos periféricos y servicios en la nube también puede implicar riesgos de interceptación y manipulación, y las conexiones inseguras a la nube pueden exponer los sistemas a las amenazas de Internet. Otras preocupaciones incluyen la posibilidad de que se produzcan movimientos laterales dentro de las redes industriales, la falta de visibilidad de las actividades de los dispositivos periféricos, los riesgos de seguridad física de las infraestructuras ubicadas de forma remota y las vulnerabilidades de la cadena de suministro que pueden comprometer los componentes. En conjunto, estas amenazas subrayan la necesidad imperiosa de contar con medidas de seguridad sólidas en las soluciones de conectividad y computación periférica para entornos industriales.
Remediaciones
Protección de los datos
Para abordar los problemas de protección de datos, implemente el cifrado de los datos en tránsito y en reposo. Utilice protocolos seguros como MQTT sobre TLS, HTTPS y WebSockets HTTPS. Para las comunicaciones con dispositivos de IoT y, en general, dentro de los entornos periféricos industriales de IoT, considere la posibilidad de utilizar versiones seguras de protocolos industriales como CIP Security, Modbus Secure y Open Platform Communications Unified Architecture (OPC UA) con el modo de seguridad habilitado. Cuando los protocolos seguros no sean compatibles de forma nativa, utilice convertidores de protocolos
En el contexto de la AWS SRA para entornos de IoT, IIo T y OT, el uso y la conversión seguros de protocolos deben implementarse en varios niveles:
-
Nivel 1. Mediante una puerta de enlace AWS IoT SiteWise Edge conectada a una fuente de datos industrial compatible con OPC UA con modo de seguridad.
-
Nivel 2. Mediante el uso de una puerta de enlace AWS IoT SiteWise Edge combinada con una fuente de datos asociada que sea compatible con los protocolos antiguos para lograr la conversión de protocolos requerida.
-
Nivel 3. Mediante una configuración segura de corredores MQTT local con corredores MQTT compatibles. AWS IoT Greengrass
Administración de identidades y accesos
Implemente prácticas sólidas de gestión de identidades y accesos para mitigar los riesgos de acceso no autorizado. Utilice métodos de autenticación sólidos, incluida la autenticación multifactorial siempre que sea posible, y aplique el principio del privilegio mínimo. Para la administración de dispositivos periféricos, AWS Systems Manager
Seguridad de la red
La conectividad segura entre la periferia industrial y la Nube de AWS tecnología es un componente fundamental para el despliegue exitoso de las cargas de trabajo de IoT, IIo T y OT en la nube. Como se muestra en la AWS SRA, AWS ofrece múltiples formas y patrones de diseño para establecer una conexión segura con el AWS entorno desde la periferia industrial.
La conexión se puede lograr de tres maneras:
-
Configurando una conexión VPN segura a AWS través de Internet
-
Estableciendo una conexión privada dedicada a través de AWS Direct Connect
-
Mediante el uso de conexiones TLS seguras a puntos finales AWS IoT públicos
Estas opciones proporcionan un canal de comunicación confiable y cifrado entre la periferia industrial y la AWS infraestructura, de acuerdo con las pautas de seguridad descritas en la Guía de Seguridad Tecnológica Operativa (OT) del Instituto Nacional de Estándares y Tecnología (NIST) (NIST SP 800-82 Rev. 3)
Después de establecer una conexión segura con las cargas de trabajo que se ejecutan en AWS y hacia ellas Servicios de AWS, utilice los puntos finales de la nube privada virtual (VPC) siempre que sea posible. Los puntos de enlace de VPC le permiten conectarse de forma privada a las regiones compatibles Servicios de AWS sin utilizar las direcciones IP públicas de estas regiones. Servicios de AWS Este enfoque ayuda a mejorar aún más la seguridad al establecer conexiones privadas entre su VPC y Servicios de AWS, además, se ajusta a las recomendaciones del NIST SP 800-82 Rev. 3 para garantizar la seguridad de las transmisiones de datos y la segmentación de la red.
Puede configurar políticas de puntos finales de VPC para controlar y limitar el acceso solo a los recursos necesarios, aplicando el principio de privilegios mínimos. Esto ayuda a reducir la superficie de ataque y a minimizar el riesgo de acceso no autorizado a cargas de trabajo sensibles de IoT, IIo T y OT. Si el punto final de la VPC para el servicio requerido no está disponible, puedes establecer una conexión segura mediante TLS a través de la Internet pública. La mejor práctica en estos casos es enrutar estas conexiones a través de un proxy TLS y un firewall, tal y como se ha mostrado anteriormente en la sección Unidad organizativa de infraestructura: cuenta de red.
Es posible que algunos entornos requieran enviar datos en una dirección y bloquear AWS
físicamente el tráfico en la dirección opuesta. Si su entorno exige este requisito, puede utilizar diodos de datos y puertas de enlace unidireccionales. Las puertas de enlace unidireccionales consisten en una combinación de hardware y software. La puerta de enlace puede enviar datos físicamente en una sola dirección, por lo que no hay posibilidad de que los eventos de seguridad basados en TI o en Internet repercutan en las redes de OT. Las pasarelas unidireccionales pueden ser una alternativa segura a los firewalls. Cumplen con varios estándares de seguridad industrial, como el de Protección de Infraestructuras Críticas de la Corporación de Fiabilidad Eléctrica de Norteamérica (NERC CIP),