Capacité 4. Assurer la protection et la gouvernance des données - AWS Directives prescriptives
JustificationConsidérations sur la sécuritéAssainissements

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Capacité 4. Assurer la protection et la gouvernance des données

Cette fonctionnalité prend en charge les meilleures pratiques 8 des meilleures pratiques de la AWS SRA pour l'IoT.

Capability 4 répond au besoin critique de sécuriser l'IoT et IIo les données informatiques tout au long de leur cycle de vie, des appareils de pointe aux systèmes de stockage et de traitement dans le cloud. Il comprend des mécanismes de chiffrement robustes pour les données au repos et les données en transit, ainsi que la mise en place de pratiques rigoureuses de gouvernance des données.

Justification

Les systèmes industriels peuvent générer, traiter et stocker de grandes quantités d'informations sensibles, notamment des processus de fabrication propriétaires, des données de performance des équipements et des télémesures opérationnelles critiques. L'accès non autorisé à ces données ou leur manipulation peuvent avoir des conséquences importantes, allant du vol de propriété intellectuelle à des perturbations opérationnelles et à des incidents de sécurité. La mise en œuvre de solides pratiques de chiffrement et de gouvernance des données permet de remédier directement à ces risques. Il permet de protéger les actifs informationnels précieux et d'assurer la continuité des opérations industrielles.

Considérations sur la sécurité

La mise en œuvre de mesures robustes de protection et de gouvernance des données permet de répondre à plusieurs risques de sécurité dans les environnements IoT, IIo T et OT. Les principales préoccupations concernent l'accès non autorisé aux données sensibles stockées sur les appareils IoT et les passerelles périphériques, ainsi que l'interception des données lors de leur transmission entre les appareils et les systèmes cloud.

Assainissements

Protection des données

Chiffrement des données au repos : les informations stockées sur des appareils déployés tels que des capteurs ou des caméras peuvent sembler inoffensives, mais lorsque le contrôle physique d'un appareil n'est pas garanti, ces informations peuvent être la cible d'acteurs non autorisés. Les exemples incluent les vidéos mises en cache sur des caméras grand public, les modèles d'apprentissage automatique (ML) propriétaires dans les applications industrielles et les données de configuration pour les environnements opérationnels. Pour les appareils déployés, la meilleure pratique consiste à chiffrer toutes les données stockées au repos lorsque cela est possible. Cela consiste notamment à :

  • Stockage des appareils : chiffrez le stockage local sur les appareils IoT à l'aide d'un chiffrement matériel (si disponible) ou d'un cryptage logiciel renforcé.

  • Passerelles Edge : implémentez le chiffrement complet du disque sur les passerelles Edge et les serveurs locaux.

  • Stockage dans le cloud : utilisez des services de chiffrement AWS gérés pour les données stockées dans le cloud, comme décrit dans la AWS KMS section du compte d'application de la AWS SRA.

Mettez en œuvre des mécanismes pour effacer les informations stockées dans les appareils. Cela peut être nécessaire lorsque les appareils sont réutilisés ou vendus et changent de propriétaire.

Chiffrement des données en transit : chiffrez toutes les données en transit, y compris les données relatives aux capteurs et aux appareils, à l'administration, au provisionnement et au déploiement. Presque tous les appareils IoT modernes ont la capacité de chiffrer le trafic réseau. Tirez donc parti de cette capacité et protégez à la fois les communications du plan de données et du plan de contrôle. Cette pratique permet de garantir à la fois la confidentialité des données et l'intégrité des signaux de surveillance. Pour les protocoles qui ne peuvent pas être chiffrés, déterminez si un appareil périphérique plus proche de l'actif IoT peut accepter la communication et la convertir en protocole sécurisé avant de l'envoyer en dehors du périmètre local.

Les principales pratiques sont les suivantes :

  • Utilisez le protocole TLS pour toutes les communications MQTT et HTTP (c'est-à-dire utilisez MQTTS et HTTPS). Les communications sécurisées sont recommandées quel que soit le chemin de routage des paquets réseau, qu'il soit confiné au AWS backbone ou non.

  • Mettez en œuvre un MQTT sécurisé pour la messagerie IoT, y compris à la périphérie.

  • Utilisez AWS Site-to-Site VPN AWS PrivateLink, et AWS Direct Connect pour une communication sécurisée entre les composants locaux et AWS. Ces services fournissent un routage réseau ou une encapsulation de paquets plus prévisibles par rapport aux points de terminaison d'API accessibles sur Internet.