AWS Bonnes pratiques SRA pour l'IoT Site client et avantage industriel AWS organisation Solutions SaaS IoT, IIo T et OT pour partenaires

L'IoT pour la AWS SRA

Cette section fournit des recommandations pour une utilisation sécurisée de l'IoT dans les environnements industriels et d'infrastructures critiques afin d'améliorer la productivité et l'efficacité des utilisateurs et des organisations. Il se concentre sur l'utilisation des AWS IoT services basés sur l'ensemble des directives holistiques de la AWS SRA pour le déploiement d'une gamme de services de AWS sécurité dans un environnement multi-comptes.

Ce guide s'appuie sur le AWS SRA pour activer les capacités IoT dans un cadre sécurisé de niveau entreprise. Il couvre les principaux contrôles de sécurité tels que l'identité des appareils et l'inventaire des actifs, les autorisations IAM, la protection des données, l'isolation du réseau, la gestion des vulnérabilités et des correctifs, la journalisation, la surveillance et la réponse aux incidents spécifiques aux AWS IoT services.

Le public cible de ce guide comprend les professionnels de la sécurité, les architectes et les développeurs chargés d'intégrer en toute sécurité les solutions IoT dans leurs organisations et applications.

AWS Bonnes pratiques SRA pour l'IoT

Cette section explore les considérations relatives à la sécurité et les meilleures pratiques pour les charges de travail IoT, en s'inspirant des meilleures pratiques décrites dans le billet de AWS blog Dix règles d'or en matière de sécurité pour les solutions IoT industrielles. Les meilleures pratiques AWS SRA pour l'IoT sont les suivantes :

Évaluez les risques de cybersécurité liés IIo à l'OT et à la technologie.
Mettez en œuvre une séparation stricte entre les environnements OT (ou IIo T) et les environnements informatiques.
Utilisez des passerelles pour l'informatique de pointe, la segmentation du réseau, la conformité en matière de sécurité et pour relier les domaines administratifs. Renforcez les appareils IoT et minimisez leur surface d'attaque.
Établissez une connexion sécurisée avec AWS AWS Site-to-Site VPNou AWS Direct Connectdepuis la périphérie industrielle. Utilisez les points de terminaison VPC dans la mesure du possible.
Utilisez des protocoles sécurisés dans la mesure du possible. Si vous utilisez des protocoles non sécurisés, convertissez-les en protocoles standardisés et sécurisés aussi proches que possible de la source.
Définissez les mécanismes de mise à jour appropriés pour les mises à jour du logiciel et du microprogramme.
Mettez en œuvre la gestion du cycle de vie des identités des appareils Appliquez des mécanismes d'authentification et de contrôle d'accès.
Sécurisez les données IoT à la périphérie et dans le cloud en chiffrant les données au repos et en transit. Créez des mécanismes pour sécuriser le partage des données, la gouvernance et la souveraineté.
Déployez des mécanismes d'audit et de surveillance de la sécurité dans OT et IIo T. Gérez les alertes de sécurité de manière centralisée dans OT (ou IIo T) et dans le cloud.
Créez des manuels de réponse aux incidents et un plan de continuité et de reprise des activités. Testez le plan et les procédures.

Pour mettre en œuvre ces meilleures pratiques, ce guide couvre les fonctionnalités suivantes :

Capacité 1. Fournir une connectivité et une informatique de pointe sécurisées (meilleures pratiques 3, 4 et 5)
Capacité 2. Fournir une zone d'isolation industrielle entre les environnements (meilleure pratique 2)
Capacité 3. Fournir des identités solides ainsi qu'un accès et une gestion sécurisés aux appareils (meilleures pratiques 6 et 7)
Capacité 4. Assurer la protection et la gouvernance des données (meilleure pratique 8)
Capacité 5. Surveillance de la sécurité et réponse aux incidents (meilleures pratiques 9 et 10)

Les sections suivantes de ce guide développent chaque fonctionnalité, abordent la fonctionnalité et son utilisation, abordent les considérations de sécurité relatives à la fonctionnalité et expliquent comment vous pouvez utiliser Services AWS les fonctionnalités pour répondre aux considérations de sécurité (mesures correctives).

L'architecture illustrée dans le schéma suivant est une extension du schéma AWS SRA décrit précédemment dans ce guide. Il ajoute les éléments suivants : site client et périphérie de l'IoT industriel, compte de zone d'isolation industrielle et solutions de sécurité logicielles en tant que service (SaaS) IoT, IIo T ou OT proposées par les AWS partenaires.

Les services AWS et la structure de compte sont recommandés pour les fonctionnalités IoT.

La partie supérieure du diagramme représente l'architecture IIo T edge. Ceci est lié à l' AWS Cloud organisation située dans la partie inférieure, qui est construite conformément à la AWS SRA. Pour une description de chaque compte noté dans l' AWS organisation dans la partie inférieure du diagramme, consultez les sections précédentes de ce guide. Notez que le compte de zone d'isolement est traité comme un compte Shared Services supplémentaire dans la structure AWS SRA. Ce compte est utilisé pour implémenter des services de réseau et de communication liés à l'IoT, qui sont utilisés par plusieurs comptes de charge de travail qui contiennent également des traitements liés à l'IoT. Le compte de zone d'isolation peut être considéré comme un homologue du compte réseau dans le AWS SRA. Il est utilisé pour gérer les processus de mise en réseau et de communication partagés spécifiques aux environnements IIo T Edge. Outre les services présentés dans le schéma, le compte de zone d'isolation inclut plusieurs services de sécurité courants tels que AWS Security Hub CSPM GuardDuty, Amazon CloudWatch, AWS Config Amazon et. AWS CloudTrail

Pour la plupart des clients, une seule AWS organisation dédiée OUs aux charges de travail IoT, IIo T et OT est suffisante. Vous pouvez séparer les environnements OT (ou IIo T) des environnements informatiques en utilisant une zone d'isolation et les fonctionnalités fournies avec AWS Organizations les AWS comptes multiples et les configurations réseau, comme indiqué dans l'architecture de référence. VPCs

Site client et avantage industriel

Le site client et la périphérie de l'IoT industriel font référence à l'infrastructure informatique spécialisée déployée dans les environnements industriels et OT pour permettre la collecte, le traitement et la connectivité sécurisés des données à proximité de la source de génération des données. Ce concept répond aux défis uniques des environnements d'infrastructures critiques et des environnements industriels, et prend en charge les opérations distribuées sur plusieurs sites.

Vous pouvez appliquer le modèle Purdue, qui est un modèle d'architecture de référence pour l'industrie manufacturière, afin de mettre en œuvre différents niveaux dans le contexte du site client et de l'avantage industriel, comme suit :

Niveaux 0 à 2 — Appareils de terrain et contrôle de supervision local : les équipements industriels, les capteurs et les actionneurs sont connectés à l'aide de convertisseurs de protocoles industriels et de diodes de données. Dans certains cas, les passerelles périphériques partenaires qui exécutent AWS IoT SiteWise Edge sont déployées pour permettre des cas d'utilisation spécialisés d'acquisition et de traitement de données locales au niveau 2.
Niveau 3 — Opérations du site : les appareils et capteurs de sécurité partenaires peuvent être intégrés pour faciliter la découverte des actifs, la détection des vulnérabilités et la surveillance de la sécurité du réseau. Les passerelles Edge basées sur AWS IoT SiteWise Edge AWS IoT Greengrass et Edge sont déployées pour permettre l'acquisition et le traitement des données locales.
Niveau 3.5 — Zone d'isolation industrielle : Une zone d'isolation industrielle représente une frontière entre l'informatique et l'OT et contrôle la communication entre l'OT et les réseaux informatiques. Les services d'accès au cloud et à Internet tels que les proxys, les pare-feux et les passerelles unidirectionnelles sont déployés sur cette couche pour assurer la connectivité et les flux de données requis.
Niveaux 4 et 5 — Réseau informatique : la connectivité sécurisée au cloud est établie en utilisant AWS Site-to-Site VPN ou AWS Direct Connect. AWS PrivateLink Les points de terminaison VPC sont utilisés pour un accès privé aux ressources. AWS

AWS organisation

Une UO de charges de travail pour les charges de travail IoT, IIo T ou OT est créée en même temps que d'autres charges de travail spécifiques. OUs Cette UO est dédiée aux applications qui utilisent des AWS IoT services pertinents pour créer et déployer des solutions intégrées à l'IoT, IIo à l'IoT et à l'OT. L'unité d'organisation contient un compte d'application (illustré dans le schéma d'architecture précédent) sur lequel vous hébergez votre solution qui fournit les fonctionnalités métier requises. Le regroupement Services AWS basé sur le type d'application permet de renforcer les contrôles de sécurité par le biais de politiques de contrôle des services spécifiques à l'unité Compte AWS d'exploitation et spécifiques.

Cette approche facilite également la mise en œuvre d'un contrôle d'accès renforcé et du moindre privilège. Outre ces unités d'organisation et comptes spécifiques, l'architecture de référence inclut des comptes supplémentaires OUs qui fournissent des fonctionnalités de sécurité de base applicables à tous les types d'applications. Les comptes de gestion d'organisation, d'outils de sécurité, d'archivage des journaux et de réseau sont abordés dans les sections précédentes de ce guide. Ces comptes comportent plusieurs ajouts relatifs aux charges de travail de l'IoT :

Le compte réseau inclut des dispositions pour AWS Direct Connect AWS Site-to-Site VPN, et AWS Transit Gateway. Il offre également la possibilité de créer un réseau mondial entre les actifs opérationnels en utilisant le AWS Cloud WAN, en fonction de l'approche choisie pour se connecter au AWS Cloud. Pour plus de détails, consultez la section Infrastructure OU — Compte réseau plus haut dans ce guide.
Le compte Industrial Isolation offre la possibilité de déployer des services (tels que les correctifs, les antivirus et les services d'accès à distance) qui seraient autrement déployés sur le site du client ou à la périphérie de l'IoT industriel (niveau 3.5). Ce compte prend en charge les scénarios qui incluent une connectivité robuste entre le site, la périphérie de l'IoT industriel et le AWS Cloud. Ces services sont spécifiques à la gestion de la périphérie industrielle de l'IoT et peuvent être envisagés du côté périphérique plutôt que du côté Internet dans le cadre d'un modèle de réseau en couches.

Les services d'hébergement du compte Industrial Isolation AWS offrent des capacités de flexibilité, d'évolutivité, de sécurité et d'intégration améliorées par rapport aux solutions sur site, et permettent une gestion plus efficace et plus flexible des opérations de pointe industrielles. Par exemple, vous pouvez fournir un accès en streaming aux applications de vos utilisateurs finaux en utilisant Amazon AppStream 2.0 et utiliser Amazon GuardDuty Malware Protection for S3 pour fournir des fonctionnalités d'analyse des programmes malveillants dans le cadre d'une solution d'échange de fichiers sécurisée qui couvre les environnements informatiques et OT. Le compte Industrial Isolation utilise les structures de connectivité partagée du compte réseau, par exemple pour obtenir la connectivité requise aux ressources locales souhaitées. AWS Transit Gateway

Note

Ce compte réseau est appelé Industrial Isolation car il sert de tampon entre la périphérie de l'IoT industriel et les réseaux d'entreprise qui y sont exécutés et Comptes AWS qui sont gérés conformément à la AWS SRA. De cette façon, le compte constitue une sorte de limite entre l'avantage industriel et le réseau d'entreprise. Cela est similaire à la façon dont le compte réseau du AWS SRA sert de tampon entre les charges de travail exécutées dans le AWS Cloud (dans les comptes de charge de travail) et à la fois sur Internet et sur les réseaux informatiques locaux de l'entreprise.

Solutions SaaS IoT, IIo T et OT pour partenaires

AWS Partner les solutions jouent un rôle crucial en aidant à améliorer la surveillance de la sécurité et la détection des menaces dans les environnements IoT, IIo T, OT et cloud. Ils complètent les services natifs de sécurité de pointe et cloud de l'IoT AWS et contribuent à fournir une posture de sécurité plus complète grâce à un ensemble de fonctionnalités de détection et de surveillance spécialisées. L'intégration de ces fonctionnalités spécialisées de surveillance de la sécurité OT et IIo T aux offres de sécurité cloud plus larges proposées par le biais de AWS services tels que AWS Security Hub CSPM et Amazon Security Lake. Vous pouvez déployer ces solutions dans les comptes d'applications de votre AWS organisation. Vous pouvez également utiliser des solutions SaaS hébergées ailleurs sur Internet et gérées par des tiers. Dans certains cas, ces solutions tierces s'exécutent également AWS. Ce scénario peut faciliter la gestion des autorisations basée sur l'IAM et les optimisations de connectivité réseau AWS spécifiques. Dans d'autres cas, la connectivité à ces services est configurée en fonction des exigences de la solution SaaS.

Ces ajouts permettent une architecture plus robuste, sécurisée et flexible, spécifiquement adaptée aux environnements industriels et intégrée aux AWS IoT services AWS Cloud et. Les composants IoT de l'architecture AWS SRA répondent aux défis uniques des environnements industriels, tels que la diversité des protocoles, les exigences en matière de traitement de pointe industriel et la nécessité d'une intégration parfaite entre les systèmes OT et informatiques.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Internet des objets (IoT)

Fonctionnalités de sécurité de l'IoT