Capacité 1. Fournir une connectivité et une informatique de pointe sécurisées

Cette fonctionnalité prend en charge les meilleures pratiques 3, 4 et 5 issues des meilleures pratiques AWS SRA pour l'IoT.

Le modèle de responsabilitéAWS partagée s'étend à la périphérie de l'IoT industriel et aux environnements dans lesquels les appareils sont déployés. Dans les environnements où les appareils sont déployés, souvent appelés emplacements périphériques de l'IoT, les responsabilités des clients sont bien plus étendues que dans l'environnement cloud. La sécurité de la périphérie de l'IoT relève de la responsabilité du AWS client et inclut la sécurisation du réseau périphérique, du périmètre du réseau périphérique et des appareils du réseau périphérique, la connexion sécurisée au cloud, la gestion des mises à jour logicielles des équipements et appareils de périphérie, ainsi que la journalisation, la surveillance et l'audit du réseau périphérique, à titre d'exemples clés. AWS est responsable des logiciels de périphérie AWS fournis tels que AWS IoT Greengrass et AWS IoT SiteWise Edge, et de l'infrastructure de AWS périphérie telle que AWS Outposts.

Justification

Alors que les opérations industrielles adoptent de plus en plus les technologies cloud, il est de plus en plus nécessaire de combler le fossé entre les systèmes OT traditionnels et l'infrastructure informatique moderne. Cette fonctionnalité répond à la nécessité d'un traitement sécurisé à faible latence à la périphérie tout en garantissant une connectivité robuste aux AWS Cloud ressources. En mettant en œuvre des passerelles périphériques et des méthodes de connectivité sécurisées, les entreprises peuvent maintenir les performances et la fiabilité requises pour les processus industriels critiques tout en tirant parti de l'évolutivité et des capacités d'analyse avancées des services cloud.

Cette capacité est également essentielle pour maintenir une posture de sécurité solide dans les environnements IIo T et OT. Les systèmes OT utilisent souvent des dispositifs et des protocoles existants qui peuvent ne pas disposer de fonctionnalités de sécurité intégrées et devenir vulnérables aux cybermenaces. En incorporant des solutions d'informatique de pointe et de connectivité sécurisées, les entreprises peuvent mettre en œuvre des mesures de sécurité cruciales telles que la segmentation du réseau, la conversion de protocoles et le tunneling sécurisé au plus près de la source de données. Cette approche permet de protéger les données et les systèmes industriels sensibles et permet également de se conformer aux normes et réglementations de sécurité spécifiques au secteur. En outre, il fournit un cadre permettant de gérer et de mettre à jour en toute sécurité les appareils périphériques, ce qui améliore encore la sécurité et la fiabilité globales des déploiements IIo T et OT.

Considérations sur la sécurité

La mise en œuvre de l'informatique de pointe sécurisée et de la connectivité dans les solutions IoT, IIo T et OT présente un paysage de risques à multiples facettes. Les principales menaces incluent une segmentation inadéquate du réseau entre les systèmes informatiques et OT, les faiblesses de sécurité des protocoles industriels existants et les limites inhérentes aux appareils de pointe aux ressources limitées. Ces facteurs créent des points d'entrée potentiels et des voies de propagation des menaces. La transmission de données industrielles sensibles entre des appareils périphériques et des services cloud peut également présenter des risques d'interception et de manipulation, et les connexions cloud non sécurisées peuvent exposer les systèmes à des menaces basées sur Internet. Parmi les autres préoccupations figurent le risque de mouvements latéraux au sein des réseaux industriels, le manque de visibilité sur les activités des appareils périphériques, les risques de sécurité physique pour les infrastructures distantes et les vulnérabilités de la chaîne d'approvisionnement susceptibles d'introduire des composants compromis. Ensemble, ces menaces soulignent le besoin critique de mesures de sécurité robustes dans les solutions d'informatique de pointe et de connectivité pour les environnements industriels.

Assainissements

Protection des données

Pour répondre aux préoccupations relatives à la protection des données, implémentez le chiffrement des données en transit et au repos. Utilisez des protocoles sécurisés tels que MQTT sur TLS, HTTPS et WebSockets HTTPS. Pour les communications avec les appareils IoT, et généralement dans les environnements industriels de pointe de l'IoT, envisagez d'utiliser des versions sécurisées de protocoles industriels tels que CIP Security, Modbus Secure et Open Platform Communications Unified Architecture (OPC UA) avec le mode sécurité activé. Lorsque les protocoles sécurisés ne sont pas pris en charge de manière native, utilisez des convertisseurs de protocole ou des passerelles pour traduire les protocoles non sécurisés en protocoles sécurisés le plus près possible de la source de données. Pour les systèmes critiques qui nécessitent un contrôle strict du flux de données, envisagez d'implémenter des passerelles unidirectionnelles ou des diodes de données. Utilisez les passerelles AWS IoT SiteWise Edge avec le mode de sécurité OPC UA pour les sources de données industrielles et utilisez-les AWS IoT Greengrasspour sécuriser les configurations de broker MQTT locales. Lorsque la sécurité au niveau du protocole n'est pas possible, envisagez d'implémenter une couche de chiffrement en utilisant VPNs ou d'autres technologies de tunneling pour protéger les données en transit.

Dans le contexte du AWS SRA pour les environnements IoT, IIo T et OT, l'utilisation et la conversion sécurisées des protocoles doivent être mises en œuvre à plusieurs niveaux :

• Niveau 1 En utilisant une passerelle AWS IoT SiteWise Edge connectée à une source de données industrielle compatible OPC UA avec mode de sécurité.

• Niveau 2. En utilisant une passerelle AWS IoT SiteWise Edge associée à une source de données partenaire qui prend en charge les protocoles existants pour réaliser la conversion de protocole requise.

• Niveau 3. En utilisant une configuration de broker MQTT locale sécurisée avec des courtiers MQTT pris en charge via. AWS IoT Greengrass

Gestion des identités et des accès

Mettez en œuvre de solides pratiques de gestion des identités et des accès pour atténuer les risques d'accès non autorisés. Utilisez des méthodes d'authentification fortes, y compris l'authentification multifactorielle dans la mesure du possible, et appliquez le principe du moindre privilège. Pour la gestion des appareils de pointe, AWS Systems Managerutilisez-le pour sécuriser l'accès et la configuration des ressources informatiques de pointe. Utilisation AWS IoT Device Managementet AWS IoT Greengrassgestion sécurisée des appareils IoT. Lorsque vous utilisez des AWS IoT SiteWise passerelles, utilisez-les AWS OpsHubpour une gestion sécurisée. En ce qui concerne l'infrastructure de périphérie, considérez AWS Outpostsqu'il s'agit d'un service entièrement géré qui applique systématiquement les meilleures pratiques aux AWS ressources situées à la périphérie.

Sécurité du réseau

La connectivité sécurisée entre la périphérie industrielle et le AWS Cloud est un élément essentiel au déploiement réussi des charges de travail IoT, IIo T et OT dans le cloud. Comme le montre le AWS SRA, AWS propose de multiples méthodes et modèles de conception pour établir une connexion sécurisée à l' AWS environnement à partir de la périphérie industrielle.

La connexion peut être réalisée de l'une des trois manières suivantes :

• En configurant une connexion VPN sécurisée via Internet AWS

• En établissant une connexion privée dédiée via AWS Direct Connect

• En utilisant des connexions TLS sécurisées vers des points de terminaison AWS IoT publics

Ces options fournissent un canal de communication fiable et crypté entre la périphérie industrielle et l' AWS infrastructure, conformément aux directives de sécurité décrites dans le guide de sécurité des technologies opérationnelles (NIST) (NIST SP 800-82 Rev. 3) du National Institute of Standards and Technology (NIST) qui garantit la nécessité d'« utiliser des connexions sécurisées... entre les segments du réseau, par exemple entre un centre régional et les centres de contrôle principaux et entre les stations distantes et les centres de contrôle ».

Une fois que vous avez établi une connexion sécurisée avec les charges de travail qui s'exécutent dans AWS et vers Services AWS, utilisez des points de terminaison de cloud privé virtuel (VPC) dans la mesure du possible. Les points de terminaison VPC vous permettent de vous connecter en privé aux réseaux régionaux pris en charge Services AWS sans utiliser les adresses IP publiques de ces derniers. Services AWS Cette approche contribue également à renforcer la sécurité en établissant des connexions privées entre votre VPC et Services AWS, conformément aux recommandations du NIST SP 800-82 Rev. 3 relatives aux transmissions de données sécurisées et à la segmentation du réseau.

Vous pouvez configurer des politiques de point de terminaison VPC pour contrôler et limiter l'accès aux seules ressources requises, en appliquant le principe du moindre privilège. Cela permet de réduire la surface d'attaque et de minimiser le risque d'accès non autorisé aux charges de travail sensibles liées à l'IoT, IIo à l'informatique et à l'OT. Si le point de terminaison VPC pour le service requis n'est pas disponible, vous pouvez établir une connexion sécurisée en utilisant le protocole TLS sur Internet public. Dans de tels scénarios, la meilleure pratique consiste à acheminer ces connexions via un proxy TLS et un pare-feu, comme indiqué précédemment dans la section Infrastructure OU — Compte réseau.

Certains environnements peuvent avoir besoin d'envoyer des données dans une direction AWS tout en bloquant physiquement le trafic dans la direction opposée. Si votre environnement présente cette exigence, vous pouvez utiliser des diodes de données et des passerelles unidirectionnelles. Les passerelles unidirectionnelles consistent en une combinaison de matériel et de logiciel. La passerelle étant physiquement capable d'envoyer des données dans une seule direction, il est impossible que des événements de sécurité informatiques ou Internet se répercutent sur les réseaux OT. Les passerelles unidirectionnelles peuvent constituer une alternative sûre aux pare-feux. Ils répondent à plusieurs normes de sécurité industrielle, telles que celles de la North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP), de l'International Society of Automation and International Electrotechnical Commission (ISA/IEC) 62443, du Nuclear Energy Institute (NEI)08-09, de la Nuclear Regulatory Commission (NRC)5.71 et du CLC/TS 50701. Ils sont également soutenus par le cadre de sécurité Internet industriel du consortium Industry IoT, qui fournit des conseils sur la protection des réseaux de sécurité et des réseaux de contrôle à l'aide d'une technologie de passerelle unidirectionnelle. Le NIST SP 800-82 indique que l'utilisation de passerelles unidirectionnelles peut fournir des protections supplémentaires associées à des compromissions du système à des niveaux ou à des niveaux supérieurs de l'environnement. Cette solution permet aux industries réglementées et aux secteurs des infrastructures critiques de tirer parti des services cloud AWS (tels que l'IoT et les AI/ML services) tout en empêchant les événements distants de pénétrer à nouveau dans les réseaux industriels protégés. Les appareils OT situés derrière la diode de données et la passerelle unidirectionnelle doivent être gérés localement. La fonction de diode de données est une fonction liée au réseau. Les diodes de données et les passerelles unidirectionnelles, lorsqu'elles sont déployées dans l' AWS environnement pour soutenir l'avantage industriel de l'IoT, doivent être déployées dans le compte réseau Industrial Isolation afin d'être intégrées entre les niveaux du réseau OT.