Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kemampuan 4. Memberikan perlindungan dan tata kelola data
Kemampuan ini mendukung praktik terbaik 8 dari praktik terbaik AWS SRA untuk IoT.
Capability 4 menjawab kebutuhan kritis untuk mengamankan data IIo IoT dan T di seluruh siklus hidupnya, dari perangkat edge hingga penyimpanan cloud dan sistem pemrosesan. Ini mencakup mekanisme enkripsi yang kuat untuk data saat istirahat dan data dalam perjalanan serta membangun praktik tata kelola data yang menyeluruh.
Dasar Pemikiran
Sistem industri dapat menghasilkan, memproses, dan menyimpan sejumlah besar informasi sensitif, termasuk proses manufaktur eksklusif, data kinerja peralatan, dan telemetri operasional kritis. Akses yang tidak sah ke, atau manipulasi, data ini dapat mengakibatkan konsekuensi signifikan yang berkisar dari pencurian kekayaan intelektual hingga gangguan operasional dan insiden keselamatan. Menerapkan enkripsi yang kuat dan praktik tata kelola data mengatasi risiko ini secara langsung. Ini membantu melindungi aset informasi yang berharga dan membantu memastikan kelangsungan operasi industri.
Pertimbangan keamanan
Implementasi perlindungan data dan langkah-langkah tata kelola yang kuat mengatasi beberapa risiko keamanan di lingkungan IoT IIo, T, dan OT. Kekhawatiran utama termasuk akses tidak sah ke data sensitif yang disimpan di perangkat IoT dan gateway tepi, dan intersepsi data selama transmisi antara perangkat dan sistem cloud.
Remediasi
Perlindungan data
Enkripsi data saat istirahat: Informasi yang disimpan pada perangkat yang digunakan seperti sensor atau kamera mungkin tampak tidak berbahaya, tetapi ketika kontrol fisik perangkat tidak dijamin, informasi itu dapat menjadi target bagi aktor yang tidak berwenang. Contohnya termasuk video cache pada kamera konsumen, model machine learning (ML) proprietary dalam aplikasi industri, dan data konfigurasi untuk lingkungan operasional. Untuk perangkat yang digunakan, praktik terbaik adalah mengenkripsi semua data yang disimpan saat istirahat jika memungkinkan. Hal ini mencakup:
-
Penyimpanan perangkat: Enkripsi penyimpanan lokal pada perangkat IoT dengan menggunakan enkripsi berbasis perangkat keras (bila tersedia) atau enkripsi perangkat lunak yang kuat.
-
Edge gateway: Menerapkan enkripsi full-disk pada gateway tepi dan server lokal.
-
Penyimpanan cloud: Gunakan layanan enkripsi yang AWS dikelola untuk data yang disimpan di cloud, seperti yang dijelaskan di AWS KMS bagian di akun Aplikasi AWS SRA.
Menerapkan mekanisme untuk membersihkan informasi yang disimpan di perangkat. Ini mungkin diperlukan ketika perangkat digunakan kembali atau dijual dan mengubah kepemilikan.
Data dalam enkripsi transit: Enkripsi semua data dalam perjalanan, termasuk sensor dan perangkat, administrasi, penyediaan, dan data penyebaran. Hampir semua perangkat IoT modern memiliki kapasitas untuk melakukan enkripsi lalu lintas jaringan, jadi manfaatkan kemampuan itu dan lindungi pesawat data dan komunikasi pesawat kontrol. Praktik ini membantu memastikan kerahasiaan data dan integritas sinyal pemantauan. Untuk protokol yang tidak dapat dienkripsi, pertimbangkan apakah perangkat edge yang lebih dekat dengan aset IoT dapat menerima komunikasi dan mengubahnya menjadi protokol aman sebelum mengirimnya ke luar perimeter lokal.
Praktik utama meliputi:
-
Gunakan TLS untuk semua komunikasi MQTT dan HTTP (yaitu, gunakan MQTTS dan HTTPS). Komunikasi aman direkomendasikan terlepas dari jalur routing paket jaringan, apakah itu terbatas pada tulang punggung atau tidak. AWS
-
Terapkan MQTT aman untuk perpesanan IoT, termasuk di edge.
-
Gunakan AWS Site-to-Site VPN, AWS PrivateLink, dan AWS Direct Connect untuk komunikasi yang aman antara komponen lokal dan AWS. Layanan ini menyediakan perutean jaringan atau enkapsulasi paket yang lebih dapat diprediksi dibandingkan dengan titik akhir API yang dapat diakses internet.