Kemampuan 1. Menyediakan komputasi tepi dan konektivitas yang aman - AWS Panduan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kemampuan 1. Menyediakan komputasi tepi dan konektivitas yang aman

Kemampuan ini mendukung praktik terbaik 3, 4, dan 5 dari praktik terbaik AWS SRA untuk IoT.

Model tanggung jawab AWS bersama meluas ke tepi IoT industri dan ke lingkungan tempat perangkat digunakan. Di lingkungan di mana perangkat digunakan, sering disebut lokasi tepi IoT, tanggung jawab pelanggan jauh lebih luas daripada di lingkungan cloud. Keamanan tepi IoT adalah tanggung jawab AWS pelanggan dan termasuk mengamankan jaringan tepi, perimeter jaringan tepi, dan perangkat di jaringan tepi; terhubung dengan aman ke cloud; menangani pembaruan perangkat lunak peralatan dan perangkat tepi; dan logging jaringan tepi, pemantauan, dan audit, sebagai contoh utama. AWS bertanggung jawab untuk perangkat lunak edge yang AWS disediakan seperti AWS IoT Greengrass dan AWS IoT SiteWise Edge, dan infrastruktur AWS tepi seperti AWS Outposts.

Dasar Pemikiran

Karena operasi industri semakin mengadopsi teknologi cloud, ada kebutuhan yang berkembang untuk menjembatani kesenjangan antara sistem OT tradisional dan infrastruktur TI modern. Kemampuan ini memenuhi kebutuhan untuk pemrosesan latensi rendah yang aman di edge sambil juga memastikan konektivitas yang kuat ke sumber daya. AWS Cloud Dengan menerapkan gateway tepi dan metode konektivitas yang aman, organisasi dapat mempertahankan kinerja dan keandalan yang diperlukan untuk proses industri kritis sementara mereka memanfaatkan skalabilitas dan kemampuan analitik lanjutan dari layanan cloud.

Kemampuan ini juga penting untuk mempertahankan postur keamanan yang kuat di lingkungan IIo T dan OT. Sistem OT sering melibatkan perangkat dan protokol lama yang mungkin tidak memiliki fitur keamanan bawaan dan menjadi rentan terhadap ancaman dunia maya. Dengan menggabungkan solusi komputasi dan konektivitas tepi yang aman, organisasi dapat menerapkan langkah-langkah keamanan penting seperti segmentasi jaringan, konversi protokol, dan terowongan aman yang lebih dekat ke sumber data. Pendekatan ini membantu melindungi data dan sistem industri yang sensitif dan juga memungkinkan kepatuhan terhadap standar dan peraturan keamanan khusus industri. Selain itu, ia menyediakan kerangka kerja untuk mengelola dan memperbarui perangkat edge dengan aman, yang selanjutnya meningkatkan keamanan dan keandalan penyebaran IIo T dan OT secara keseluruhan.

Pertimbangan keamanan

Implementasi komputasi tepi aman dan konektivitas dalam solusi IIo IoT, T, dan OT menghadirkan lanskap risiko multifaset. Ancaman utama termasuk segmentasi jaringan yang tidak memadai antara sistem TI dan OT, kelemahan keamanan dalam protokol industri lama, dan keterbatasan bawaan perangkat edge yang memiliki sumber daya terbatas. Faktor-faktor ini menciptakan titik masuk potensial dan jalan untuk penyebaran ancaman. Transmisi data industri sensitif antara perangkat edge dan layanan cloud juga dapat menimbulkan risiko intersepsi dan manipulasi, dan koneksi cloud yang tidak aman dapat mengekspos sistem terhadap ancaman berbasis internet. Kekhawatiran tambahan termasuk potensi pergerakan lateral dalam jaringan industri, kurangnya visibilitas ke aktivitas perangkat edge, risiko keamanan fisik untuk infrastruktur yang terletak dari jarak jauh, dan kerentanan rantai pasokan yang dapat memperkenalkan komponen yang dikompromikan. Secara kolektif, ancaman ini menggarisbawahi kebutuhan kritis untuk langkah-langkah keamanan yang kuat dalam komputasi tepi dan solusi konektivitas untuk lingkungan industri.

Remediasi

Perlindungan data

Untuk mengatasi masalah perlindungan data, terapkan enkripsi untuk data dalam perjalanan dan saat istirahat. Gunakan protokol aman seperti MQTT melalui TLS, HTTPS, dan melalui HTTPS. WebSockets Untuk komunikasi dengan perangkat IoT, dan umumnya dalam lingkungan tepi industri IoT, pertimbangkan untuk menggunakan versi aman dari protokol industri seperti CIP Security, Modbus Secure, dan Open Platform Communications Unified Architecture (OPC UA) dengan mode keamanan diaktifkan. Ketika protokol aman tidak didukung secara native, gunakan konverter protokol atau gateway untuk menerjemahkan protokol yang tidak aman menjadi protokol yang aman sedekat mungkin dengan sumber data. Untuk sistem kritis yang memerlukan kontrol aliran data yang ketat, pertimbangkan untuk menerapkan gateway searah atau dioda data. Gunakan gateway AWS IoT SiteWise Edge dengan mode keamanan OPC UA untuk sumber data industri, dan gunakan AWS IoT Greengrassuntuk konfigurasi broker MQTT lokal yang aman. Ketika keamanan tingkat protokol tidak memungkinkan, pertimbangkan untuk menerapkan overlay enkripsi dengan menggunakan VPNs atau teknologi tunneling lainnya untuk melindungi data dalam perjalanan.

Dalam konteks AWS SRA untuk lingkungan IoT, T, dan OT IIo, penggunaan dan konversi protokol yang aman harus diimplementasikan pada berbagai tingkatan:

  • Tingkat 1. Dengan menggunakan gateway AWS IoT SiteWise Edge yang terhubung ke sumber data industri yang mendukung OPC UA dengan mode keamanan.

  • Tingkat 2. Dengan menggunakan gateway AWS IoT SiteWise Edge yang dikombinasikan dengan sumber data mitra yang mendukung protokol lama untuk mencapai konversi protokol yang diperlukan.

  • Tingkat 3. Dengan menggunakan konfigurasi broker MQTT lokal yang aman dengan broker MQTT yang didukung melalui. AWS IoT Greengrass

Manajemen identitas dan akses

Menerapkan praktik manajemen identitas dan akses yang kuat untuk mengurangi risiko akses yang tidak sah. Gunakan metode otentikasi yang kuat, termasuk otentikasi multi-faktor jika memungkinkan, dan terapkan prinsip hak istimewa paling sedikit. Untuk manajemen perangkat tepi, gunakan AWS Systems Manageruntuk akses aman dan konfigurasi sumber daya komputasi tepi. Gunakan AWS IoT Device Managementdan AWS IoT Greengrassuntuk pengelolaan perangkat IoT yang aman. Saat Anda menggunakan AWS IoT SiteWise gateway, gunakan AWS OpsHubuntuk manajemen yang aman. Untuk infrastruktur edge, pertimbangkan AWS Outpostssebagai layanan yang dikelola sepenuhnya yang secara konsisten menerapkan praktik terbaik untuk AWS sumber daya di edge.

Keamanan jaringan

Konektivitas yang aman antara keunggulan industri dan AWS Cloud merupakan komponen penting untuk keberhasilan penerapan beban kerja IoT IIo, T, dan OT di cloud. Seperti yang ditunjukkan dalam AWS SRA, AWS menawarkan berbagai cara dan pola desain untuk membangun koneksi yang aman ke AWS lingkungan dari tepi industri.

Koneksi dapat dicapai dengan salah satu dari tiga cara:

  • Dengan mengatur koneksi VPN yang aman AWS melalui internet

  • Dengan membangun koneksi pribadi khusus melalui AWS Direct Connect

  • Dengan menggunakan koneksi TLS aman ke titik akhir AWS IoT publik

Opsi-opsi ini menyediakan saluran komunikasi yang andal dan terenkripsi antara tepi industri dan AWS infrastruktur, sejalan dengan pedoman keamanan yang diuraikan dalam Panduan National Institute of Standards and Technology (NIST) untuk Keamanan Teknologi Operasional (OT) (NIST SP 800-82 Rev. 3) yang menjamin kebutuhan untuk "menggunakan koneksi aman... antara segmen jaringan, seperti antara pusat regional dan pusat kendali utama dan antara stasiun jarak jauh dan pusat kendali.”

Setelah Anda membuat koneksi aman ke beban kerja yang berjalan masuk AWS dan ke Layanan AWS, gunakan titik akhir virtual private cloud (VPC) bila memungkinkan. Titik akhir VPC memungkinkan Anda terhubung secara pribadi ke Regional yang didukung Layanan AWS tanpa menggunakan alamat IP publik ini. Layanan AWS Pendekatan ini lebih lanjut membantu meningkatkan keamanan dengan membangun koneksi pribadi antara VPC Anda dan Layanan AWS, dan selaras dengan rekomendasi NIST SP 800-82 Rev. 3 untuk transmisi data yang aman dan segmentasi jaringan.

Anda dapat mengonfigurasi kebijakan titik akhir VPC untuk mengontrol dan membatasi akses hanya ke sumber daya yang diperlukan, menerapkan prinsip hak istimewa paling sedikit. Ini membantu mengurangi permukaan serangan dan meminimalkan risiko akses tidak sah ke beban kerja IoT IIo, T, dan OT yang sensitif. Jika titik akhir VPC untuk layanan yang diperlukan tidak tersedia, Anda dapat membuat koneksi aman dengan menggunakan TLS melalui internet publik. Praktik terbaik dalam skenario tersebut adalah merutekan koneksi ini melalui proxy TLS dan firewall, seperti yang ditunjukkan sebelumnya di bagian Infrastructure OU - Network account.

Beberapa lingkungan mungkin memiliki persyaratan untuk mengirim data dalam satu arah AWS sementara secara fisik memblokir lalu lintas ke arah yang berlawanan. Jika lingkungan Anda memiliki persyaratan ini, Anda dapat menggunakan dioda data dan gateway searah. Gateway searah terdiri dari kombinasi perangkat keras dan perangkat lunak. Gateway secara fisik dapat mengirim data hanya dalam satu arah, sehingga tidak ada kemungkinan peristiwa keamanan berbasis TI atau berbasis internet berputar ke jaringan OT. Gateway searah dapat menjadi alternatif yang aman untuk firewall. Mereka memenuhi beberapa standar keamanan industri, seperti North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP),International Society of Automation and International Electrotechnical Commission (ISA/IEC) 62443, Nuclear Energy Institute (NEI)08-09, US Nuclear Regulatory Commission (NRC) 5.71, dan CLC/TS 50701. Mereka juga didukung oleh Industrial IoT Consortium Industrial Internet Security Framework, yang memberikan panduan untuk melindungi jaringan keselamatan dan jaringan kontrol dengan teknologi gateway searah. NIST SP 800-82 menyatakan bahwa menggunakan gateway searah dapat memberikan perlindungan tambahan yang terkait dengan kompromi sistem pada tingkat atau tingkatan yang lebih tinggi dalam lingkungan. Solusi ini memungkinkan industri yang diatur dan sektor infrastruktur penting untuk memanfaatkan layanan cloud AWS (seperti IoT dan AI/ML layanan) sambil mencegah peristiwa jarak jauh menembus kembali ke jaringan industri yang dilindungi. Perangkat OT yang berada di belakang dioda data dan gateway searah perlu dikelola secara lokal. Fungsi dioda data adalah fungsi yang berhubungan dengan jaringan. Dioda data dan gateway searah, ketika digunakan ke lingkungan AWS untuk mendukung keunggulan industri IoT, harus digunakan ke akun jaringan Isolasi Industri sehingga tertanam di antara level dalam jaringan OT.