Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kemampuan 1. Menyediakan komputasi tepi dan konektivitas yang aman
Kemampuan ini mendukung praktik terbaik 3, 4, dan 5 dari praktik terbaik AWS SRA untuk IoT.
Model tanggung jawab AWS bersama
Dasar Pemikiran
Karena operasi industri semakin mengadopsi teknologi cloud, ada kebutuhan yang berkembang untuk menjembatani kesenjangan antara sistem OT tradisional dan infrastruktur TI modern. Kemampuan ini memenuhi kebutuhan untuk pemrosesan latensi rendah yang aman di edge sambil juga memastikan konektivitas yang kuat ke sumber daya. AWS Cloud Dengan menerapkan gateway tepi dan metode konektivitas yang aman, organisasi dapat mempertahankan kinerja dan keandalan yang diperlukan untuk proses industri kritis sementara mereka memanfaatkan skalabilitas dan kemampuan analitik lanjutan dari layanan cloud.
Kemampuan ini juga penting untuk mempertahankan postur keamanan yang kuat di lingkungan IIo T dan OT. Sistem OT sering melibatkan perangkat dan protokol lama yang mungkin tidak memiliki fitur keamanan bawaan dan menjadi rentan terhadap ancaman dunia maya. Dengan menggabungkan solusi komputasi dan konektivitas tepi yang aman, organisasi dapat menerapkan langkah-langkah keamanan penting seperti segmentasi jaringan, konversi protokol, dan terowongan aman yang lebih dekat ke sumber data. Pendekatan ini membantu melindungi data dan sistem industri yang sensitif dan juga memungkinkan kepatuhan terhadap standar dan peraturan keamanan khusus industri. Selain itu, ia menyediakan kerangka kerja untuk mengelola dan memperbarui perangkat edge dengan aman, yang selanjutnya meningkatkan keamanan dan keandalan penyebaran IIo T dan OT secara keseluruhan.
Pertimbangan keamanan
Implementasi komputasi tepi aman dan konektivitas dalam solusi IIo IoT, T, dan OT menghadirkan lanskap risiko multifaset. Ancaman utama termasuk segmentasi jaringan yang tidak memadai antara sistem TI dan OT, kelemahan keamanan dalam protokol industri lama, dan keterbatasan bawaan perangkat edge yang memiliki sumber daya terbatas. Faktor-faktor ini menciptakan titik masuk potensial dan jalan untuk penyebaran ancaman. Transmisi data industri sensitif antara perangkat edge dan layanan cloud juga dapat menimbulkan risiko intersepsi dan manipulasi, dan koneksi cloud yang tidak aman dapat mengekspos sistem terhadap ancaman berbasis internet. Kekhawatiran tambahan termasuk potensi pergerakan lateral dalam jaringan industri, kurangnya visibilitas ke aktivitas perangkat edge, risiko keamanan fisik untuk infrastruktur yang terletak dari jarak jauh, dan kerentanan rantai pasokan yang dapat memperkenalkan komponen yang dikompromikan. Secara kolektif, ancaman ini menggarisbawahi kebutuhan kritis untuk langkah-langkah keamanan yang kuat dalam komputasi tepi dan solusi konektivitas untuk lingkungan industri.
Remediasi
Perlindungan data
Untuk mengatasi masalah perlindungan data, terapkan enkripsi untuk data dalam perjalanan dan saat istirahat. Gunakan protokol aman seperti MQTT melalui TLS, HTTPS, dan melalui HTTPS. WebSockets Untuk komunikasi dengan perangkat IoT, dan umumnya dalam lingkungan tepi industri IoT, pertimbangkan untuk menggunakan versi aman dari protokol industri seperti CIP Security, Modbus Secure, dan Open Platform Communications Unified Architecture (OPC UA) dengan mode keamanan diaktifkan. Ketika protokol aman tidak didukung secara native, gunakan konverter protokol atau gateway untuk menerjemahkan protokol
Dalam konteks AWS SRA untuk lingkungan IoT, T, dan OT IIo, penggunaan dan konversi protokol yang aman harus diimplementasikan pada berbagai tingkatan:
-
Tingkat 1. Dengan menggunakan gateway AWS IoT SiteWise Edge yang terhubung ke sumber data industri yang mendukung OPC UA dengan mode keamanan.
-
Tingkat 2. Dengan menggunakan gateway AWS IoT SiteWise Edge yang dikombinasikan dengan sumber data mitra yang mendukung protokol lama untuk mencapai konversi protokol yang diperlukan.
-
Tingkat 3. Dengan menggunakan konfigurasi broker MQTT lokal yang aman dengan broker MQTT yang didukung melalui. AWS IoT Greengrass
Manajemen identitas dan akses
Menerapkan praktik manajemen identitas dan akses yang kuat untuk mengurangi risiko akses yang tidak sah. Gunakan metode otentikasi yang kuat, termasuk otentikasi multi-faktor jika memungkinkan, dan terapkan prinsip hak istimewa paling sedikit. Untuk manajemen perangkat tepi, gunakan AWS Systems Manager
Keamanan jaringan
Konektivitas yang aman antara keunggulan industri dan AWS Cloud merupakan komponen penting untuk keberhasilan penerapan beban kerja IoT IIo, T, dan OT di cloud. Seperti yang ditunjukkan dalam AWS SRA, AWS menawarkan berbagai cara dan pola desain untuk membangun koneksi yang aman ke AWS lingkungan dari tepi industri.
Koneksi dapat dicapai dengan salah satu dari tiga cara:
-
Dengan mengatur koneksi VPN yang aman AWS melalui internet
-
Dengan membangun koneksi pribadi khusus melalui AWS Direct Connect
-
Dengan menggunakan koneksi TLS aman ke titik akhir AWS IoT publik
Opsi-opsi ini menyediakan saluran komunikasi yang andal dan terenkripsi antara tepi industri dan AWS infrastruktur, sejalan dengan pedoman keamanan yang diuraikan dalam Panduan National Institute of Standards and Technology (NIST) untuk Keamanan Teknologi Operasional (OT) (NIST SP 800-82 Rev. 3)
Setelah Anda membuat koneksi aman ke beban kerja yang berjalan masuk AWS dan ke Layanan AWS, gunakan titik akhir virtual private cloud (VPC) bila memungkinkan. Titik akhir VPC memungkinkan Anda terhubung secara pribadi ke Regional yang didukung Layanan AWS tanpa menggunakan alamat IP publik ini. Layanan AWS Pendekatan ini lebih lanjut membantu meningkatkan keamanan dengan membangun koneksi pribadi antara VPC Anda dan Layanan AWS, dan selaras dengan rekomendasi NIST SP 800-82 Rev. 3 untuk transmisi data yang aman dan segmentasi jaringan.
Anda dapat mengonfigurasi kebijakan titik akhir VPC untuk mengontrol dan membatasi akses hanya ke sumber daya yang diperlukan, menerapkan prinsip hak istimewa paling sedikit. Ini membantu mengurangi permukaan serangan dan meminimalkan risiko akses tidak sah ke beban kerja IoT IIo, T, dan OT yang sensitif. Jika titik akhir VPC untuk layanan yang diperlukan tidak tersedia, Anda dapat membuat koneksi aman dengan menggunakan TLS melalui internet publik. Praktik terbaik dalam skenario tersebut adalah merutekan koneksi ini melalui proxy TLS dan firewall, seperti yang ditunjukkan sebelumnya di bagian Infrastructure OU - Network account.
Beberapa lingkungan mungkin memiliki persyaratan untuk mengirim data dalam satu arah AWS
sementara secara fisik memblokir lalu lintas ke arah yang berlawanan. Jika lingkungan Anda memiliki persyaratan ini, Anda dapat menggunakan dioda data dan gateway searah. Gateway searah terdiri dari kombinasi perangkat keras dan perangkat lunak. Gateway secara fisik dapat mengirim data hanya dalam satu arah, sehingga tidak ada kemungkinan peristiwa keamanan berbasis TI atau berbasis internet berputar ke jaringan OT. Gateway searah dapat menjadi alternatif yang aman untuk firewall. Mereka memenuhi beberapa standar keamanan industri, seperti North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP),