Capacità 4. Fornire protezione e governance dei dati

Questa funzionalità supporta le best practice 8 delle best practice AWS SRA per l'IoT.

Capability 4 risponde all'esigenza fondamentale di proteggere i dati IIo IoT e T durante l'intero ciclo di vita, dai dispositivi edge ai sistemi di archiviazione ed elaborazione cloud. Comprende solidi meccanismi di crittografia sia per i dati archiviati che per i dati in transito, oltre a stabilire pratiche complete di governance dei dati.

Rationale

I sistemi industriali possono generare, elaborare e archiviare grandi quantità di informazioni sensibili, inclusi processi di produzione proprietari, dati sulle prestazioni delle apparecchiature e telemetria operativa critica. L'accesso o la manipolazione non autorizzati di questi dati possono comportare conseguenze significative che vanno dal furto della proprietà intellettuale alle interruzioni operative e agli incidenti di sicurezza. L'implementazione di solide pratiche di crittografia e governance dei dati affronta direttamente questi rischi. Aiuta a salvaguardare preziose risorse informative e contribuisce a garantire la continuità delle operazioni industriali.

Considerazioni relative alla sicurezza

L'implementazione di solide misure di protezione e governance dei dati affronta diversi rischi di sicurezza negli ambienti IIo IoT, T e OT. Le preoccupazioni principali includono l'accesso non autorizzato ai dati sensibili archiviati su dispositivi IoT e gateway edge e l'intercettazione dei dati durante la trasmissione tra dispositivi e sistemi cloud.

Correzioni

Protezione dei dati

Crittografia dei dati a riposo: le informazioni archiviate su dispositivi installati come sensori o videocamere possono sembrare innocue, ma quando il controllo fisico di un dispositivo non è garantito, tali informazioni possono diventare un bersaglio per attori non autorizzati. Gli esempi includono video memorizzati nella cache su telecamere consumer, modelli proprietari di machine learning (ML) in applicazioni industriali e dati di configurazione per ambienti operativi. Per i dispositivi distribuiti, la migliore pratica consiste nel crittografare tutti i dati archiviati a riposo, quando possibile. Questo include:

• Archiviazione dei dispositivi: crittografa l'archiviazione locale sui dispositivi IoT utilizzando la crittografia basata su hardware (se disponibile) o una crittografia software avanzata.

• Gateway edge: implementa la crittografia completa del disco su gateway periferici e server locali.

• Archiviazione nel cloud: utilizza i servizi di crittografia AWS gestiti per i dati archiviati nel cloud, come descritto nella AWS KMS sezione dell'account dell'applicazione dell'SRA. AWS

Implementa meccanismi per cancellare le informazioni archiviate nei dispositivi. Ciò potrebbe essere necessario quando i dispositivi vengono riutilizzati o venduti e cambiano proprietà.

Crittografia dei dati in transito: crittografa tutti i dati in transito, inclusi i dati di sensori e dispositivi, amministrazione, approvvigionamento e distribuzione. Quasi tutti i dispositivi IoT moderni hanno la capacità di eseguire la crittografia del traffico di rete, quindi sfrutta questa capacità e proteggi sia le comunicazioni sul piano dati che sul piano di controllo. Questa pratica aiuta a garantire sia la riservatezza dei dati che l'integrità dei segnali di monitoraggio. Per i protocolli che non possono essere crittografati, valuta se un dispositivo edge più vicino all'asset IoT può accettare la comunicazione e convertirla in un protocollo sicuro prima di inviarla al di fuori del perimetro locale.

Le pratiche chiave includono:

• Utilizzate TLS per tutte le comunicazioni MQTT e HTTP (ovvero utilizzate MQTTS e HTTPS). Le comunicazioni sicure sono consigliate indipendentemente dal percorso di routing dei pacchetti di rete, che sia limitato o meno alla spina dorsale. AWS

• Implementa MQTT sicuro per la messaggistica IoT, anche a livello perimetrale.

• Utilizza AWS Site-to-Site VPN AWS PrivateLink, e AWS Direct Connect per una comunicazione sicura tra componenti locali e. AWS Questi servizi forniscono un routing di rete o un incapsulamento dei pacchetti più prevedibili rispetto agli endpoint API accessibili da Internet.