IoT per la AWS SRA

Questa sezione fornisce consigli per utilizzare l'IoT in modo sicuro in ambienti industriali e di infrastrutture critiche per migliorare la produttività e l'efficienza per utenti e organizzazioni. Si concentra sull'uso di AWS IoT servizi basati sul set olistico di linee guida AWS SRA per l'implementazione di una serie di servizi di AWS sicurezza in un ambiente con più account.

Questa guida si basa sull' AWS SRA per abilitare le funzionalità IoT all'interno di un framework sicuro di livello aziendale. Copre i principali controlli di sicurezza come l'identità dei dispositivi e l'inventario delle risorse, le autorizzazioni IAM, la protezione dei dati, l'isolamento della rete, la gestione delle vulnerabilità e delle patch, la registrazione, il monitoraggio e la risposta agli incidenti specifici dei servizi. AWS IoT

I destinatari di questa guida includono professionisti della sicurezza, architetti e sviluppatori responsabili dell'integrazione sicura delle soluzioni IoT nelle loro organizzazioni e applicazioni.

AWS Le migliori pratiche SRA per l'IoT

Questa sezione esplora le considerazioni sulla sicurezza e le migliori pratiche per i carichi di lavoro IoT adattate alle migliori pratiche descritte nel post del AWS blog Dieci regole d'oro di sicurezza per le soluzioni IoT industriali. Queste best practice AWS SRA per l'IoT sono:

1. Valuta i rischi di sicurezza informatica OT e IIo T

2. Implementa una separazione rigorosa tra ambienti OT (o IIo T) e ambienti IT.

3. Utilizza i gateway per l'edge computing, la segmentazione della rete, la conformità alla sicurezza e per collegare i domini amministrativi. Rafforza i dispositivi IoT e riduci al minimo la loro superficie di attacco.

4. Stabilisci una connessione sicura AWS utilizzando AWS Site-to-Site VPNo AWS Direct Connectdalla periferia industriale. Usa gli endpoint VPC ogni volta che è possibile.

5. Usa protocolli sicuri quando possibile. Se utilizzi protocolli non sicuri, convertili in protocolli standardizzati e sicuri il più vicino possibile alla fonte.

6. Definite i meccanismi di aggiornamento appropriati per gli aggiornamenti di software e firmware.

7. Implementa la gestione del ciclo di vita delle identità dei dispositivi. Applica meccanismi di autenticazione e controllo degli accessi.

8. Proteggi i dati IoT nell'edge e nel cloud crittografando i dati a riposo e in transito. Crea meccanismi per la condivisione sicura dei dati, la governance e la sovranità.

9. Implementa meccanismi di controllo e monitoraggio della sicurezza su OT e T. IIo Gestisci centralmente gli avvisi di sicurezza su OT (o IIo T) e sul cloud.

10. Crea playbook di risposta agli incidenti e un piano di continuità aziendale e ripristino. Testa il piano e le procedure.

Per implementare queste best practice, questa guida copre le seguenti funzionalità:

• Capacità 1. Fornire edge computing e connettività sicure (best practice 3, 4 e 5)

• Capacità 2. Fornire una zona di isolamento industriale tra gli ambienti (best practice 2)

• Capacità 3. Fornire identità di dispositivo solide e accesso e gestione sicuri dei dispositivi (best practice 6 e 7)

• Capacità 4. Fornire protezione e governance dei dati (best practice 8)

• Capacità 5. Fornire monitoraggio della sicurezza e risposta agli incidenti (best practice 9 e 10)

Le seguenti sezioni di questa guida approfondiscono ciascuna funzionalità, illustrano la funzionalità e il relativo utilizzo, trattano le considerazioni sulla sicurezza relative alla funzionalità e spiegano come utilizzare Servizi AWS e funzionalità per affrontare le considerazioni relative alla sicurezza (correzione).

L'architettura illustrata nel diagramma seguente è un'estensione del diagramma AWS SRA illustrato in precedenza in questa guida. Aggiunge i seguenti elementi: sito del cliente e edge IoT industriale, account per zone di isolamento industriale e soluzioni di sicurezza IIo IoT, T o OT software as a service (SaaS) dei partner. AWS

La parte superiore del diagramma rappresenta l'architettura IIo T edge. Questo è collegato all' Cloud AWS organizzazione nella parte inferiore, che è costruita secondo lo AWS SRA. Per una descrizione di ogni account annotato nell' AWS organizzazione nella parte inferiore del diagramma, consulta le sezioni precedenti di questa guida. Si noti che l'account della zona di isolamento viene considerato come un account Shared Services aggiuntivo nella struttura AWS SRA. Questo account viene utilizzato per implementare servizi di rete e comunicazione relativi all'IoT, utilizzati da più account di carico di lavoro che contengono anche l'elaborazione relativa all'IoT. L'account della zona di isolamento può essere considerato un account peer rispetto all'account di rete nell'SRA. AWS Viene utilizzato per gestire processi di rete e comunicazione condivisi specifici degli ambienti IIo T edge. Oltre ai servizi mostrati nel diagramma, l'account della zona di isolamento include diversi servizi di sicurezza comuni come AWS Security Hub CSPM, Amazon GuardDuty, AWS Config Amazon CloudWatch e. AWS CloudTrail

Per la maggior parte dei clienti, è sufficiente un'unica AWS organizzazione con carichi di lavoro dedicati OUs per IIo IoT, T e OT. È possibile separare gli ambienti OT (o IIo T) dagli ambienti IT utilizzando una zona di isolamento e le funzionalità fornite AWS Organizations, più AWS account e configurazioni di rete, come mostrato nell'architettura di riferimento. VPCs

Sito del cliente e periferia industriale

Il sito del cliente e l'IoT edge industriale si riferiscono all'infrastruttura informatica specializzata implementata in ambienti industriali e OT per consentire la raccolta, l'elaborazione e la connettività sicure dei dati vicino alla fonte di generazione dei dati. Questo concetto affronta le sfide uniche degli ambienti infrastrutturali critici e degli ambienti industriali e supporta le operazioni distribuite su più siti.

È possibile applicare il modello Purdue, che è un modello di architettura di riferimento per l'industria manifatturiera, per implementare diversi livelli nel contesto della sede del cliente e della periferia industriale come segue:

• Livelli 0-2 — Dispositivi di campo e controllo di supervisione locale: apparecchiature industriali, sensori e attuatori sono collegati utilizzando convertitori di protocollo industriale e diodi dati. In alcuni casi, i gateway edge dei partner che eseguono AWS IoT SiteWise Edge vengono implementati per consentire casi d'uso specializzati di acquisizione ed elaborazione dei dati locali a livello 2.

• Livello 3 — Operazioni del sito: le appliance e i sensori di sicurezza dei partner possono essere integrati per supportare l'individuazione degli asset, il rilevamento delle vulnerabilità e il monitoraggio della sicurezza della rete. I gateway Edge basati su AWS IoT SiteWise Edge vengono implementati per consentire l'acquisizione AWS IoT Greengrass e l'elaborazione locali dei dati.

• Livello 3.5 — Zona di isolamento industriale: una zona di isolamento industriale rappresenta un confine tra IT e OT e controlla la comunicazione tra OT e reti IT. I servizi di accesso al cloud e a Internet come proxy, firewall e gateway unidirezionali vengono implementati a questo livello per mediare la connettività e i flussi di dati richiesti.

• Livelli 4-5 — Rete IT: la connettività sicura al cloud viene stabilita utilizzando o. AWS Site-to-Site VPN AWS Direct Connect AWS PrivateLink Gli endpoint VPC vengono utilizzati per l'accesso privato alle risorse. AWS

AWS organizzazione

Un'unità organizzativa Workloads per carichi di lavoro IIo IoT, T o OT viene creata insieme ad altre unità specifiche del carico di lavoro. OUs Questa unità organizzativa è dedicata alle applicazioni che utilizzano AWS IoT i servizi pertinenti per creare e implementare soluzioni integrate IIo IoT, IT e OT. L'unità organizzativa contiene un account applicativo (mostrato nel diagramma di architettura precedente) in cui è ospitata la soluzione che fornisce le funzionalità aziendali richieste. Il raggruppamento Servizi AWS in base al tipo di applicazione consente di applicare i controlli di sicurezza tramite policy di controllo dei servizi specifiche dell'unità organizzativa e Account AWS specifiche.

Questo approccio semplifica inoltre l'implementazione di un forte controllo degli accessi e dei privilegi minimi. Oltre a queste unità organizzative e agli account specifici, l'architettura di riferimento include account aggiuntivi OUs che forniscono funzionalità di sicurezza di base applicabili a tutti i tipi di applicazioni. Gli account Org Management, Security Tooling, Log Archive e Network sono descritti nelle sezioni precedenti di questa guida. Questi account hanno diverse aggiunte relative ai carichi di lavoro IoT:

• L'account di rete include disposizioni per AWS Direct Connect, e AWS Site-to-Site VPN. AWS Transit Gateway Fornisce inoltre la possibilità di creare una rete globale tra asset operativi utilizzando la Cloud AWS WAN, a seconda dell'approccio scelto per la connessione a Cloud AWS. Per i dettagli, consulta la sezione Infrastructure OU — Network Account all'inizio di questa guida.

• L'account Industrial Isolation offre la possibilità di implementare servizi (come patch, antivirus e servizi di accesso remoto) che altrimenti verrebbero implementati presso la sede del cliente o sull'edge IoT industriale (livello 3.5). Questo account supporta scenari che includono una solida connettività tra il sito, l'edge IoT industriale e il Cloud AWS. Questi servizi sono specifici per la manutenzione dell'edge industriale IoT e possono essere considerati sul lato edge anziché sul lato Internet di un modello di rete a più livelli. 

I servizi di hosting in Industrial Isolation AWS offrono maggiori capacità di flessibilità, scalabilità, sicurezza e integrazione rispetto alle soluzioni locali e consentono una gestione più efficiente e flessibile delle operazioni di edge industriale. Ad esempio, puoi fornire l'accesso in streaming alle tue applicazioni per utenti finali utilizzando Amazon AppStream 2.0 e utilizzare Amazon GuardDuty Malware Protection for S3 per fornire funzionalità di scansione antimalware come parte di una soluzione di scambio di file sicura che abbraccia ambienti IT e OT. L'account Industrial Isolation utilizza i costrutti di connettività condivisi nell'account di rete AWS Transit Gateway, ad esempio per ottenere la connettività richiesta alle risorse locali desiderate. 

Nota

Questo account di rete è denominato Industrial Isolation perché funge da buffer tra l'edge IoT industriale e le reti aziendali che operano all'interno Account AWS e gestite secondo l' AWS SRA. In questo modo, l'account costituisce una sorta di margine tra la periferia industriale e la rete aziendale. Ciò è simile al modo in cui l'account di rete nell' AWS SRA funge da buffer tra i carichi di lavoro in esecuzione in Cloud AWS (negli account di carico di lavoro) e su Internet e sulle reti IT aziendali locali.

Collabora con soluzioni IIo IoT, T e OT SaaS

AWS Partner le soluzioni svolgono un ruolo cruciale nell'aiutare a migliorare il monitoraggio della sicurezza e il rilevamento delle minacce negli ambienti IIo IoT, T, OT e cloud. Completano i servizi di sicurezza IoT edge e cloud nativi AWS e aiutano a fornire un livello di sicurezza più completo attraverso una serie di funzionalità di rilevamento e monitoraggio specializzate. L'integrazione di queste funzionalità specializzate di monitoraggio della sicurezza OT e IIo T con le più ampie offerte di sicurezza cloud di AWS viene ottenuta tramite servizi come AWS Security Hub CSPM e Amazon Security Lake. Puoi implementare queste soluzioni all'interno degli account applicativi della tua organizzazione. AWS Puoi anche utilizzare soluzioni SaaS ospitate altrove su Internet e gestite da terze parti. In alcuni casi, queste soluzioni di terze parti funzionano anche su AWS. Questo scenario può facilitare la gestione delle autorizzazioni basata su IAM e le ottimizzazioni AWS specifiche della connettività di rete. In altri casi, la connettività a questi servizi è configurata in base ai requisiti della soluzione SaaS.

Queste aggiunte consentono un'architettura più solida, sicura e flessibile, specificamente personalizzata per gli ambienti industriali e integrata con i servizi Cloud AWS e AWS IoT . I componenti IoT dell'architettura AWS SRA affrontano le sfide uniche degli ambienti industriali, come la diversità dei protocolli, i requisiti di elaborazione dei bordi industriali e la necessità di una perfetta integrazione tra sistemi OT e IT.