Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Capacità 1. Fornire edge computing e connettività sicuri
Questa funzionalità supporta le best practice 3, 4 e 5 delle best practice AWS SRA per l'IoT.
Il modello di responsabilitàAWS condivisa
Rationale
Poiché le operazioni industriali adottano sempre più spesso le tecnologie cloud, c'è una crescente necessità di colmare il divario tra i sistemi OT tradizionali e l'infrastruttura IT moderna. Questa funzionalità risponde alla necessità di un'elaborazione sicura e a bassa latenza sull'edge, garantendo al contempo una solida connettività alle Cloud AWS risorse. Implementando gateway edge e metodi di connettività sicuri, le organizzazioni possono mantenere le prestazioni e l'affidabilità richieste per i processi industriali critici, sfruttando al contempo la scalabilità e le capacità di analisi avanzate dei servizi cloud.
Questa funzionalità è essenziale anche per mantenere un solido livello di sicurezza negli ambienti IIo T e OT. I sistemi OT spesso coinvolgono dispositivi e protocolli legacy che potrebbero non avere funzionalità di sicurezza integrate e diventare vulnerabili alle minacce informatiche. Incorporando soluzioni di edge computing e connettività sicure, le organizzazioni possono implementare misure di sicurezza cruciali come la segmentazione della rete, la conversione dei protocolli e il tunneling sicuro più vicino alla fonte dei dati. Questo approccio aiuta a proteggere i dati e i sistemi industriali sensibili e consente inoltre la conformità agli standard e alle normative di sicurezza specifici del settore. Inoltre, fornisce un framework per la gestione e l'aggiornamento sicuri dei dispositivi edge, che migliora ulteriormente la sicurezza e l'affidabilità complessive delle IIo implementazioni T e OT.
Considerazioni relative alla sicurezza
L'implementazione di edge computing e connettività sicuri nelle soluzioni IIo IoT, T e OT presenta un panorama di rischio multiforme. Le minacce principali includono una segmentazione della rete inadeguata tra sistemi IT e OT, punti deboli di sicurezza nei protocolli industriali legacy e le limitazioni intrinseche dei dispositivi periferici con risorse limitate. Questi fattori creano potenziali punti di ingresso e vie per la propagazione delle minacce. La trasmissione di dati industriali sensibili tra dispositivi periferici e servizi cloud può inoltre introdurre rischi di intercettazione e manipolazione, e connessioni cloud non sicure possono esporre i sistemi a minacce basate su Internet. Altre preoccupazioni includono il potenziale movimento laterale all'interno delle reti industriali, la mancanza di visibilità sulle attività dei dispositivi periferici, i rischi per la sicurezza fisica delle infrastrutture situate in luoghi remoti e le vulnerabilità della catena di fornitura che possono introdurre componenti compromessi. Nel complesso, queste minacce sottolineano la necessità fondamentale di solide misure di sicurezza nelle soluzioni di edge computing e connettività per ambienti industriali.
Correzioni
Protezione dei dati
Per risolvere i problemi di protezione dei dati, implementa la crittografia per i dati in transito e a riposo. Utilizza protocolli sicuri come MQTT su TLS, HTTPS e WebSockets su HTTPS. Per le comunicazioni con dispositivi IoT, e in generale all'interno di ambienti IoT industriali edge, prendi in considerazione l'utilizzo di versioni sicure di protocolli industriali come CIP Security, Modbus Secure e Open Platform Communications Unified Architecture (OPC UA) con modalità di sicurezza abilitata. Quando i protocolli sicuri non sono supportati in modo nativo, utilizza convertitori di protocollo
Nel contesto dell' AWS SRA per ambienti IoT, IIo T e OT, l'utilizzo e la conversione sicuri del protocollo dovrebbero essere implementati a più livelli:
-
Livello 1. Utilizzando un gateway AWS IoT SiteWise Edge collegato a una fonte di dati industriale che supporta OPC UA con modalità di sicurezza.
-
Livello 2. Utilizzando un gateway AWS IoT SiteWise Edge combinato con una fonte di dati partner che supporta i protocolli legacy per ottenere la conversione del protocollo richiesta.
-
Livello 3. Utilizzando una configurazione sicura del broker MQTT locale con broker MQTT supportati da. AWS IoT Greengrass
Identity and Access Management
Implementa solide pratiche di gestione delle identità e degli accessi per mitigare i rischi di accesso non autorizzato. Utilizza metodi di autenticazione avanzati, inclusa l'autenticazione a più fattori, ove possibile, e applica il principio del privilegio minimo. Per la gestione dei dispositivi periferici, utilizzali AWS Systems Manager
Sicurezza della rete
La connettività sicura tra l'edge industriale e il Cloud AWS è un componente fondamentale per la corretta implementazione dei carichi di lavoro IIo IoT, T e OT nel cloud. Come illustrato nell' AWS SRA, AWS offre diversi modi e modelli di progettazione per stabilire una connessione sicura all' AWS ambiente dalla periferia industriale.
La connessione può essere ottenuta in tre modi:
-
Configurando una connessione VPN sicura AWS su Internet
-
Stabilendo una connessione privata dedicata tramite AWS Direct Connect
-
Utilizzando connessioni TLS sicure agli endpoint AWS IoT pubblici
Queste opzioni forniscono un canale di comunicazione affidabile e crittografato tra la periferia industriale e l' AWS infrastruttura, in linea con le linee guida sulla sicurezza delineate nella Guida alla sicurezza della tecnologia operativa (OT) del National Institute of Standards and Technology (NIST) (NIST SP 800-82 Rev. 3)
Dopo aver stabilito una connessione sicura ai carichi di lavoro in esecuzione AWS e in arrivo Servizi AWS, utilizza gli endpoint del cloud privato virtuale (VPC) ogni volta che è possibile. Gli endpoint VPC ti consentono di connetterti privatamente alle aree regionali supportate Servizi AWS senza utilizzare gli indirizzi IP pubblici di questi. Servizi AWS Questo approccio aiuta ulteriormente a migliorare la sicurezza stabilendo connessioni private tra il VPC e Servizi AWS, ed è in linea con le raccomandazioni del NIST SP 800-82 Rev. 3 per la trasmissione sicura dei dati e la segmentazione della rete.
Puoi configurare le policy degli endpoint VPC per controllare e limitare l'accesso solo alle risorse richieste, applicando il principio del privilegio minimo. Questo aiuta a ridurre la superficie di attacco e minimizzare il rischio di accesso non autorizzato a carichi di lavoro IIo IoT, T e OT sensibili. Se l'endpoint VPC per il servizio richiesto non è disponibile, puoi stabilire una connessione sicura utilizzando TLS sulla rete Internet pubblica. La migliore pratica in questi scenari consiste nell'instradare queste connessioni tramite un proxy TLS e un firewall, come illustrato in precedenza nella sezione Infrastruttura organizzativa - Account di rete.
In alcuni ambienti potrebbe essere necessario inviare dati in una direzione e bloccare fisicamente il traffico nella direzione opposta. AWS
Se il tuo ambiente presenta questo requisito, puoi utilizzare diodi di dati e gateway unidirezionali. I gateway unidirezionali sono costituiti da una combinazione di hardware e software. Il gateway è fisicamente in grado di inviare dati in una sola direzione, quindi non è possibile che eventi di sicurezza basati sull'IT o su Internet si ripercuotano sulle reti OT. I gateway unidirezionali possono essere un'alternativa sicura ai firewall. Soddisfano diversi standard di sicurezza industriale, come la North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP),