Capacità 1. Fornire edge computing e connettività sicuri - AWS Guida prescrittiva
RationaleConsiderazioni relative alla sicurezzaCorrezioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Capacità 1. Fornire edge computing e connettività sicuri

Questa funzionalità supporta le best practice 3, 4 e 5 delle best practice AWS SRA per l'IoT.

Il modello di responsabilitàAWS condivisa si estende all'edge dell'IoT industriale e agli ambienti in cui vengono implementati i dispositivi. Negli ambienti in cui vengono implementati i dispositivi, spesso chiamati edge location IoT, le responsabilità dei clienti sono molto più ampie di quelle dell'ambiente cloud. La sicurezza dell'edge IoT è responsabilità del AWS cliente e include la protezione della rete perimetrale, del perimetro della rete perimetrale e dei dispositivi nella rete perimetrale; la connessione sicura al cloud; la gestione degli aggiornamenti software di apparecchiature e dispositivi periferici; e la registrazione, il monitoraggio e il controllo della rete perimetrale, come esempi chiave. AWS è responsabile del software perimetrale AWS fornito, ad esempio Edge, AWS IoT Greengrass e dell'infrastruttura AWS IoT SiteWise perimetrale come. AWS AWS Outposts

Rationale

Poiché le operazioni industriali adottano sempre più spesso le tecnologie cloud, c'è una crescente necessità di colmare il divario tra i sistemi OT tradizionali e l'infrastruttura IT moderna. Questa funzionalità risponde alla necessità di un'elaborazione sicura e a bassa latenza sull'edge, garantendo al contempo una solida connettività alle Cloud AWS risorse. Implementando gateway edge e metodi di connettività sicuri, le organizzazioni possono mantenere le prestazioni e l'affidabilità richieste per i processi industriali critici, sfruttando al contempo la scalabilità e le capacità di analisi avanzate dei servizi cloud.

Questa funzionalità è essenziale anche per mantenere un solido livello di sicurezza negli ambienti IIo T e OT. I sistemi OT spesso coinvolgono dispositivi e protocolli legacy che potrebbero non avere funzionalità di sicurezza integrate e diventare vulnerabili alle minacce informatiche. Incorporando soluzioni di edge computing e connettività sicure, le organizzazioni possono implementare misure di sicurezza cruciali come la segmentazione della rete, la conversione dei protocolli e il tunneling sicuro più vicino alla fonte dei dati. Questo approccio aiuta a proteggere i dati e i sistemi industriali sensibili e consente inoltre la conformità agli standard e alle normative di sicurezza specifici del settore. Inoltre, fornisce un framework per la gestione e l'aggiornamento sicuri dei dispositivi edge, che migliora ulteriormente la sicurezza e l'affidabilità complessive delle IIo implementazioni T e OT.

Considerazioni relative alla sicurezza

L'implementazione di edge computing e connettività sicuri nelle soluzioni IIo IoT, T e OT presenta un panorama di rischio multiforme. Le minacce principali includono una segmentazione della rete inadeguata tra sistemi IT e OT, punti deboli di sicurezza nei protocolli industriali legacy e le limitazioni intrinseche dei dispositivi periferici con risorse limitate. Questi fattori creano potenziali punti di ingresso e vie per la propagazione delle minacce. La trasmissione di dati industriali sensibili tra dispositivi periferici e servizi cloud può inoltre introdurre rischi di intercettazione e manipolazione, e connessioni cloud non sicure possono esporre i sistemi a minacce basate su Internet. Altre preoccupazioni includono il potenziale movimento laterale all'interno delle reti industriali, la mancanza di visibilità sulle attività dei dispositivi periferici, i rischi per la sicurezza fisica delle infrastrutture situate in luoghi remoti e le vulnerabilità della catena di fornitura che possono introdurre componenti compromessi. Nel complesso, queste minacce sottolineano la necessità fondamentale di solide misure di sicurezza nelle soluzioni di edge computing e connettività per ambienti industriali.

Correzioni

Protezione dei dati

Per risolvere i problemi di protezione dei dati, implementa la crittografia per i dati in transito e a riposo. Utilizza protocolli sicuri come MQTT su TLS, HTTPS e WebSockets su HTTPS. Per le comunicazioni con dispositivi IoT, e in generale all'interno di ambienti IoT industriali edge, prendi in considerazione l'utilizzo di versioni sicure di protocolli industriali come CIP Security, Modbus Secure e Open Platform Communications Unified Architecture (OPC UA) con modalità di sicurezza abilitata. Quando i protocolli sicuri non sono supportati in modo nativo, utilizza convertitori di protocollo o gateway per tradurre i protocolli non sicuri in protocolli sicuri il più vicino possibile alla fonte dei dati. Per i sistemi critici che richiedono un controllo rigoroso del flusso di dati, prendi in considerazione l'implementazione di gateway o diodi di dati unidirezionali. Utilizzate i gateway AWS IoT SiteWise Edge con la modalità di sicurezza OPC UA per le fonti di dati industriali e utilizzateli per configurazioni sicure dei broker MQTT AWS IoT Greengrasslocali. Quando la sicurezza a livello di protocollo non è possibile, prendi in considerazione l'implementazione di un overlay di crittografia utilizzando VPNs o altre tecnologie di tunneling per proteggere i dati in transito.

Nel contesto dell' AWS SRA per ambienti IoT, IIo T e OT, l'utilizzo e la conversione sicuri del protocollo dovrebbero essere implementati a più livelli:

  • Livello 1. Utilizzando un gateway AWS IoT SiteWise Edge collegato a una fonte di dati industriale che supporta OPC UA con modalità di sicurezza.

  • Livello 2. Utilizzando un gateway AWS IoT SiteWise Edge combinato con una fonte di dati partner che supporta i protocolli legacy per ottenere la conversione del protocollo richiesta.

  • Livello 3. Utilizzando una configurazione sicura del broker MQTT locale con broker MQTT supportati da. AWS IoT Greengrass

Identity and Access Management

Implementa solide pratiche di gestione delle identità e degli accessi per mitigare i rischi di accesso non autorizzato. Utilizza metodi di autenticazione avanzati, inclusa l'autenticazione a più fattori, ove possibile, e applica il principio del privilegio minimo. Per la gestione dei dispositivi periferici, utilizzali AWS Systems Managerper l'accesso e la configurazione sicuri delle risorse di edge computing. Utilizzo AWS IoT Device Managemente AWS IoT Greengrassgestione sicura dei dispositivi IoT. Quando utilizzi i AWS IoT SiteWise gateway, utilizzali AWS OpsHubper una gestione sicura. Per l'infrastruttura perimetrale, AWS Outpostsconsideralo un servizio completamente gestito che applica in modo coerente le migliori pratiche alle AWS risorse perimetrali.

Sicurezza della rete

La connettività sicura tra l'edge industriale e il Cloud AWS è un componente fondamentale per la corretta implementazione dei carichi di lavoro IIo IoT, T e OT nel cloud. Come illustrato nell' AWS SRA, AWS offre diversi modi e modelli di progettazione per stabilire una connessione sicura all' AWS ambiente dalla periferia industriale.

La connessione può essere ottenuta in tre modi:

  • Configurando una connessione VPN sicura AWS su Internet

  • Stabilendo una connessione privata dedicata tramite AWS Direct Connect

  • Utilizzando connessioni TLS sicure agli endpoint AWS IoT pubblici

Queste opzioni forniscono un canale di comunicazione affidabile e crittografato tra la periferia industriale e l' AWS infrastruttura, in linea con le linee guida sulla sicurezza delineate nella Guida alla sicurezza della tecnologia operativa (OT) del National Institute of Standards and Technology (NIST) (NIST SP 800-82 Rev. 3) che giustifica la necessità di «utilizzare connessioni sicure... tra segmenti di rete, ad esempio tra un centro regionale e centri di controllo primari e tra stazione remota e centri di controllo».

Dopo aver stabilito una connessione sicura ai carichi di lavoro in esecuzione AWS e in arrivo Servizi AWS, utilizza gli endpoint del cloud privato virtuale (VPC) ogni volta che è possibile. Gli endpoint VPC ti consentono di connetterti privatamente alle aree regionali supportate Servizi AWS senza utilizzare gli indirizzi IP pubblici di questi. Servizi AWS Questo approccio aiuta ulteriormente a migliorare la sicurezza stabilendo connessioni private tra il VPC e Servizi AWS, ed è in linea con le raccomandazioni del NIST SP 800-82 Rev. 3 per la trasmissione sicura dei dati e la segmentazione della rete.

Puoi configurare le policy degli endpoint VPC per controllare e limitare l'accesso solo alle risorse richieste, applicando il principio del privilegio minimo. Questo aiuta a ridurre la superficie di attacco e minimizzare il rischio di accesso non autorizzato a carichi di lavoro IIo IoT, T e OT sensibili. Se l'endpoint VPC per il servizio richiesto non è disponibile, puoi stabilire una connessione sicura utilizzando TLS sulla rete Internet pubblica. La migliore pratica in questi scenari consiste nell'instradare queste connessioni tramite un proxy TLS e un firewall, come illustrato in precedenza nella sezione Infrastruttura organizzativa - Account di rete.

In alcuni ambienti potrebbe essere necessario inviare dati in una direzione e bloccare fisicamente il traffico nella direzione opposta. AWS Se il tuo ambiente presenta questo requisito, puoi utilizzare diodi di dati e gateway unidirezionali. I gateway unidirezionali sono costituiti da una combinazione di hardware e software. Il gateway è fisicamente in grado di inviare dati in una sola direzione, quindi non è possibile che eventi di sicurezza basati sull'IT o su Internet si ripercuotano sulle reti OT. I gateway unidirezionali possono essere un'alternativa sicura ai firewall. Soddisfano diversi standard di sicurezza industriale, come la North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP), la International Society of Automation and International Electrotechnical Commission (ISA/IEC) 62443, il Nuclear Energy Institute (NEI)08-09, la U.S. Nuclear Regulatory Commission (NRC) 5.71 e CLC/TS 50701. Sono inoltre supportati dall'Industrial Internet Security Framework dell'Industry IoT Consortium, che fornisce indicazioni sulla protezione delle reti di sicurezza e delle reti di controllo con la tecnologia gateway unidirezionale. Il NIST SP 800-82 afferma che l'utilizzo di gateway unidirezionali potrebbe fornire protezioni aggiuntive associate alla compromissione del sistema a livelli o livelli più elevati all'interno dell'ambiente. Questa soluzione consente alle industrie regolamentate e ai settori delle infrastrutture critiche di sfruttare i servizi cloud AWS (come IoT e AI/ML servizi), impedendo al contempo agli eventi remoti di penetrare nuovamente nelle reti industriali protette. I dispositivi OT che si trovano dietro al diodo dati e al gateway unidirezionale devono essere gestiti localmente. La funzione data diode è una funzione correlata alla rete. I diodi di dati e i gateway unidirezionali, una volta implementati nell'ambiente AWS per supportare l'edge industriale IoT, devono essere implementati nell'account di rete Industrial Isolation in modo da essere integrati tra i livelli della rete OT.