翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
機能 1。安全なエッジコンピューティングと接続の提供
この機能は、AWS IoT の SRA ベストプラクティスのベストプラクティス 3、4、5 をサポートしています。
責任AWS 共有モデルは
根拠
産業オペレーションがクラウドテクノロジーを採用するにつれて、従来の OT システムと最新の IT インフラストラクチャのギャップを埋める必要性が高まっています。この機能は、 AWS クラウド リソースへの堅牢な接続を確保しながら、エッジでの安全で低レイテンシーの処理の必要性に対処します。エッジゲートウェイと安全な接続方法を実装することで、組織はクラウドサービスのスケーラビリティと高度な分析機能を活用しながら、重要な産業プロセスに必要なパフォーマンスと信頼性を維持できます。
この機能は、IIoT および OT 環境で強力なセキュリティ体制を維持する上でも不可欠です。OT システムには、組み込みのセキュリティ機能がなく、サイバー脅威に対して脆弱になる可能性のあるレガシーデバイスやプロトコルが含まれることがよくあります。安全なエッジコンピューティングと接続ソリューションを組み込むことで、組織はネットワークセグメンテーション、プロトコル変換、データソースに近い安全なトンネリングなどの重要なセキュリティ対策を実装できます。このアプローチは、機密性の高い産業データやシステムを保護するだけでなく、業界固有のセキュリティ標準や規制への準拠にも役立ちます。さらに、エッジデバイスを安全に管理および更新するためのフレームワークを提供し、IIoT および OT デプロイの全体的なセキュリティと信頼性をさらに強化します。
セキュリティに関する考慮事項
IoT、IIoT、OT ソリューションでの安全なエッジコンピューティングと接続の実装は、多面的なリスクの状況を示しています。主な脅威には、IT システムと OT システム間のネットワークセグメンテーションが不十分であること、レガシー産業プロトコルのセキュリティ上の弱点、リソースが限られているエッジデバイスの固有の制限などがあります。これらの要因は、脅威の伝播の潜在的なエントリポイントと手段を作成します。エッジデバイスとクラウドサービス間で機密データを送信すると、傍受や操作のリスクも生じ、安全でないクラウド接続によってシステムがインターネットベースの脅威にさらされる可能性があります。その他の懸念事項には、産業ネットワーク内での水平移動の可能性、エッジデバイスアクティビティの可視性の欠如、リモートに配置されたインフラストラクチャの物理的なセキュリティリスク、コンポーネントが侵害される可能性のあるサプライチェーンの脆弱性などがあります。まとめると、これらの脅威は、産業環境向けのエッジコンピューティングおよび接続ソリューションにおける堅牢なセキュリティ対策の重要な必要性を強調しています。
修復
データ保護
データ保護の懸念に対処するには、転送中および保管中のデータの暗号化を実装します。MQTT over TLS、HTTPS、WebSockets over HTTPS などの安全なプロトコルを使用します。IoT デバイスとの通信、および一般的に IoT 産業用エッジ環境内では、セキュリティモードが有効になっている CIP Security、Modbus Secure、Open Platform Communications Unified Architecture (OPC UA) などの産業用プロトコルの安全なバージョンを使用することを検討してください。安全なプロトコルがネイティブにサポートされていない場合は、プロトコルコンバータ
IoT、IIoT、OT 環境向けの AWS SRA のコンテキストでは、安全なプロトコルの使用と変換を複数のレベルで実装する必要があります。
-
レベル 1。セキュリティモードで OPC UA をサポートする産業用データソースに接続された AWS IoT SiteWise Edge ゲートウェイを使用する。
-
レベル 2。 AWS IoT SiteWise Edge ゲートウェイをレガシープロトコルをサポートするパートナーデータソースと組み合わせて使用して、必要なプロトコル変換を実現します。
-
レベル 3。でサポートされている MQTT ブローカーで安全なローカル MQTT ブローカー設定を使用する AWS IoT Greengrass。
ID およびアクセス管理
堅牢なアイデンティティとアクセス管理プラクティスを実装して、不正アクセスのリスクを軽減します。可能であれば多要素認証を含む強力な認証方法を使用し、最小特権の原則を適用します。エッジデバイス管理では、エッジコンピューティングリソースへの安全なアクセスと設定AWS Systems Manager
ネットワークセキュリティ
産業エッジと 間の安全な接続 AWS クラウド は、クラウドへの IoT、IIoT、OT ワークロードのデプロイを成功させるための重要なコンポーネントです。 AWS SRA に示すように、 AWS は複数の方法と設計パターンを提供し、産業エッジから AWS 環境への安全な接続を確立します。
接続は、次の 3 つの方法のいずれかで実現できます。
-
インターネット AWS 経由で への安全な VPN 接続をセットアップする
-
を介して専用プライベート接続を確立する AWS Direct Connect
-
AWS IoT パブリックエンドポイントへの安全な TLS 接続を使用する
これらのオプションは、米国国立標準技術研究所 (NIST) 運用技術 (OT) セキュリティガイド (NIST SP 800-82 Rev. 3) に概説されているセキュリティガイドラインに従って、産業エッジと AWS インフラストラクチャ間の信頼性が高く暗号化された通信チャネルを提供します。このガイドラインでは、「リージョンセンターとプライマリコントロールセンター間、リモートステーションとコントロールセンター間など、ネットワークセグメント間で安全な接続 ... を使用する必要があることを保証しています。https://csrc.nist.gov/pubs/sp/800/82/r3/final
AWS および で実行されているワークロードへの安全な接続を確立したら AWS のサービス、可能な限り Virtual Private Cloud (VPC) エンドポイントを使用します。VPC エンドポイントを使用すると、これらのパブリック IP アドレスを使用 AWS のサービス せずに、サポートされているリージョンにプライベートに接続できます AWS のサービス。このアプローチは、VPC と の間にプライベート接続を確立することでセキュリティをさらに強化し AWS のサービス、安全なデータ転送とネットワークセグメンテーションに関する NIST SP 800-82 Rev. 3 の推奨事項と一致します。
最小権限の原則を適用して、必要なリソースのみへのアクセスを制御および制限するように VPC エンドポイントポリシーを設定できます。これにより、攻撃対象領域を減らし、機密性の高い IoT、IIoT、OT ワークロードへの不正アクセスのリスクを最小限に抑えることができます。必要なサービスの VPC エンドポイントが利用できない場合は、パブリックインターネット経由で TLS を使用して安全な接続を確立できます。このようなシナリオのベストプラクティスは、「インフラストラクチャ OU – ネットワークアカウント」セクションで前述したように、TLS プロキシとファイアウォールを介してこれらの接続をルーティングすることです。
一部の環境では、トラフィックを逆方向に物理的にブロックしながら、一方向にデータを AWS に送信する必要がある場合があります。環境にこの要件がある場合は、データダイオードと一方向ゲートウェイを使用できます。単方向ゲートウェイは、ハードウェアとソフトウェアの組み合わせで構成されます。ゲートウェイは物理的に一方向にのみデータを送信できるため、IT ベースまたはインターネットベースのセキュリティイベントが OT ネットワークにピボットする可能性はありません。一方向ゲートウェイは、ファイアウォールの安全な代替手段として使用できます。これらは、North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP)
