Capacidade 4. Fornecendo proteção e governança de dados - AWS Orientação prescritiva
LógicaConsiderações sobre segurançaRemediações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Capacidade 4. Fornecendo proteção e governança de dados

Esse recurso suporta a melhor prática 8 das melhores práticas da AWS SRA para IoT.

A capacidade 4 aborda a necessidade crítica de proteger os dados de IIo IoT e T em todo o seu ciclo de vida, desde dispositivos periféricos até sistemas de armazenamento e processamento em nuvem. Ele engloba mecanismos de criptografia robustos para dados em repouso e dados em trânsito, além de estabelecer práticas completas de governança de dados.

Lógica

Os sistemas industriais podem gerar, processar e armazenar grandes quantidades de informações confidenciais, incluindo processos de fabricação proprietários, dados de desempenho de equipamentos e telemetria operacional crítica. O acesso ou a manipulação não autorizados desses dados podem resultar em consequências significativas que vão desde o roubo de propriedade intelectual até interrupções operacionais e incidentes de segurança. A implementação de práticas robustas de criptografia e governança de dados aborda esses riscos diretamente. Ele ajuda a proteger ativos de informações valiosos e ajuda a garantir a continuidade das operações industriais.

Considerações sobre segurança

A implementação de medidas robustas de proteção e governança de dados aborda vários riscos de segurança em ambientes de IIo IoT, T e OT. As principais preocupações incluem o acesso não autorizado a dados confidenciais armazenados em dispositivos de IoT e gateways de borda e a interceptação de dados durante a transmissão entre dispositivos e sistemas em nuvem.

Remediações

Proteção de dados

Criptografia de dados em repouso: as informações armazenadas em dispositivos implantados, como sensores ou câmeras, podem parecer inofensivas, mas quando o controle físico de um dispositivo não é garantido, essas informações podem ser alvo de agentes não autorizados. Os exemplos incluem vídeos em cache em câmeras de consumo, modelos proprietários de aprendizado de máquina (ML) em aplicações industriais e dados de configuração para ambientes operacionais. Para dispositivos implantados, a melhor prática é criptografar todos os dados armazenados em repouso quando possível. Isso inclui:

  • Armazenamento de dispositivos: criptografe o armazenamento local em dispositivos de IoT usando criptografia baseada em hardware (quando disponível) ou criptografia de software forte.

  • Gateways de borda: implemente criptografia de disco completo em gateways de borda e servidores locais.

  • Armazenamento em nuvem: use serviços de criptografia AWS gerenciados para dados armazenados na nuvem, conforme descrito na AWS KMS seção na conta do aplicativo da AWS SRA.

Implemente mecanismos para limpar as informações armazenadas nos dispositivos. Isso pode ser necessário quando os dispositivos são reutilizados ou vendidos e mudam de propriedade.

Criptografia de dados em trânsito: criptografe todos os dados em trânsito, incluindo sensores e dispositivos, dados de administração, provisionamento e implantação. Quase todos os dispositivos de IoT modernos têm a capacidade de realizar a criptografia do tráfego de rede, portanto, aproveite essa capacidade e proteja as comunicações do plano de dados e do plano de controle. Essa prática ajuda a garantir a confidencialidade dos dados e a integridade dos sinais de monitoramento. Para protocolos que não podem ser criptografados, considere se um dispositivo de borda mais próximo do ativo de IoT pode aceitar a comunicação e convertê-la em um protocolo seguro antes de enviá-la para fora do perímetro local.

As principais práticas incluem:

  • Use TLS para todas as comunicações MQTT e HTTP (ou seja, use MQTTS e HTTPS). As comunicações seguras são recomendadas independentemente do caminho de roteamento do pacote de rede, esteja ele confinado ao AWS backbone ou não.

  • Implemente o MQTT seguro para mensagens de IoT, inclusive na borda.

  • Use AWS Site-to-Site VPN, AWS PrivateLink, e AWS Direct Connect para comunicação segura entre componentes locais e. AWS Esses serviços fornecem roteamento de rede ou encapsulamento de pacotes mais previsíveis em comparação com endpoints de API acessíveis pela Internet.