IoT para a SRA AWS

Esta seção fornece recomendações para usar a IoT com segurança em ambientes de infraestrutura industrial e crítica para melhorar a produtividade e a eficiência de usuários e organizações. Ele se concentra no uso de AWS IoT serviços com base no conjunto holístico de diretrizes da AWS SRA para a implantação de uma variedade de serviços de AWS segurança em um ambiente com várias contas.

Essa orientação se baseia no AWS SRA para habilitar os recursos de IoT em uma estrutura segura e de nível empresarial. Ele abrange os principais controles de segurança, como identidade de dispositivos e inventário de ativos, permissões de IAM, proteção de dados, isolamento de rede, gerenciamento de vulnerabilidades e patches, registro, monitoramento e resposta a incidentes específicos AWS IoT dos serviços.

O público-alvo dessa orientação inclui profissionais de segurança, arquitetos e desenvolvedores responsáveis por integrar com segurança as soluções de IoT em suas organizações e aplicativos.

AWS Melhores práticas de SRA para IoT

Esta seção explora as considerações de segurança e as melhores práticas para cargas de trabalho de IoT adaptadas das melhores práticas descritas na postagem do AWS blog Dez regras de ouro de segurança para soluções industriais de IoT. Essas melhores práticas de AWS SRA para IoT são:

1. Avalie os riscos de segurança cibernética de IIo OT e T.

2. Implemente uma separação estrita entre ambientes IIo OT (ou T) e ambientes de TI.

3. Use gateways para computação de ponta, segmentação de rede, conformidade de segurança e para unir domínios administrativos. Fortaleça os dispositivos de IoT e minimize sua superfície de ataque.

4. Estabeleça uma conexão segura AWS usando AWS Site-to-Site VPNou a AWS Direct Connectpartir da borda industrial. Use endpoints de VPC sempre que possível.

5. Use protocolos seguros sempre que possível. Se você usa protocolos inseguros, converta-os em protocolos padronizados e seguros o mais próximo possível da fonte.

6. Defina mecanismos de atualização apropriados para atualizações de software e firmware.

7. Implemente o gerenciamento do ciclo de vida da identidade do dispositivo. Aplique mecanismos de autenticação e controle de acesso.

8. Proteja os dados de IoT na borda e na nuvem criptografando dados em repouso e em trânsito. Crie mecanismos para compartilhamento seguro de dados, governança e soberania.

9. Implemente mecanismos de auditoria e monitoramento de segurança em OT e IIo T. Gerencie centralmente os alertas de segurança em OT (ou IIo T) e na nuvem.

10. Crie manuais de resposta a incidentes e um plano de continuidade e recuperação de negócios. Teste o plano e os procedimentos.

Para implementar essas melhores práticas, esta orientação abrange os seguintes recursos:

• Capacidade 1. Fornecendo conectividade e computação de ponta seguras (melhores práticas 3, 4 e 5)

• Capacidade 2. Fornecendo uma zona de isolamento industrial entre ambientes (melhor prática 2)

• Capacidade 3. Fornecendo identidades de dispositivos fortes e acesso e gerenciamento seguros de dispositivos (melhores práticas 6 e 7)

• Capacidade 4. Fornecendo proteção e governança de dados (melhores práticas 8)

• Capacidade 5. Fornecendo monitoramento de segurança e resposta a incidentes (melhores práticas 9 e 10)

As seções a seguir desta orientação expandem cada recurso, discutem o recurso e seu uso, abordam as considerações de segurança relacionadas ao recurso e explicam como você pode usar Serviços da AWS e os recursos para abordar as considerações de segurança (remediação).

A arquitetura ilustrada no diagrama a seguir é uma extensão do diagrama AWS SRA descrito anteriormente neste guia. Ele adiciona os seguintes elementos: site do cliente e borda industrial de IoT, conta de zona de isolamento industrial e soluções de segurança de software como serviço (SaaS) de IIo IoT, T ou OT da Partners. AWS

A parte superior do diagrama representa a arquitetura da borda IIo T. Isso está conectado à Nuvem AWS organização na parte inferior, que é construída de acordo com o AWS SRA. Para obter uma descrição de cada conta anotada na AWS organização na parte inferior do diagrama, consulte as seções anteriores deste guia. Observe que a conta da zona de isolamento é tratada como uma conta adicional do Shared Services na estrutura do AWS SRA. Essa conta é usada para implementar serviços de rede e comunicação relacionados à IoT, que são usados por várias contas de carga de trabalho que também contêm processamento relacionado à IoT. A conta da zona de isolamento pode ser considerada equivalente à conta de rede na AWS SRA. Ele é usado para gerenciar processos compartilhados de rede e comunicação que são específicos dos ambientes IIo T edge. Além dos serviços mostrados no diagrama, a conta da zona de isolamento inclui vários serviços de segurança comuns, como AWS Security Hub CSPM GuardDuty, AWS Config Amazon CloudWatch, Amazon e. AWS CloudTrail

Para a maioria dos clientes, uma única AWS organização dedicada às cargas OUs de trabalho de IIo IoT, T e OT é suficiente. Você pode separar os ambientes IIo OT (ou T) dos ambientes de TI usando uma zona de isolamento e os recursos fornecidos com AWS Organizations várias AWS contas e configurações de rede, conforme mostrado na arquitetura de referência. VPCs

Local do cliente e vantagem industrial

O site do cliente e a borda industrial da IoT referem-se à infraestrutura de computação especializada implantada em ambientes industriais e de OT para permitir a coleta, o processamento e a conectividade seguros de dados próximos à fonte de geração de dados. Esse conceito aborda os desafios exclusivos de ambientes de infraestrutura crítica e ambientes industriais e oferece suporte a operações distribuídas em vários locais.

Você pode aplicar o modelo Purdue, que é um modelo de arquitetura de referência para o setor de manufatura, para implementar diferentes níveis no contexto do local do cliente e da borda industrial da seguinte forma:

• Níveis 0-2 — Dispositivos de campo e controle de supervisão local: equipamentos industriais, sensores e atuadores são conectados usando conversores de protocolo industrial e diodos de dados. Em certos casos, os gateways de borda de parceiros que executam o AWS IoT SiteWise Edge são implantados para permitir casos de uso especializados de aquisição e processamento de dados locais no nível 2.

• Nível 3 — Operações do site: dispositivos e sensores de segurança de parceiros podem ser integrados para apoiar a descoberta de ativos, a detecção de vulnerabilidades e o monitoramento da segurança da rede. Os gateways Edge baseados no AWS IoT Greengrass AWS IoT SiteWise Edge são implantados para permitir a aquisição e o processamento locais de dados.

• Nível 3.5 — Zona de isolamento industrial: uma zona de isolamento industrial representa um limite entre TI e TO e controla a comunicação entre a OT e as redes de TI. Serviços de acesso à nuvem e acesso à Internet, como proxies, firewalls e gateways unidirecionais, são implantados nessa camada para mediar a conectividade e os fluxos de dados necessários.

• Níveis 4-5 — Rede de TI: a conectividade segura com a nuvem é estabelecida usando AWS Site-to-Site VPN ou AWS Direct Connect. AWS PrivateLink Os VPC endpoints são usados para acesso privado aos recursos. AWS

AWS organização

Uma OU de cargas de trabalho para cargas de trabalho de IoT IIo, T ou OT é criada junto com outras cargas de trabalho específicas. OUs Essa OU é dedicada a aplicativos que usam AWS IoT serviços relevantes para criar e implantar soluções integradas de IIo IoT, T e OT. A OU contém uma conta de aplicativo (mostrada no diagrama de arquitetura anterior) na qual você hospeda sua solução que fornece a funcionalidade comercial necessária. O agrupamento Serviços da AWS com base no tipo de aplicativo ajuda a aplicar controles de segurança por meio de políticas de controle de serviço específicas e Conta da AWS específicas da OU.

Essa abordagem também facilita a implementação de um forte controle de acesso e menos privilégios. Além dessas contas e UO específicas, a arquitetura de referência inclui contas adicionais OUs e que fornecem recursos básicos de segurança que se aplicam a todos os tipos de aplicativos. As contas de gerenciamento organizacional, ferramentas de segurança, arquivamento de registros e rede são discutidas nas seções anteriores deste guia. Essas contas têm várias adições relacionadas às cargas de trabalho de IoT:

• A conta de rede inclui provisões para AWS Direct Connect AWS Site-to-Site VPN, AWS Transit Gateway e. Ele também oferece a possibilidade de criar uma rede global entre ativos operacionais usando a Nuvem AWS WAN, dependendo da abordagem escolhida para conexão com Nuvem AWS o. Para obter detalhes, consulte a seção Infraestrutura OU — Conta de rede, anteriormente neste guia.

• A conta de isolamento industrial oferece a opção de implantar serviços (como patches, antivírus e serviços de acesso remoto) que, de outra forma, seriam implantados no local do cliente ou na borda industrial da IoT (nível 3.5). Essa conta oferece suporte a cenários que incluem conectividade robusta entre o site, a borda industrial da IoT e o. Nuvem AWS Esses serviços são específicos para atender a borda industrial da IoT e podem ser considerados no lado periférico, em vez do lado da Internet, de um modelo de rede em camadas. 

Os serviços de hospedagem na conta de isolamento industrial AWS fornecem maior flexibilidade, escalabilidade, segurança e recursos de integração em comparação com as soluções locais e permitem um gerenciamento mais eficiente e flexível das operações industriais de ponta. Por exemplo, você pode fornecer acesso de streaming aos seus aplicativos de usuário final usando o Amazon AppStream 2.0 e usar o Amazon GuardDuty Malware Protection for S3 para fornecer recursos de verificação de malware como parte de uma solução segura de troca de arquivos que abrange ambientes de TI e OT. A conta de isolamento industrial usa as construções de conectividade compartilhada na conta de rede, como, por exemplo AWS Transit Gateway, para obter a conectividade necessária com os recursos locais desejados. 

nota

Essa conta de rede é denominada Isolamento Industrial porque serve como um amortecedor entre a borda industrial da IoT e as redes corporativas que funcionam nela Contas da AWS são gerenciadas de acordo com o SRA. AWS Dessa forma, a conta forma um tipo de vantagem entre a borda industrial e a rede corporativa. Isso é semelhante à forma como a conta de rede no AWS SRA serve como um buffer entre as cargas de trabalho em execução Nuvem AWS (nas contas de carga de trabalho) e as redes de TI locais corporativas e da Internet.

Soluções SaaS de IIo IoT, T e OT parceiras

AWS Partner as soluções desempenham um papel crucial para ajudar a aprimorar o monitoramento da segurança e a detecção de ameaças em ambientes de IIo IoT, T, OT e nuvem. Eles complementam os serviços nativos de segurança de ponta e nuvem da IoT AWS e ajudam a fornecer uma postura de segurança mais abrangente por meio de um conjunto de recursos especializados de detecção e monitoramento. A integração desses recursos especializados de monitoramento de segurança de IIo OT e T com as ofertas mais amplas de segurança na nuvem AWS é obtida por meio de serviços como o AWS Security Hub CSPM e o Amazon Security Lake. Você pode implantar essas soluções em suas contas de aplicativos em sua AWS organização. Você também pode usar soluções SaaS hospedadas em outros lugares na Internet e gerenciadas por terceiros. Em alguns casos, essas soluções de terceiros também funcionam AWS. Esse cenário pode facilitar o gerenciamento de permissões baseado em IAM e otimizações de conectividade AWS de rede específicas. Em outros casos, a conectividade com esses serviços é configurada de acordo com os requisitos da solução SaaS.

Essas adições permitem uma arquitetura mais robusta, segura e flexível, especificamente adaptada para ambientes industriais e integrada aos Nuvem AWS AWS IoT serviços e. Os componentes de IoT da arquitetura AWS SRA abordam os desafios exclusivos das configurações industriais, como diversidade de protocolos, requisitos de processamento de ponta industrial e a necessidade de integração perfeita entre sistemas de OT e TI.