能力 1. 提供安全的边缘计算和连接 - AWS 规范性指导
理由安全性注意事项补救措施

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

能力 1. 提供安全的边缘计算和连接

此功能支持 AWS SRA 物联网最佳实践中的最佳实践 3、4 和 5。

责任AWS 共担模式延伸到工业物联网边缘和部署设备的环境。在部署设备的环境(通常称为物联网边缘站点)中,客户的责任比他们在云环境中的责任要广泛得多。物联网边缘的安全是 AWS 客户的责任,包括保护边缘网络、边缘网络边界和边缘网络中的设备;安全地连接到云端;处理边缘设备和设备的软件更新;以及边缘网络记录、监控和审计,这些都是关键示例。 AWS 负责 AWS提供的边缘软件(如 AWS IoT Greengrass 和 Edge)和 AWS IoT SiteWise 边 AWS 缘基础架构(如 AWS Outposts)。

理由

随着工业运营越来越多地采用云技术,人们越来越需要弥合传统 OT 系统和现代 IT 基础设施之间的差距。该功能满足了在边缘进行安全、低延迟处理的必要性,同时还确保了与 AWS Cloud 资源的可靠连接。通过实施边缘网关和安全连接方法,组织可以保持关键工业流程所需的性能和可靠性,同时利用云服务的可扩展性和高级分析功能。

此功能对于在 IIo T 和 OT 环境中保持强大的安全态势也至关重要。OT 系统通常涉及传统设备和协议,这些设备和协议可能缺少内置的安全功能,容易受到网络威胁的攻击。通过整合安全的边缘计算和连接解决方案,组织可以实施关键的安全措施,例如网络分段、协议转换和更靠近数据源的安全隧道。这种方法有助于保护敏感的工业数据和系统,还可以遵守行业特定的安全标准和法规。此外,它还提供了一个用于安全管理和更新边缘设备的框架,从而进一步增强了 T 和 O IIo T 部署的整体安全性和可靠性。

安全性注意事项

在物联网、 IIo T 和 OT 解决方案中实施安全的边缘计算和连接呈现出多方面的风险格局。主要威胁包括 IT 和 OT 系统之间的网络分段不足、传统工业协议中的安全漏洞,以及资源有限的边缘设备的固有局限性。这些因素为威胁传播创造了潜在的切入点和途径。在边缘设备和云服务之间传输敏感的工业数据也可能带来拦截和操纵的风险,不安全的云连接会使系统面临基于互联网的威胁。其他担忧包括工业网络内可能出现横向移动、缺乏对边缘设备活动的可见性、远程基础设施的物理安全风险以及可能引入受损组件的供应链漏洞。总而言之,这些威胁凸显了在工业环境的边缘计算和连接解决方案中对强有力的安全措施的迫切需求。

补救措施

数据保护

要解决数据保护问题,请对传输中的数据和静态数据实施加密。使用安全协议,例如通过 TLS 的 MQTT、HTTPS 和 WebSockets HTTPS。要与物联网设备通信,通常在物联网工业边缘环境中通信,请考虑使用工业协议的安全版本,例如启用安全模式的 CIP 安全、Modbus Secure 和开放平台通信统一架构 (OPC UA)。如果原生不支持安全协议,则使用协议转换器或网关将不安全的协议转换为尽可能靠近数据源的安全协议。对于需要严格控制数据流的关键系统,可以考虑采用单向网关或数据二极管。将带有 OPC UA 安全模式的 AWS IoT SiteWise Edge 网关用于工业数据源,并AWS IoT Greengrass用于安全的本地 MQTT 代理配置。当无法实现协议级安全时,可以考虑使用 VPNs 或其他隧道技术来实现加密叠加层,以保护传输中的数据。

在物联网、 IIo T 和 OT 环境的 AWS SRA 背景下,应在多个层面实施安全的协议使用和转换:

  • 等级 1。通过使用连接到工业数据源的 AWS IoT SiteWise Edge 网关,该数据源支持具有安全模式的 OPC UA。

  • 第 2 级。通过将 AWS IoT SiteWise Edge 网关与支持传统协议的合作伙伴数据源相结合,实现所需的协议转换。

  • 第 3 级。通过对支持的 MQTT 代理使用安全的本地 MQTT 代理配置。 AWS IoT Greengrass

身份和访问管理

实施稳健的身份和访问管理实践,以降低未经授权的访问风险。尽可能使用强身份验证方法,包括多因素身份验证,并应用最低权限原则。对于边缘设备管理,AWS Systems Manager用于安全访问和配置边缘计算资源。使用AWS IoT Device ManagementAWS IoT Greengrass用于物联网设备的安全管理。使用 AWS IoT SiteWise 网关时,请使用网关AWS OpsHub进行安全管理。对于边缘基础架构,可以考虑AWS Outposts将其作为一项完全托管的服务,它始终如一地将最佳实践应用于边缘 AWS 资源。

网络安全

工业边缘和之间的安全连接 AWS Cloud 是在云中成功部署物联网、T 和 O IIo T 工作负载的关键组成部分。如 AWS SRA所示, AWS 它提供了多种方法和设计模式,可以从工业边缘与 AWS 环境建立安全连接。

可以通过以下三种方式之一实现连接:

  • 通过互联网设置安全的 VPN 连接 AWS

  • 通过以下方式建立专用的私有连接 AWS Direct Connect

  • 通过对 AWS IoT 公共端点使用安全 TLS 连接

这些选项在工业边缘和 AWS 基础设施之间提供了可靠的加密通信渠道,符合美国国家标准与技术研究所(NIST)《运营技术安全指南》(NIST SP 800-82 Rev.3)中概述的安全准则,该指南保证需要 在网段之间,例如区域中心和主控制中心之间以及远程站和控制中心之间使用安全连接...”。

与在其中运行的工作负载建立安全连接后 AWS AWS 服务,请尽可能使用虚拟私有云 (VPC) 终端节点。VPC 终端节点使您 AWS 服务 无需使用这些终端节点的公有 IP 地址即可私下连接到支持的区域 AWS 服务。这种方法通过在您的 VPC 和之间建立私有连接进一步帮助增强安全性 AWS 服务,并且符合 NIST SP 800-82 Rev. 3 关于安全数据传输和网络分段的建议。

您可以根据最低权限原则配置 VPC 终端节点策略,仅控制和限制对所需资源的访问。这有助于减少攻击面,并最大限度地降低未经授权访问敏感的 IoT、T 和 O IIo T 工作负载的风险。如果所需服务的 VPC 终端节点不可用,则可以通过公共互联网使用 TLS 建立安全连接。在这种情况下,最佳做法是通过 TLS 代理和防火墙路由这些连接,如前面的 “基础架构 OU — 网络帐户” 部分所示。

某些环境可能要求向一个方向发送数据, AWS 同时物理屏蔽相反方向的流量。如果您的环境有此要求,则可以使用数据二极管和单向网关。单向网关由硬件和软件的组合组成。网关在物理上只能向一个方向发送数据,因此基于 IT 或基于互联网的安全事件不可能转向 OT 网络。单向网关可以安全地替代防火墙。它们符合多项工业安全标准,例如北美电力可靠性公司关键基础设施保护 (NERC CIP)、国际自动化学会和国际电工委员会 (ISA/IEC) 62443、核能研究所 (NEI) 08-09、美国核监管委员会 (NRC) 5.71 和CLC/TS 50701。它们还得到工业物联网联盟的工业互联网安全框架的支持,该框架为使用单向网关技术保护安全网络和控制网络提供了指导。NIST SP 800-82 指出,使用单向网关可以提供与环境中更高级别或更高级别的系统漏洞相关的额外保护。该解决方案使受监管的行业和关键基础设施部门能够利用云服务 AWS (例如物联网和 AI/ML 服务),同时防止远程事件渗透回受保护的工业网络。位于数据二极管和单向网关后面的 OT 设备需要进行本地管理。数据二极管功能是与网络相关的功能。数据二极管和单向网关部署到 AWS 环境中以支持物联网工业边缘时,应部署到工业隔离网络帐户中,以便它们嵌入到OT网络的两级之间。