本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS SRA 的 IoT
本節提供在工業和關鍵基礎設施環境中安全使用 IoT 的建議,以提高使用者和組織的生產力和效率。其著重於在多帳戶環境中部署一系列 AWS 安全 AWS IoT 服務時,根據 AWS SRA 整體準則使用 服務。
本指南以 AWS SRA 為基礎,在企業級的安全架構中啟用 IoT 功能。它涵蓋裝置身分和資產庫存、IAM 許可、資料保護、網路隔離、漏洞和修補程式管理、記錄、監控和事件回應等 AWS IoT 服務特有的重要安全控制。
本指南的目標受眾包括安全專業人員、架構師和開發人員,他們負責將 IoT 解決方案安全地整合到其組織和應用程式中。
AWS IoT 的 SRA 最佳實務
本節探討適用於 IoT 工作負載的安全考量和最佳實務,這些工作負載是根據 AWS 部落格文章針對工業 IoT 解決方案的十項安全黃金規則中所述的
-
評估 OT 和 IIoT 網路安全風險。
-
實作 OT (或 IIoT) 環境與 IT 環境之間的嚴格區隔。
-
使用閘道進行邊緣運算、網路分割、安全合規,以及橋接管理網域。強化 IoT 裝置並將攻擊面降至最低。
-
AWS 使用 AWS Direct Connect AWS Site-to-Site VPN或從工業邊緣建立與 的安全連線。盡可能使用 VPC 端點。
-
盡可能使用安全通訊協定。如果您使用不安全的通訊協定,請將它們轉換為盡可能接近來源的標準化和安全通訊協定。
-
定義軟體和韌體更新的適當更新機制。
-
實作裝置身分生命週期管理。套用身分驗證和存取控制機制。
-
透過加密靜態和傳輸中的資料,在邊緣和雲端保護 IoT 資料。建立安全資料共用、控管和主權的機制。
-
跨 OT 和 IIoT 部署安全稽核和監控機制。跨 OT (或 IIoT) 和雲端集中管理安全提醒。
-
建立事件回應手冊和業務持續性和復原計畫。測試計劃和程序。
為了實作這些最佳實務,本指南涵蓋下列功能:
-
功能 1。提供安全的邊緣運算和連線能力 (最佳實務 3、4 和 5)
-
功能 2。在環境之間提供工業隔離區域 (最佳實務 2)
-
功能 3. 提供強大的裝置身分和安全的裝置存取和管理 (最佳實務 6 和 7)
-
功能 4. 提供資料保護和管理 (最佳實務 8)
-
功能 5. 提供安全監控和事件回應 (最佳實務 9 和 10)
本指南的下列各節會擴展每個功能、討論功能及其使用方式、涵蓋與功能相關的安全考量,以及說明如何使用 AWS 服務 和 功能來解決安全考量 (修補)。
下圖中說明的架構是本指南先前描述的 AWS SRA 圖表延伸。它新增了以下元素:客戶網站和工業 IoT 邊緣、工業隔離區域帳戶,以及來自 AWS 合作夥伴的 IoT、IIoT 或 OT 軟體即服務 (SaaS) 安全解決方案。
圖表的頂部代表 IIoT 邊緣架構。這連接到下半部 AWS 雲端 的組織,這是根據 SRA 建構的 AWS 。如需圖表 AWS 下方組織中記下的每個帳戶的描述,請參閱本指南的上一節。請注意,隔離區域帳戶會被視為 AWS SRA 結構中的其他共用服務帳戶。此帳戶用於實作 IoT 相關的聯網和通訊服務,這些服務由多個也包含 IoT 相關處理的工作負載帳戶使用。隔離區域帳戶可視為 AWS SRA 中聯網帳戶的對等帳戶。它用於管理 IIoT 邊緣環境特有的共用聯網和通訊程序。除了圖表中顯示的服務之外,隔離區域帳戶還包含數個常見的安全服務,例如 AWS Security Hub CSPM、Amazon GuardDuty AWS Config、Amazon CloudWatch 和 AWS CloudTrail。
對於大多數客戶而言,具有 IoT、IIoT 和 OT 工作負載專用 OUs單一 AWS 組織就已足夠。您可以使用隔離區域和提供的功能 AWS Organizations、多個 AWS 帳戶、VPCs 和聯網組態,將 OT (或 IIoT) 環境與 IT 環境分開,如參考架構所示。
客戶網站和工業邊緣
客戶站點和工業 IoT 邊緣是指部署在工業和 OT 環境的特殊運算基礎設施,可實現接近資料產生來源的安全資料收集、處理和連線。此概念解決了關鍵基礎設施環境和工業設定的獨特挑戰,並支援跨多個站點的分散式操作。
您可以套用 Purdue 模型
-
層級 0-2 – 現場裝置和本機監督控制:使用工業通訊協定轉換器和資料二極管來連接工業設備、感應器和致動器。在某些情況下,會部署執行 AWS IoT SiteWise Edge 的合作夥伴邊緣閘道,以在層級 2 啟用特殊的本機資料擷取和處理使用案例。
-
第 3 級 – 網站操作:可整合合作夥伴設備和安全感應器,以支援資產探索、漏洞偵測和網路安全監控。部署以 AWS IoT Greengrass 和 AWS IoT SiteWise Edge 為基礎的 Edge 閘道,以啟用本機資料擷取和處理。
-
3.5 級 – 工業隔離區域:工業隔離區域代表 IT 和 OT 之間的界限,並控制 OT 和 IT 網路之間的通訊。雲端存取和網際網路存取服務,例如代理、防火牆和單向閘道會部署到此層,以調解所需的連線和資料流程。
-
層級 4-5 – IT 網路:使用 AWS Site-to-Site VPN 或 建立與雲端的安全連線 AWS Direct Connect。 AWS PrivateLink VPC 端點用於 AWS 資源的私有存取。
AWS 組織
IoT、 IoTIIoT 或 OT 工作負載的工作負載 OU 會與其他工作負載特定的 OUs 一起建立。此 OU 專用於使用相關 AWS IoT 服務來建置和部署 IoT、IIoT 和 OT 整合解決方案的應用程式。OU 包含應用程式帳戶 (如先前的架構圖所示),您可以在其中託管提供必要業務功能的解決方案。 AWS 服務 根據應用程式類型分組有助於透過 OU 特定和 AWS 帳戶特定服務控制政策強制執行安全控制。
此方法也可讓您更輕鬆地實作強大的存取控制和最低權限。除了這些特定的 OU 和帳戶之外,參考架構還包含額外的 OUs 和帳戶,提供適用於所有應用程式類型的基礎安全功能。本指南先前章節會討論 TheOrg Management、Security Tooling、Log Archive 和 Networkaccounts。這些帳戶有數個與 IoT 工作負載相關的新增項目:
-
網路帳戶包含 AWS Direct Connect AWS Site-to-Site VPN、 和 的規定 AWS Transit Gateway。它還提供了使用 AWS 雲端 WAN 跨營運資產建立全球網路的可能性,這取決於連接到 的所選方法 AWS 雲端。如需詳細資訊,請參閱本指南稍早的基礎設施 OU – 網路帳戶一節。
-
工業隔離帳戶提供部署服務 (例如修補、防毒和遠端存取服務) 的選項,否則會部署在客戶站點或工業 IoT 邊緣 (3.5 級)。此帳戶支援的情況包括網站、工業 IoT 邊緣和 之間的強大連線 AWS 雲端能力。這些服務專用於服務 IoT 工業邊緣,可以在邊緣考慮,而不是分層聯網模型的網際網路端。
與內部部署解決方案相比,在 的工業隔離帳戶中託管服務 AWS 可提供增強的靈活性、可擴展性、安全性和整合功能,並實現更有效率且靈活的工業邊緣操作管理。例如,您可以使用 Amazon AppStream 2.0
注意
此聯網帳戶會標記為工業隔離,因為它在工業 IoT 邊緣與根據 AWS SRA 管理 AWS 帳戶 的公司網路之間做為緩衝區。以這種方式,帳戶會在工業邊緣和公司聯網之間形成一種邊緣類型。這類似於 AWS SRA 中的網路帳戶如何在 AWS 雲端 (在工作負載帳戶中) 和網際網路和公司內部部署 IT 網路中執行的工作負載之間做為緩衝區。
合作夥伴 IoT、IIoT 和 OT SaaS 解決方案
AWS Partner 解決方案在協助增強 IoT、IIoT、OT 和雲端環境中的安全監控和威脅偵測方面扮演重要角色。它們補充了來自 的原生 IoT 邊緣和雲端安全服務, AWS 並透過一組專門的偵測和監控功能,協助提供更全面的安全狀態。透過 Security Hub CSPM 和 Amazon Security Lake 等 AWS 服務, AWS 實現這些專用 OT 和 IIoT 安全監控功能與 中更廣泛的雲端安全產品整合。您可以在組織中的應用程式帳戶中部署這些解決方案 AWS 。您也可以使用在網際網路上其他位置託管並由第三方管理的 SaaS 解決方案。在某些情況下,這些第三方解決方案也會在 上執行 AWS。此案例可以促進以 IAM 為基礎的許可管理和 AWS特定的網路連線最佳化。在其他情況下,這些服務的連線是根據 SaaS 解決方案的需求設定。
這些新增項目可實現更強大、安全且靈活的架構,專為工業環境量身打造,並與 AWS 雲端 和 AWS IoT 服務整合。 AWS SRA 架構的 IoT 元件可解決工業設定的獨特挑戰,例如通訊協定多樣性、工業邊緣處理需求,以及 OT 和 IT 系統之間無縫整合的需求。
