功能 1。提供安全的邊緣運算和連線能力 - AWS 方案指引
理由安全考量修復

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

功能 1。提供安全的邊緣運算和連線能力

此功能支援來自 AWS IoT SRA 最佳實務的最佳實務 3、4 和 5。

AWS 共同責任模型延伸到工業 IoT 邊緣,以及部署裝置的環境。在部署裝置的環境中,通常稱為 IoT 節點,客戶的責任比他們在雲端環境中的責任還要廣泛。IoT 邊緣的安全性是 AWS 客戶的責任,包括保護邊緣網路、邊緣網路周邊和邊緣網路中的裝置;安全地連線至雲端;處理邊緣設備和裝置的軟體更新;以及邊緣網路記錄、監控和稽核等重要範例。 AWS 負責 AWS提供邊緣軟體,例如 AWS IoT Greengrass 和 AWS IoT SiteWise Edge,以及 AWS 邊緣基礎設施 AWS Outposts。

理由

隨著工業營運越來越採用雲端技術,越來越需要彌補傳統 OT 系統和現代 IT 基礎設施之間的差距。此功能可解決在邊緣進行安全、低延遲處理的必要性,同時確保與 AWS 雲端 資源的強大連線能力。透過實作邊緣閘道和安全連線方法,組織可以維持關鍵工業程序所需的效能和可靠性,同時利用雲端服務的可擴展性和進階分析功能。

此功能對於在 IIoT 和 OT 環境中維持強大的安全狀態也至關重要。OT 系統通常涉及舊版裝置和通訊協定,這些裝置和通訊協定可能缺乏內建的安全功能,且容易受到網路威脅的影響。透過整合安全邊緣運算和連線解決方案,組織可以實作重要的安全措施,例如網路分割、通訊協定轉換,以及更接近資料來源的安全通道。這種方法有助於保護敏感的工業資料和系統,也能夠符合產業特定的安全標準和法規。此外,它還提供了一個架構,用於安全地管理和更新邊緣裝置,進一步增強 IIoT 和 OT 部署的整體安全性和可靠性。

安全考量

在 IoT、IIoT 和 OT 解決方案中實作安全邊緣運算和連線,呈現多面向的風險環境。關鍵威脅包括 IT 和 OT 系統之間的網路分割不足、傳統工業通訊協定中的安全弱點,以及資源有限的邊緣裝置的固有限制。這些因素會建立威脅傳播的潛在進入點和途徑。在邊緣裝置和雲端服務之間傳輸敏感的工業資料,也可能會帶來攔截和操作的風險,不安全的雲端連線可能會讓系統暴露於網際網路型威脅。其他考量包括工業網路內橫向移動的可能性、對邊緣裝置活動缺乏可見性、遠端基礎設施的實體安全風險,以及可能導致元件遭到入侵的供應鏈漏洞。這些威脅共同強調了工業環境在邊緣運算和連線解決方案中強健安全措施的關鍵需求。

修復

資料保護

若要解決資料保護問題,請針對傳輸中和靜態資料實作加密。使用安全通訊協定,例如 MQTT over TLS、HTTPS 和 WebSockets over HTTPS。對於與 IoT 裝置以及通常在 IoT 工業邊緣環境中的通訊,請考慮使用安全版本的工業通訊協定,例如 CIP Security、Modbus Secure 和啟用安全模式的開放平台通訊統一架構 (OPC UA)。當原生不支援安全通訊協定時,請採用通訊協定轉換器或閘道,將不安全的通訊協定轉譯為盡可能靠近資料來源的安全通訊協定。對於需要嚴格資料流程控制的關鍵系統,請考慮實作單向閘道或資料二極管。將 AWS IoT SiteWise Edge 閘道與 OPC UA 安全模式用於工業資料來源,並將 AWS IoT Greengrass用於安全的本機 MQTT 代理程式組態。當通訊協定層級的安全性無法使用時,請考慮使用 VPNs或其他通道技術來實作加密浮水印,以保護傳輸中的資料。

在適用於 IoT、IIoT 和 OT 環境的 AWS SRA 環境中,應在多個層級實作安全通訊協定使用和轉換:

  • 第 1 級。透過使用連線至支援 OPC UA 的工業資料來源的 AWS IoT SiteWise Edge 閘道搭配安全模式。

  • 第 2 級。透過使用 AWS IoT SiteWise Edge 閘道搭配支援舊版通訊協定的合作夥伴資料來源,以實現所需的通訊協定轉換。

  • 第 3 級。搭配透過 支援的 MQTT 代理程式使用安全的本機 MQTT 代理程式組態 AWS IoT Greengrass。

身分與存取管理

實作強大的身分和存取管理實務,以降低未經授權的存取風險。使用強大的身分驗證方法,包括盡可能進行多重要素驗證,並套用最低權限原則。針對邊緣裝置管理,請使用 AWS Systems Manager 安全存取和設定邊緣運算資源。使用 AWS IoT Device ManagementAWS IoT Greengrass 安全管理 IoT 裝置。當您使用 AWS IoT SiteWise 閘道時,請採用 AWS OpsHub進行安全管理。對於邊緣基礎設施,請將 AWS Outposts視為全受管服務,持續將最佳實務套用至邊緣 AWS 的資源。

網路安全

工業邊緣與 之間的安全連線, AWS 雲端 是成功部署雲端 IoT、IIoT 和 OT 工作負載的關鍵元件。如 AWS SRA 所示, AWS 提供多種方式和設計模式,以從工業邊緣建立與 AWS 環境的安全連線。

連線可以透過以下三種方式之一達成:

  • 透過網際網路設定安全 VPN AWS 連線至

  • 透過 建立專用私有連線 AWS Direct Connect

  • 使用 AWS IoT 公有端點的安全 TLS 連線

這些選項在工業邊緣和 AWS 基礎設施之間提供可靠且加密的通訊通道,以符合美國國家標準技術研究所 (NIST) 操作技術指南 (OT) 安全性 (NIST SP 800-82 修訂版 3) 中概述的安全準則,該指南保證了「在區域中心和主要控制中心之間以及遠端工作站和控制中心之間使用安全連線...」的需求。

與在 AWS 和 中執行的工作負載建立安全連線後 AWS 服務,請盡可能使用虛擬私有雲端 (VPC) 端點。VPC 端點可讓您私下連線至支援的 Regional, AWS 服務 而無需使用這些端點的公有 IP 地址 AWS 服務。此方法透過在您的 VPC 與 之間建立私有連線,進一步協助增強安全性 AWS 服務,並符合 NIST SP 800-82 修訂版 3 的安全資料傳輸和網路分割建議。

您可以設定 VPC 端點政策,以控制和限制對所需資源的存取,並套用最低權限原則。這有助於減少攻擊面,並將未經授權存取敏感 IoT、IIoT 和 OT 工作負載的風險降至最低。如果無法使用所需服務的 VPC 端點,您可以透過公有網際網路使用 TLS 來建立安全連線。此類案例的最佳實務是透過 TLS 代理和防火牆路由這些連線,如先前 Infrastructure OU – 網路帳戶一節所示。

有些環境可能需要將資料以某個方向 AWS 傳送到 ,同時以相反方向實際封鎖流量。如果您的環境有此需求,您可以使用資料二極體和單向閘道。單向閘道由硬體和軟體的組合組成。閘道實際上只能以一個方向傳送資料,因此沒有 IT 型或網際網路型安全事件進入 OT 網路的可能性。單向閘道可以是防火牆的安全替代方案。它們符合多種工業安全標準,例如北美電力可靠性公司關鍵基礎設施保護 (NERC CIP)國際自動化協會和國際電工委員會 (ISA/IEC) 62443核能研究所 (NEI) 08-09美國核能監管委員會 (NRC) 5.71CLC/TS 50701產業 IoT Consortium 的工業網路安全架構也支援這些架構,提供使用單向閘道技術保護安全網路和控制網路的指引。NIST SP 800-82 指出,使用單向閘道可能會提供與環境內更高層級或層的系統入侵相關的額外保護。此解決方案可讓受監管的產業和關鍵基礎設施產業利用 AWS (例如 IoT 和 AI/ML 服務) 上的雲端服務,同時防止遠端事件滲透回受保護的工業網路。資料二極體和單向閘道後方的 OT 裝置需要本機管理。資料二極體函數是與網路相關的函數。在部署到 AWS 環境以支援 IoT 工業邊緣時,資料二極管和單向閘道應部署到工業隔離聯網帳戶中,以便在 OT 網路的關卡之間嵌入。