Bewährte Methoden für die IIC-Endpunktsicherheit

Vor kurzem hat das Industrial Internet Consortium ein interessantes Papier mit den empfohlenen Sicherheitsempfehlungen für den Endpoint veröffentlicht.

Barbara IoT freut sich immer über diese Art von Initiativen, da wir der festen Überzeugung sind, dass die IoT-Sicherheit viel zu tun hat und das Gerät wahrscheinlich das derzeit schwächste Glied in der IoT-Wertschöpfungskette ist. Und wie wir wissen, ist die Kette genauso stark wie das schwächste Glied. Daher wäre die Sicherung von Geräten ein Muss (sofern dies nicht bereits geschehen ist).

Dieser Artikel behandelt die Grundlagen der IIC-Empfehlungen und ordnet sie der Barbara Software Platform zu, einer sicheren Lösung für den Lebenszyklus von IoT-Geräten. Die folgende Tabelle fasst die Compliance-Matrix zusammen:

Aber lasst uns ins Detail gehen ...

Sicherheitsstufen:

IIC definiert drei Sicherheitsstufen, Sicherheitsstufe Basic (SLB), Sicherheitsstufe Enhanced (SLE) und Sicherheitsstufe Critical (SLC), entsprechend den Sicherheitsstufen 2, 3 und 4 gemäß IEC 62443 3-3. Grundstufe schützt vor „vorsätzlichen Verstößen mit einfachen Mitteln bei geringen Ressourcen“. Ein verbessertes Level schützt unser System vor "hoch entwickelten Mitteln mit moderaten Ressourcen". Die kritische Ebene erhöht den Schutz für „hoch entwickelte Mittel mit erweiterten Ressourcen“. Abhängig von der Anwendung und den Umständen müssen Sie Ihren Endpunkt mit der entsprechenden Sicherheitsstufe schützen.

Basierend auf diesen Sicherheitsstufen schlägt IIC drei verschiedene Architekturen vor, die auf offenen Standards basieren und zwischen Endpunkten mit mehreren Anbietern und Plattformen interoperabel sein sollten, um als sicher zu gelten.

IIC schlug Architekturen vor

Gehen wir näher auf diese Komponenten ein, beschreiben sie genauer und finden heraus, wie Barbara Software Platform die IIC-Richtlinien erfüllt.

Wurzel des Vertrauens:

Root of Trust (RoT) ist die Basis für jede Endpoint-Sicherheit und bietet Funktionen wie die Endpoint-Identität und die Bestätigung der Identität und Integrität von Software und Hardware. Wie Sie sich vorstellen können, ist der Endpunkt so stark wie der Root of Trust, sodass eine sichere Implementierung des Root of Trust erforderlich ist.

Insbesondere behauptet IIC, dass Root of Trust für verbesserte und kritische Sicherheitsstufen auf Hardware-Basis implementiert werden sollte. Um den IIC-Empfehlungen zu entsprechen, benötigen wir möglicherweise einen bestimmten Hardware-Sicherheitschip (oder einen ähnlichen) mit Manipulationssicherheit.

In Bezug auf Root of Trust vereint die Barbara Software Platform alle Sicherheitsfunktionen, um Root of Trust zu stärken. Unser Software-Stack verwendet eine in Privatbesitz befindliche PKI (Public Key Infrastructure basierend auf Public Key Cryptography Standards) und stellt die entsprechenden Hooks bereit, um eine einfache Integration in Trusted Platform Modules Ihrer Wahl zu ermöglichen.

Endpunktidentität:

Die Endpunktidentität ist eine grundlegende Komponente zum Erstellen der meisten Sicherheitsfunktionen. Gemäß IIC-Empfehlungen ist die PKI-Unterstützung (Public Key Infrastructure) obligatorisch, um grundlegende, erweiterte und kritische Ebenen abzudecken. Es wird außerdem empfohlen, ein Open Standard-Zertifikatverwaltungsprotokoll für die Ausstellung und Verwaltung von Zertifikaten von einer internen oder externen Zertifizierungsstelle (Certificate Authority) zu implementieren.

Wie bereits erwähnt, enthält die Barbara Software Platform eine eigene PKI, die auf PKCS basiert (Freeipa, www.freeipa.org/). FreeIPA ist eine integrierte Identitäts- und Authentifizierungslösung, die zentralisierte Authentifizierungs-, Autorisierungs- und Kontoinformationen bietet. Wie von IIC gefordert, basiert FreeIPA auf bekannten Open Source-Komponenten und Standardprotokollen.

Sicherer Startvorgang:

Ein vertrauenswürdiges Secure Boot-System, das das Einschalten des Endpunkts kryptografisch schützt, ist wiederum eine Voraussetzung für grundlegende, erweiterte und kritische Ebenen. Gemäß den Best Practices von IIC können dies kryptografische Hashes sein, die auf PKCS (Public Key Cryptography Standards) basieren. Auf diese Weise können wir sicher sein, dass Software ohne die richtigen Schlüssel das Gerät booten kann. Die Barbara Software Platform kann mit vertretbarem Aufwand auf Hardware-Boards portiert werden, die einen sicheren Start unterstützen.

Kryptografiedienste und sichere Kommunikation:

Die Verwendung der Kryptografie während des Datentransports (in Bewegung), zur Datenspeicherung (in Ruhe) und für Anwendungen (in Verwendung) ist eine klare Anforderung für die drei oben genannten Sicherheitsstufen (Basic, Enhanced, Critical). Folgende Funktionen sind für einen solchen Schutz erforderlich:

  • Kryptografische Algorithmen basierend auf von NIST / FIPS validierten Standards.
  • Asymmetrische und symmetrische Cipher Suites, Hashing-Funktionen und Zufallszahlen. Generatoren, die stark genug sind und auf PKCS (Public Key Cryptography Standards) basieren
  • Im Feld Update-Fähigkeit von kryptografischen Algorithmen, um mögliche Schwachstellen abdecken zu können.
  • Richtlinienbasierte Steuerung der Verwendung kryptografischer Funktionen durch Anwendungen, um die Verwendung nicht sicherer Kryptografie zu vermeiden.
  • Interoperabilität von Kryptoschlüsseln und Zertifikaten auf Systemen mehrerer Anbieter.

Die Barbara Software Platform implementiert mehrere Funktionen, die die Qualität der Kryptografiedienste gewährleisten. Standardmäßig wird LUKS verwendet, der Standard für die LINUX-Festplattenverschlüsselung. LUKS ist offen, daher ist es leicht zu prüfen und basiert wie empfohlen auf PKCS.

Auf der Datentransportseite enthält Barbara OS die erforderlichen Bibliotheken für die Kommunikation unter Verwendung von IoT-Standardanwendungsprotokollen über verschlüsselten Transport (TLS und DTLS).

Darüber hinaus ist für die drei definierten Ebenen ein sicherer End-to-End-Kommunikationsstack erforderlich. Dieser Kommunikationsstack sollte Unterstützung für Authentifizierung, geschützte Konnektivität, Endpoint-Firewall und die Einbeziehung sicherer Transportprotokolle (TLS, DTLS, SSH…) enthalten. Alle diese Funktionen sind in der Barbara Software Platform enthalten, sodass ALLE Barbara-Kommunikationen authentifiziert und verschlüsselt sind.

Endpunktkonfiguration und -verwaltung

Ein skalierbares System zum Aktualisieren des Betriebssystems, der Anwendungen und / oder der Konfiguration des Geräts ist erforderlich, um die erweiterten und kritischen Ebenen zu erfüllen, wobei zu berücksichtigen ist, dass möglicherweise mehrere Millionen Endpunkte gleichzeitig aktualisiert werden müssen. Natürlich sollten alle diese Vorgänge in einer sicheren Umgebung ausgeführt werden, einschließlich einer zertifikatbasierten Validierung zwischen der Entität, die das Update bereitstellt, und dem Endpunkt, der es empfängt.

In diesem Zusammenhang umfasst die Barbara Software Platform das Barbara Panel. Barbara Panel ist die serverseitige Lösung zum Verwalten aller Endpunkte einer IoT-Bereitstellung. Es bietet eine einfache und zentralisierte Konsole für das OTA-Update-Management (Over The Air), die Geräteüberwachung und das Konfigurationsmanagement. Alle diese Funktionen werden in einer erstklassigen Sicherheitsumgebung angeboten.

Kontinuierliche Überwachung

Die Echtzeitüberwachung des Endpunkts ist laut IIC eine Voraussetzung für die kritische Sicherheitsstufe. Dies würde es dem Benutzer ermöglichen, nicht autorisierte Änderungen in der Konfiguration zu kontrollieren und zu verhindern und die Kontrolle auf Anwendungsebene zu haben, um nicht autorisierte Aktivitäten zu erkennen und zu verhindern, wie die Verwendung von unsicheren Chiffren, die das System gefährden können

Barbara Panel enthält ein Warnsystem, mit dem der Benutzer vordefinierte Sicherheitswarnungen erhalten und eigene Warnmeldungen definieren und an die Endpunkte senden kann.

Richtlinien- und Aktivitäts-Dashboard

Um Critical Level zu erfüllen, müssen Endpunkte remote verwaltet werden können. Der Systemadministrator sollte in der Lage sein, Richtlinien so zu pushen und auszuführen, dass die korrekte Verteilung der Richtlinien über das Netzwerk gewährleistet ist, und auf diese Weise als wirksames Sicherheitsgerüst fungieren.

Mit Barbara Panel können Deployment Manager Endpoint-Aktivitäten überwachen und Sicherheitsrichtlinien basierend auf den erfassten Informationen definieren und weitergeben. Beispielsweise können neue Richtlinien neue Regeln in der oben genannten Firewall implementieren, wenn verdächtige Kommunikationsmuster erkannt werden.

Systeminformations- und Ereignisverwaltung

In Verbindung mit dem vorherigen Absatz ist die Fähigkeit, Ereignisprotokolle zu erfassen und Richtlinien basierend auf den Informationen aus den Protokollen zu definieren und zu verteilen, ebenfalls eine Voraussetzung für die kritische Ebene. Es wird empfohlen, diese Verwaltungsvorgänge mit Datenmodellen oder erweiterbaren Formaten wie der REST-API oder JSON durchzuführen.

Das Protokollierungssystem der Barbara Software Platform bietet Systemadministratoren umfangreiche Informationen, die für die Erstellung von Sicherheitsrichtlinien verwendet werden.

Fazit

Barbara IoT unternimmt große Anstrengungen, um ein sicheres Produkt zu entwickeln. Ein Produkt, das in Bezug auf industrielle Sicherheit in den anspruchsvollsten Szenarien eingesetzt werden kann. Wir sind der Meinung, dass diese Art von Initiativen wie die IIC das gesamte Ökosystem der Branche unterstützen kann, indem sie das Vertrauen fördern und alle Akteure innerhalb des Ökosystems stärken.

Verweise:

  • http://www.iiconsortium.org/
  • Best Practices für die IIC-Endpunktsicherheit; IIC: WHT: IN17: V1.0: PB: 20180312 Steve Hanna, Srinivas Kumar, Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • Was Benutzer über Full Disk Encryption basierend auf LUKS, Simone Bossi und Andrea Visconti wissen sollten; Labor für Kryptographie und Kodierung (CLUB), Institut für Informatik, Universität Mailand http://www.club.di.unimi.it/

Dieser Beitrag wurde ursprünglich am 6. Juni 2018 auf barbaraiot.com veröffentlicht. Wenn er Ihnen gefällt und Sie ähnliche Inhalte erhalten möchten, abonnieren Sie unseren Newsletter