IICエンドポイントセキュリティのベストプラクティス

ごく最近、Industrial Internet Consortiumは、エンドポイント向けの推奨セキュリティベストプラクティスに関する興味深い論文をリリースしました。

Barbara IoTは、この種のイニシアチブで常に興奮しています。IoTセキュリティには多くの作業が必要であり、おそらくデバイスはIoTバリューチェーンに現在存在する最も弱いリンクだと強く信じています。そして、私たちが知っているように、チェーンは最も弱いリンクと同じくらい強いので、デバイスを保護する必要があります(まだない場合)。

この記事では、IICの推奨事項の基本を説明し、IoTデバイスのライフサイクルの安全なソリューションであるBarbara Software Platformにそれらをマップします。次の表は、コンプライアンスマトリックスをまとめたものです。

しかし、詳細に入りましょう…。

セキュリティレベル:

IICでは、IEC 62443 3–3で定義されているセキュリティレベル2、3、4に対応する3つのセキュリティレベル、セキュリティレベルベーシック(SLB)、セキュリティレベルエンハンスト(SLE)、セキュリティレベルクリティカル(SLC)を定義しています。基本レベルは、「リソースの少ない単純な手段を使用した意図的な違反」から保護します。拡張レベルは、「適度なリソースを備えた高度な手段」からシステムを保護します。クリティカルレベルは、「拡張されたリソースを備えた洗練された手段」の保護を提供します。アプリケーションと状況に応じて、適切なセキュリティレベルでエンドポイントを保護する必要があります。

このセキュリティレベルに基づいて、IICは、オープンスタンダードに基づいて、安全と見なされるマルチベンダー、マルチプラットフォームエンドポイント間で相互運用できる3つの異なるアーキテクチャを提案します。

IICが提案するアーキテクチャ

これらのコンポーネントのそれぞれについてさらに詳しく説明し、Barbara Software PlatformがIICガイドラインにどのように準拠しているかを説明します。

信頼のルート:

Root of Trust(RoT)は、すべてのエンドポイントセキュリティの基礎を構成し、エンドポイントIDおよびソフトウェアとハ​​ードウェアのIDおよび整合性の証明として機能を提供します。ご想像のとおり、エンドポイントは信頼のルートと同じくらい強力になるため、信頼のルートの安全な実装が必須です。

具体的には、IICは、強化された重要なセキュリティレベルの場合、ハードウェアに基づいて信頼のルートを実装する必要があると主張しています。 IICの推奨事項に準拠するには、耐タンパー性を備えた特定のハードウェアセキュリティチップ(または同様のもの)が必要になる場合があります。

Root of Trustに関して、Barbara Software Platformはすべてのセキュリティ機能をまとめてRoot of Trustを強化しています。当社のソフトウェアスタックは、個人所有のPKI(公開キー暗号化標準に基づく公開キーインフラストラクチャ)を使用し、対応するフックを提供して、お客様が選択したトラステッドプラットフォームモジュールと簡単に統合できるようにします。

エンドポイントID:

エンドポイントIDは、ほとんどのセキュリティ機能を構築するための基本的なコンポーネントです。 IICの推奨事項によれば、PKI(公開キー基盤)サポートは、基本、強化、およびクリティカルレベルをカバーするために必須です。内部または外部のCA(認証局)から証明書を発行および管理するためのオープン標準証明書管理プロトコルを実装することもお勧めします。

Barbara Software PlatformがPKCS(Freeipa、www.freeipa.org /)に基づいた独自のPKIを含む前にコメントしたように。 FreeIPAは、認証、承認、およびアカウント情報を集中管理する統合されたIDおよび認証ソリューションです。 IICの要求に応じて、FreeIPAはよく知られているオープンソースコンポーネントと標準プロトコルの上に構築されています。

セキュアブート:

暗号化によりエンドポイントの電源を保護する信頼できるセキュアブートシステムは、基本レベル、強化レベル、およびクリティカルレベルの要件です。 IICのベストプラクティスによると、これはPKCS(公開キー暗号化標準)に基づく暗号化ハッシュを実装できます。そうすることで、適切なキーのないソフトウェアがデバイスを起動できることを確認できます。 Barbara Software Platformは、合理的な努力でセキュアブートをサポートするハードウェアボードに移植できます。

暗号化サービスと安全な通信:

前述の3つのセキュリティレベル(Basic、Enhanced、Critical)のデータ転送(移動中)、データストレージ(保存中)、およびアプリケーション(使用中)に暗号化を使用することは明確な要件です。このような保護を提供するために必要な機能は次のとおりです。

  • NIST / FIPSによって検証された標準に基づく暗号アルゴリズム。
  • 非対称および対称暗号スイート、ハッシュ関数、および乱数。 PKCS(公開キー暗号化標準)に基づいた十分に強力なジェネレーター
  • 潜在的な脆弱性をカバーできる暗号化アルゴリズムのフィールド更新機能。
  • アプリケーションの暗号化機能の使用をポリシーベースで制御し、非セキュア暗号化の使用を回避します。
  • マルチベンダーシステム間での暗号キーと証明書の相互運用性。

Barbara Software Platformは、暗号化サービスの品質を保証するいくつかの機能を実装しています。 LINUXハードディスク暗号化の標準であるLUKSをデフォルトで使用します。 LUKSはオープンなので、簡単に監査でき、推奨されるようにPKCSに基づいています。

データ転送側では、Barbara OSには、暗号化された転送(TLSおよびDTLS)を介してIoT標準アプリケーションプロトコルを使用して通信するために必要なライブラリが含まれています。

さらに、定義された3つのレベルには、安全なエンドツーエンド通信スタックが必要です。この通信スタックには、認証、保護された接続、エンドポイントファイアウォール、およびセキュアなトランスポートプロトコル(TLS、DTLS、SSH…)のサポートが含まれている必要があります。これらの機能はすべてBarbara Software Platformに含まれているため、すべてのBarbara通信は認証および暗号化されます。

エンドポイントの構成と管理

デバイスのオペレーティングシステム、アプリケーション、および/または構成を更新するためのスケーラブルなシステムは、拡張レベルおよびクリティカルレベルに準拠するために必要です。同時に、数百万のエンドポイントでこのような更新を実行する必要がある場合があることを考慮してください。もちろん、この操作はすべて、更新を提供するエンティティとそれを受信するエンドポイント間の証明書ベースの検証を含む安全な環境で実行する必要があります。

この点で、Barbara Software PlatformにはBarbara Panelが含まれています。 Barbara Panelは、IoT展開のすべてのエンドポイントを管理するサーバー側ソリューションです。 OTA(Over The Air)更新管理、デバイス監視、構成管理のためのシンプルで集中管理されたコンソールを提供します。これらの機能はすべて、クラス最高のセキュリティ環境内で提供されます。

継続的な監視

IICによると、エンドポイントのリアルタイム監視は、クリティカルセキュリティレベルの要件です。これにより、ユーザーは構成の不正な変更を制御および防止し、アプリケーションレベルで制御して、システムを危険にさらす可能性のある安全でない暗号の使用として不正なアクティビティを検出および防止できます。

Barbara Panelには、ユーザーが定義済みのセキュリティアラートを受信し、独自のアラートを定義してエンドポイントにプッシュできるアラートシステムが含まれています。

ポリシーおよびアクティビティダッシュボード

クリティカルレベルに準拠するには、エンドポイントをリモートで管理する機能が必要です。システム管理者は、効果的なセキュリティフレームワークとして機能し、ネットワーク全体でポリシーが正しく配布されることを保証する方法でポリシーをプッシュおよび実行できる必要があります。

Barbara Panelを使用すると、展開マネージャーはエンドポイントのアクティビティを監視し、取得した情報に基づいてセキュリティポリシーを定義およびプッシュできます。例として、疑わしい通信パターンが検出された場合、新しいポリシーは前述のファイアウォールに新しいルールを展開できます。

システム情報とイベント管理

前の段落にリンクされているように、イベントログをキャプチャし、ログからの情報に基づいてポリシーを定義および配布する機能も、クリティカルレベルの要件です。これらの管理操作は、データモデルまたはREST APIやJSONなどの拡張可能な形式を使用して行うことをお勧めします。

Barbara Software Platformロギングシステムは、システム管理者にセキュリティポリシーの生成に使用される大量の情報を提供します。

結論

Barbara IoTは、安全な製品を構築するために多大な努力を払っています。産業用セキュリティの観点から最も要求の厳しいシナリオで使用できる製品。 IICと同様に、この種のイニシアチブは、エコシステム内のすべての関係者に自信を与え、権限を与えることにより、業界のエコシステム全体に役立つと考えています。

参照:

  • http://www.iiconsortium.org/
  • IICエンドポイントセキュリティのベストプラクティス。 IIC:WHT:IN17:V1.0:PB:20180312 Steve Hanna、Srinivas Kumar、Dean Weber。
  • https://github.com/guardianproject/luks/wiki
  • LUKS、Simone Bossi、Andrea Viscontiに基づくFull Disk Encryptionについてユーザーが知っておくべきこと。暗号とコーディング研究所(CLUB)、ミラノ大学ストゥディディミラノ大学コンピュータサイエンス学科http://www.club.di.unimi.it/

この投稿は、もともと2018年6月6日にbarbaraiot.comで公開されました。もしあなたがそれを好み、同様のコンテンツを受け取りたいなら、私たちのニュースレターを購読してください