IIC समापन बिंदु सुरक्षा सर्वोत्तम अभ्यास

हाल ही में, द इंडस्ट्रियल इंटरनेट कंसोर्टियम ने एंडपॉइंट के लिए अपने अनुशंसित सिक्योरिटी बेस्ट प्रैक्टिस के साथ एक दिलचस्प पेपर जारी किया है।

बारबरा IoT इस तरह की पहलों से हमेशा उत्साहित रहता है क्योंकि हम दृढ़ता से मानते हैं कि IoT सुरक्षा में बहुत काम करना है और डिवाइस संभवतः IoT मान श्रृंखला में मौजूद सबसे कमजोर लिंक है। और जैसा कि हम जानते हैं, श्रृंखला सबसे कमजोर कड़ी के रूप में मजबूत है, इसलिए उपकरणों को सुरक्षित करना एक जरूरी है (यदि यह पहले से ही नहीं है)।

यह लेख आईआईसी की सिफारिशों की मूल बातें से गुजरता है और उन्हें बारबरा सॉफ्टवेयर प्लेटफॉर्म के खिलाफ मैप करता है, जो आईओटी डिवाइस जीवनचक्र के लिए एक सुरक्षित समाधान है। निम्न तालिका अनुपालन मैट्रिक्स का सारांश प्रस्तुत करती है:

लेकिन विवरण में जाने दो ...।

सुरक्षा स्तर:

IIC, सुरक्षा स्तर के बेसिक (SLB), सुरक्षा स्तर के संवर्धित (SLE), और सुरक्षा स्तर के महत्वपूर्ण (SLC), को सुरक्षा के स्तर 2, 3, और 4 के समान परिभाषित करता है जो IEC 62443 3–3 में परिभाषित किया गया है। बुनियादी स्तर "कम संसाधनों के साथ सरल साधनों का उपयोग करके जानबूझकर उल्लंघन" से बचाता है। उन्नत स्तर "मध्यम संसाधनों के साथ परिष्कृत साधनों" के खिलाफ हमारी प्रणाली की रक्षा करता है। "विस्तारित संसाधनों के साथ परिष्कृत साधनों" के लिए सुरक्षा प्रदान करने के लिए महत्वपूर्ण स्तर के कदम। आवेदन और परिस्थितियों के आधार पर, आपको उचित सुरक्षा स्तर के साथ अपने समापन बिंदु की रक्षा करनी चाहिए।

इस सुरक्षा स्तरों के आधार पर, IIC तीन अलग-अलग आर्किटेक्चर का प्रस्ताव करता है जो खुले मानकों पर आधारित होना चाहिए और सुरक्षित माना जाने वाला मल्टी वेंडर, मल्टी प्लेटफॉर्म एंडपॉइंट्स के बीच अंतर होना चाहिए।

IIC ने प्रस्तावित आर्किटेक्चर

आइए इन सभी घटकों में से प्रत्येक के बारे में अधिक विस्तार से बताएं और बारबरा सॉफ़्टवेयर प्लेटफ़ॉर्म IIC दिशानिर्देशों का अनुपालन कैसे करें, इसकी खोज करें।

ट्रस्ट की जड़:

ट्रस्ट ऑफ रूट (RoT) प्रत्येक समापन बिंदु सुरक्षा के लिए आधार का गठन करता है और सॉफ्टवेयर और हार्डवेयर पहचान और अखंडता के समापन बिंदु पहचान और सत्यापन के रूप में सुविधाएँ प्रदान करता है। जैसा कि आप कल्पना कर सकते हैं, समापन बिंदु ट्रस्ट के रूट के रूप में मजबूत होगा, इसलिए रूट ऑफ ट्रस्ट का एक सुरक्षित कार्यान्वयन अनिवार्य है।

विशेष रूप से IIC का दावा है कि बढ़ाया और महत्वपूर्ण सुरक्षा स्तरों के लिए, हार्डवेयर के आधार पर रूट ऑफ़ ट्रस्ट को लागू किया जाना चाहिए। IIC सिफारिशों का पालन करने के लिए हमें छेड़छाड़ प्रतिरोध के साथ एक विशिष्ट हार्डवेयर सुरक्षा चिप (या समान) की आवश्यकता हो सकती है।

रूट ऑफ़ ट्रस्ट के बारे में, बारबरा सॉफ्टवेयर प्लेटफ़ॉर्म ने ट्रस्ट की कड़ी सुरक्षा के लिए सभी सुरक्षा सुविधाओं को एक साथ रखा है। हमारे सॉफ़्टवेयर स्टैक एक निजी स्वामित्व वाले PKI (सार्वजनिक कुंजी क्रिप्टोग्राफ़ी मानकों पर आधारित सार्वजनिक कुंजी अवसंरचना) का उपयोग करता है, और ग्राहक की पसंद के विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल के साथ आसान एकीकरण की अनुमति देने के लिए संबंधित हुक प्रदान करता है।

समापन बिंदु पहचान:

एंडपॉइंट पहचान सुरक्षा सुविधाओं के सबसे बनाने के लिए एक बुनियादी घटक है। IIC सिफारिशों के अनुसार, बुनियादी, संवर्धित और महत्वपूर्ण स्तरों को कवर करने के लिए PKI (पब्लिक की इन्फ्रास्ट्रक्चर) सहायता अनिवार्य है। आंतरिक या बाहरी CA (प्रमाणपत्र प्राधिकारी) से प्रमाणपत्र जारी करने और प्रबंधित करने के लिए एक ओपन स्टैंडर्ड सर्टिफिकेट मैनेजमेंट प्रोटोकॉल लागू करने की सिफारिश की जाती है।

जैसा कि बारबरा सॉफ़्टवेयर प्लेटफ़ॉर्म से पहले टिप्पणी की गई थी, वह पीकेसीएस (फ्रीपा, www.freeipa.org/) पर आधारित अपने स्वयं के PKI सहित है। FreeIPA एक एकीकृत पहचान और प्रमाणीकरण समाधान है जो केंद्रीकृत प्रमाणीकरण, प्राधिकरण और खाता जानकारी प्रदान करता है। जैसा कि IIC द्वारा अनुरोध किया गया है, FreeIPA प्रसिद्ध ओपन सोर्स घटकों और मानक प्रोटोकॉल के शीर्ष पर बनाया गया है।

शुरुवात सुरक्षित करो:

भरोसेमंद सिक्योर बूट सिस्टम क्रिप्टोग्राफिक रूप से एंडपॉइंट पावर की सुरक्षा फिर से बुनियादी, उन्नत और महत्वपूर्ण स्तरों के लिए एक आवश्यकता है। IIC सर्वोत्तम प्रथाओं के अनुसार, यह PKCS (सार्वजनिक कुंजी क्रिप्टोग्राफ़ी मानक) के आधार पर क्रिप्टोग्राफ़िक हैश को लागू किया जा सकता है। यह करते हुए कि हम सुनिश्चित कर सकते हैं कि उचित कुंजियों के बिना सॉफ़्टवेयर डिवाइस को बूट करने में सक्षम होगा। बारबरा सॉफ्टवेयर प्लेटफॉर्म को एक उचित प्रयास के भीतर सुरक्षित बूट का समर्थन करने वाले हार्डवेयर बोर्डों में पोर्ट किया जा सकता है।

क्रिप्टोग्राफ़िक सेवाएँ और सुरक्षित संचार:

डेटा ट्रांसपोर्टेशन (गति में) के दौरान क्रिप्टोग्राफी का उपयोग करना, डेटा भंडारण के लिए (बाकी पर) और एप्लिकेशन (उपयोग में) उपरोक्त तीन सुरक्षा स्तरों के लिए एक स्पष्ट आवश्यकता है (बेसिक, एन्हांस्ड, क्रिटिकल)। इस तरह की सुरक्षा प्रदान करने के लिए आवश्यक विशेषताएं हैं:

  • NIST / FIPS द्वारा मान्य मानकों के आधार पर क्रिप्टोग्राफ़िक एल्गोरिथम।
  • असममित और सममित साइफर सूट, हैशिंग फ़ंक्शन और यादृच्छिक संख्या। जनरेटर पर्याप्त मजबूत और PKCS (सार्वजनिक कुंजी क्रिप्टोग्राफी मानकों) पर आधारित
  • क्रिप्टोग्राफ़िक एल्गोरिदम के क्षेत्र अद्यतन क्षमता में संभावित कमजोरियों को कवर करने में सक्षम होना।
  • गैर-सुरक्षित क्रिप्टोग्राफी के उपयोग से बचने के लिए, क्रिप्टोग्राफ़िक कार्यों के उपयोग के नीति आधारित नियंत्रण।
  • मल्टी-वेंडर सिस्टम में क्रिप्टो कीज़ और सर्टिफ़िकेट की इंटरऑपरेबिलिटी।

बारबरा सॉफ्टवेयर प्लेटफ़ॉर्म कई विशेषताओं को लागू करता है जो क्रिप्टोग्राफ़िक सेवाओं की गुणवत्ता की गारंटी देता है। यह डिफ़ॉल्ट रूप से LUKS का उपयोग करता है, जो LINUX हार्ड डिस्क एन्क्रिप्शन के लिए मानक है। एलयूकेएस ओपन है, इसलिए यह आसानी से श्रव्य है और यह अनुशंसित के रूप में पीकेसीएस पर आधारित है।

डेटा ट्रांसपोर्ट की तरफ, बारबरा OS में एन्क्रिप्टेड ट्रांसपोर्ट (TLS और DTLS) पर IoT मानक एप्लिकेशन प्रोटोकॉल का उपयोग करने के लिए आवश्यक लाइब्रेरीज़ होती हैं।

उसके ऊपर, तीन परिभाषित स्तरों के लिए एक सुरक्षित एंड-टू-एंड संचार स्टैक की आवश्यकता होती है। इस संचार स्टैक में प्रमाणीकरण, संरक्षित कनेक्टिविटी, समापन बिंदु फ़ायरवॉल और सुरक्षित परिवहन प्रोटोकॉल (टीएलएस, डीटीएलएस, एसएसएच…) को शामिल करने के लिए समर्थन शामिल होना चाहिए। इन सभी विशेषताओं को बारबरा सॉफ्टवेयर प्लेटफ़ॉर्म में शामिल किया गया है, इसलिए सभी बारबरा संचार प्रमाणित और एन्क्रिप्टेड हैं।

समापन बिंदु कॉन्फ़िगरेशन और प्रबंधन

और ऑपरेटिंग सिस्टम को अपडेट करने के लिए स्केलेबल सिस्टम, एप्लिकेशन और / या डिवाइस के कॉन्फ़िगरेशन को एन्हांस्ड और क्रिटिकल स्तरों का अनुपालन करने की आवश्यकता होती है, यह ध्यान में रखते हुए कि एक ही समय में मिलियन से अधिक समापन बिंदुओं पर ऐसे अपडेट करने की आवश्यकता हो सकती है। बेशक, यह सभी संचालन एक सुरक्षित वातावरण में किया जाना चाहिए, जिसमें प्रमाण पत्र-आधारित सत्यापन के साथ-साथ अद्यतन करने वाले निकाय और इसे प्राप्त करने वाले समापन बिंदु के बीच होना चाहिए।

इस संबंध में, बारबरा सॉफ्टवेयर प्लेटफॉर्म में बारबरा पैनल शामिल है। बारबरा पैनल एक IoT परिनियोजन के सभी समापन बिंदुओं को प्रबंधित करने के लिए सर्वर साइड समाधान है। यह OTA (ओवर द एयर) अपडेट प्रबंधन, डिवाइस मॉनिटरिंग और कॉन्फ़िगरेशन प्रबंधन के लिए एक सरल और केंद्रीकृत कंसोल प्रदान करता है। इन सभी सुविधाओं को श्रेष्ठ श्रेणी के सुरक्षा वातावरण में पेश किया जाता है।

निरंतर निगरानी

समापन बिंदु की वास्तविक समय की निगरानी IIC के अनुसार, क्रिटिकल सुरक्षा स्तर के लिए एक आवश्यकता है। यह उपयोगकर्ता को कॉन्फ़िगरेशन में अनधिकृत परिवर्तनों को नियंत्रित करने और रोकने के लिए और अनधिकृत गतिविधियों का पता लगाने और रोकने के लिए आवेदन स्तर पर नियंत्रण रखने की अनुमति देगा, क्योंकि सिस्टम में समझौता हो सकता है।

बारबरा पैनल में शामिल है और चेतावनी प्रणाली है जो उपयोगकर्ता को पूर्वनिर्धारित सुरक्षा अलर्ट प्राप्त करने और अपने स्वयं के अलर्ट को परिभाषित करने और उन्हें अंतिम बिंदु पर धकेलने की अनुमति देती है।

नीति और गतिविधि डैशबोर्ड

क्रिटिकल स्तर के अनुरूप होने के लिए, दूरस्थ रूप से समापन बिंदुओं को प्रबंधित करने की क्षमता की आवश्यकता होती है। सिस्टम प्रशासक नीतियों को एक तरह से धक्का देने और निष्पादित करने में सक्षम होना चाहिए, जो नेटवर्क में नीतियों के सही वितरण की गारंटी देता है, एक प्रभावी सुरक्षा ढांचे के रूप में उस तरह से कार्य करता है।

बारबरा पैनल तैनाती प्रबंधकों को समापन बिंदु की गतिविधियों की निगरानी करने और अधिग्रहित जानकारी के आधार पर सुरक्षा नीतियों को परिभाषित करने और धक्का देने की अनुमति देता है। एक उदाहरण के रूप में, नई नीतियां नए संचार नियमों को तैनात कर सकती हैं जब संदिग्ध संचार पैटर्न का पता लगाया जाता है।

सिस्टम सूचना और घटना प्रबंधन

पूर्व पैराग्राफ से जुड़ा, इवेंट लॉग को पकड़ने और लॉग से जानकारी के आधार पर नीतियों को परिभाषित करने और वितरित करने की क्षमता भी क्रिटिकल स्तर के लिए एक आवश्यकता है। यह सलाह दी जाती है कि इन प्रबंधन कार्यों को डेटा मॉडल या एक्स्टेंसिबल स्वरूपों जैसे REST API या JSON का उपयोग करके किया जाए।

बारबरा सॉफ्टवेयर प्लेटफ़ॉर्म लॉगिंग सिस्टम सुरक्षा प्रशासकों को बड़ी मात्रा में जानकारी प्रदान करता है जिसका उपयोग सुरक्षा नीतियों के निर्माण के लिए किया जाएगा।

निष्कर्ष

बारबरा IoT एक सुरक्षित उत्पाद बनाने के लिए एक बड़ा प्रयास कर रहा है। एक उत्पाद जो औद्योगिक सुरक्षा के संदर्भ में सबसे अधिक मांग वाले परिदृश्यों में इस्तेमाल किया जा सकता है। IIC की तरह, हमें लगता है कि इस तरह की पहल पूरे उद्योग पारिस्थितिकी तंत्र को आत्मविश्वास को बढ़ावा देने और पारिस्थितिकी तंत्र के भीतर सभी अभिनेताओं को सशक्त बनाने में मदद कर सकती है।

संदर्भ:

  • http://www.iiconsortium.org/
  • IIC समापन बिंदु सुरक्षा सर्वोत्तम अभ्यास; IIC: WHT: IN17: V1.0: PB: 20180312 स्टीव हना, श्रीनिवास कुमार, डीन वेबर।
  • https://github.com/guardianproject/luks/wiki
  • उपयोगकर्ताओं को LUKS, सिमोन बोसी और एंड्रिया विस्कोनी पर आधारित पूर्ण डिस्क एन्क्रिप्शन के बारे में क्या पता होना चाहिए; क्रिप्टोग्राफी और कोडिंग लेबोरेटरी (CLUB), कंप्यूटर विज्ञान विभाग, यूनिवर्सिटा डाउली स्टडी डी मिलानो http://www.club.di.unimi.it/

यह पोस्ट मूल रूप से 6 जून, 2018 को barbaraiot.com पर प्रकाशित हुई थी। यदि आप इसे पसंद करते हैं और इसी तरह की सामग्री प्राप्त करना चाहते हैं तो हमारे न्यूज़लेटर की सदस्यता लें