Zagrożenia i rozwiązania w zakresie bezpieczeństwa przetwarzania brzegowego
Przetwarzanie brzegowe w IIoT zaspokaja potrzeby czasu rzeczywistego dla lekkiej, inteligentnej produkcji, jednocześnie zwiększając sprawność i bezpieczeństwo sieci.
W dokumentacji „Przetwarzanie brzegowe w środowisku przemysłowym” dokonano już omówienia i przeglądu różnych form przetwarzania brzegowego, dlatego tutaj zamieszczonych zostanie więcej informacji na temat różnych zagrożeń dla bezpieczeństwa przetwarzania brzegowego i rozwiązań w tym zakresie.
Przetwarzanie brzegowe w IIoT zaspokaja potrzeby czasu rzeczywistego dla lekkiej, inteligentnej produkcji, jednocześnie zwiększając sprawność i bezpieczeństwo sieci. Cyberataki zagrażają poufności, integralności lub dostępności danych, ale zakłócają także działalność firmy. Podatne na ataki urządzenia sieciowe, takie jak urządzenia brzegowe, nadal stanowią jeden z celów najskuteczniejszych ataków. Są one częstym celem dla atakujących, chcących dostać się do wnętrza systemu, ze względu na ich położenie i funkcje, które zapewniają łączność między różnymi sieciami obsługującymi przesyłanie, monitorowanie, filtrowanie, tłumaczenie lub przechowywanie danych, które przechodzą z jednej sieci do drugiej. Gdy cybernapastnik uzyska dostęp do urządzenia brzegowego, może przeprowadzić ataki, które mogą być źródłem przestoju operacyjnego, kradzieży danych, strat finansowych i utraty reputacji.
Kategoria „bezpieczeństwo” obejmuje wyzwania związane z bezpieczeństwem sieci bezprzewodowej, uwierzytelnianiem i zaufaniem, kontrolę dostępu oraz wykrywanie włamań. Przetwarzanie brzegowe wykorzystuje kilka różnych technologii do budowy sieci, wprowadzając potencjał dla kilku ataków, takich jak: man-in-the-middle, Distributed Denial of Service (DDoS), atak side-channel, przejmowanie kontroli nad urządzeniami, wstrzykiwanie złośliwego oprogramowania, ataki wykorzystujące uwierzytelnianie/autoryzację oraz Permanent Denial of Service (PDoS). Atak DoS (Denial of Service — pol. blokada usług) polega na tym, że zaatakowany system próbuje „zalać” zasób w celu jego celowego przeciążenia, a rozproszony atak DoS lub DDoS polega na tym, że wiele zagrożonych systemów jest zorganizowanych w celu wykonania tego samego zadania. Zawsze, gdy złośliwy pakiet zostanie zidentyfikowany, zostanie on odrzucony zanim dotrze do celu.
Istnieją cztery główne kategorie urządzeń brzegowych, które pomagają połączyć i zabezpieczyć sieci przedsiębiorstw lub dostawców usług. Są to: urządzenia brzegowe sieci (routery, przełączniki, urządzenia sieci rozległej, koncentratory VPN), urządzenia zabezpieczające sieć (zapory sieciowe), urządzenia monitorujące sieć (sieciowe systemy wykrywania włamań) oraz urządzenia typu „customer premise” (zintegrowane urządzenia dostępowe). Podatności systemu są określane przez warstwy zabezpieczeń systemu i techniki zabezpieczeń. W tabeli poniżej przedstawiono cztery poziomy bezpieczeństwa paradygmatu systemu informatycznego IoT oraz stosowane zabezpieczenia. Najbardziej podatną warstwą jest bezpieczeństwo sieci, natomiast bezpieczeństwo danych charakteryzuje się najwyższym poziomem zabezpieczeń.
Tabela: Warstwy zabezpieczeń i metody zabezpieczeń
| Nr | Warstwy zabezpieczeń | Metody zabezpieczeń |
|---|---|---|
|
1 |
Bezpieczeństwo sieci |
Monitorowanie uprawnień, filtrowanie wyjść, zapora sieciowa, bezpieczeństwo protokołów routingu |
|
2 |
Bezpieczeństwo urządzeń |
Kontrola uwierzytelniania, zarządzanie poprawkami, zabezpieczenie przed manipulacją, system wykrywania włamań |
|
3 |
Bezpieczeństwo aplikacji |
Zapora aplikacji, bezpieczeństwo cyklu rozwoju oprogramowania, uwierzytelnianie biometryczne |
|
4 |
Bezpieczeństwo danych |
Kontrola dostępu, algorytmy kryptograficzne, szyfrowanie danych, bezpieczeństwo protokołów routingu |
Kwestie bezpieczeństwa są powiązane z urządzeniami brzegowymi, niezależnie od tego, czy są one zarządzane przez użytkowników końcowych, czy administratorów. Przeniesienie przetwarzania danych bliżej obrzeża sieci ma wpływ na bezpieczeństwo. Ryzyko związane z bezpieczeństwem urządzeń brzegowych to: złośliwe wstrzykiwanie sprzętowe/programowe, fizyczne manipulacje i ataki, ataki na informacje o routingu, ryzyko związane z przechowywaniem danych, tworzeniem kopii zapasowych i ochroną, ryzyko związane z hasłami i uwierzytelnianiem, ryzyko związane z obroną obwodową, ryzyko związane z przyjęciem chmury.
Bezpieczeństwo jako usługa (ang. Security-as-a-Service — SECaaS) na obrzeżach sieci
Wdrożenie instancji zabezpieczeń w odległych centrach danych ma kilka wad; aby przezwyciężyć te problemy, przetwarzanie oferuje możliwość efektywnego hostowania usług na obrzeżach sieci i zapewnia znaczące korzyści w zakresie ograniczenia opóźnień i redukcji ruchu. Jak pokazano na poniższym rysunku (Bezpieczeństwo jako usługa (SECaaS) w przemysłowych scenariuszach brzegowych), dostarczanie usług bezpieczeństwa na żądanie zgodnie z modelem SECaaS znacząco zyskuje na uwadze zarówno w środowisku przemysłowym jak i badawczym. Z drugiej strony ograniczone możliwości węzła brzegowego wprowadzają potencjalne ograniczenia w ogólnym zarządzaniu.
Rysunek: Bezpieczeństwo jako usługa (SECaaS) w przemysłowych scenariuszach brzegowych
Wdrażanie rozwiązań
Przetwarzanie brzegowe jest uważane za bezpieczny paradygmat obliczeniowy, o ile w całej sieci stosowane są skuteczne praktyki cyberbezpieczeństwa. Najlepsze praktyki bezpieczeństwa w obrębie przetwarzania brzegowego to stosowanie kontroli dostępu i nadzoru, ustanowienie procedur audytu w celu kontroli hostingu danych i aplikacji, kontrola konfiguracji i działania na obrzeżu z centrów operacji IT, stosowanie najwyższego poziomu bezpieczeństwa sieci, traktowanie obrzeża jako części chmury publicznej, monitorowanie i rejestrowanie całej aktywności na obrzeżu.
W celu wzmocnienia bezpieczeństwa rzeczy inteligentnych, czujniki/urządzenia powinny zapewniać dwa odrębne tryby pracy: tryb konfiguracyjny i tryb serwisowy. Pierwszy z nich umożliwia działania konfiguracyjne, takie jak m.in. modyfikacja parametrów pracy (np. siła sygnału, klucze kryptograficzne, adres sieciowy, metoda uwierzytelniania) oraz aktualizacja oprogramowania układowego. Drugi z nich to powszechny tryb pracy, w którym rzecz inteligentna robi to, do czego jest przeznaczona i pozwala na gromadzenie danych. Jako środek bezpieczeństwa, przed przełączeniem trybów rzecz inteligentna stosuje metodę kontroli dostępu, taką jak zatwierdzanie kodu PIN (ang. Personal Identification Number).
Podejście oparte na uczeniu maszynowym:
Istnieje wiele korzyści dzięki zastosowaniu podejścia uczenia maszynowego i głębokiego uczenia do identyfikacji ataków DDoS, przy czym niektóre podstawowe techniki uczenia maszynowego, takie jak klasyfikatory sieci Bayesa i sieci bayesowskich, są wykorzystywane do skutecznego wykrywania ataków DDoS prowadzonych przez botnety. Wykorzystując podstawową metodę automatycznego kodowania można zastosować model głębokiego uczenia do wykrywania zaszyfrowanego ruchu DDoS. Ataki DDoS mogą być również wykrywane przy użyciu sieci neuronowych. Do celów uczenia/trenowania wiele technik wykrywania opartych na uczeniu wymaga znacznego wolumenu ruchu DDoS, który można uzyskać dopiero po wystawieniu serwerów brzegowych na ataki; lepsze ramy bezpieczeństwa są bardzo potrzebne, aby w pełni przyjąć platformę przetwarzania brzegowego.
Lekka wirtualizacja:
Wykorzystanie technologii wirtualizacji w ramach platformy przetwarzania brzegowego wprowadza również potencjalne zagrożenia bezpieczeństwa, takie jak przemieszczanie czy podsłuchiwanie maszyn wirtualnych (VM). Nowe wyzwania pojawiają się przy wdrażaniu instancji usługowych na obrzeżach sieci. Zwłaszcza jeśli weźmiemy pod uwagę ograniczone zasoby węzłów brzegowych, technologie lekkiej wirtualizacji są bezwzględnie wymagane. W związku z tym kontenery Docker stanowią obiecującą platformę dla przetwarzania brzegowego, gdyż wiele urządzeń może wspólnie realizować funkcje bezpieczeństwa, zapewniając korzyści z usług o wartości dodanej.
Metody zabezpieczeń sprzętu i oprogramowania:
Aby uniknąć luk w zabezpieczeniach oprogramowania lub sprzętu, konieczne jest zapewnienie, że każdy plik aktualizacji jest zaszyfrowany przy użyciu metody kryptograficznej, która aktualizuje pliki przesyłane przez zaszyfrowane środowisko oraz że pliki aktualizacji nie ujawniają ważnych informacji o użytkowniku. Należy również upewnić się, że aktualizacje systemu informatycznego IoT zostały zweryfikowane, sprawdzone i zainstalowane w trybie bezpiecznego rozruchu, przed ich wysłaniem i zastosowaniem.
Nie przegap naszych innych inspirujących blogów, w których omawiamy różne formy przetwarzania brzegowego, takie jak: Rozwiązań przetwarzania brzegowego Thick, Thin i Micro Edge, Integracja rozwiązań przetwarzania brzegowego w sterownikach programowalnych automatyki (PAC) i logicznych (PLC), Strategie wdrażania przetwarzania brzegowego i Standardy IEEE.
Sztuczna Inteligencja
Jedna z największych rewolucji w całej historii ludzkości! Sztuczna Inteligencja AI to wszechstronna koncepcja, która wyposaża maszyny w ludzką inteligencję
DEVKIT HQ
The #1 Destination for Embedded Evaluation Boards, Development Kits, and Tools
Zasoby techniczne
Stale poszerzamy naszą bibliotekę artykułów technicznych, filmów wideo, modułów szkoleniowych, samouczków i innych ciekawych materiałów, aby wspierać Cię przy projektowaniu, w biznesie i Twojej karierze. Wykorzystaj, między innymi, projekty referencyjne, kalkulatory konwersji, selektory produktów i przewodniki
Technologie
Aplikacje
Dalsze zasoby
Kalkulatory i wykresy konwersji
Przewodniki wyboru i interaktywne k
Podstawowe moduły edukacyjne
Nowinki techniczne
Zasoby projektowania
Słowniczek techniczny
Wsparcie techniczne
Parts Finder Tools
