IIC Endpoint Security Best Practices

Onlangs heeft The Industrial Internet Consortium een ​​interessant artikel uitgebracht met hun aanbevolen beveiligingspraktijken voor het eindpunt.

Barbara IoT is altijd enthousiast over dit soort initiatieven, omdat we ervan overtuigd zijn dat er nog veel werk te doen is op het gebied van IoT-beveiliging en het apparaat waarschijnlijk de zwakste schakel is die momenteel in de IoT-waardeketen aanwezig is. En zoals we weten, is de ketting zo sterk als de zwakste schakel, dus het beveiligen van apparaten is een must (als dat nog niet is).

In dit artikel worden de basisprincipes van de IIC-aanbevelingen behandeld en vergeleken met het Barbara Software Platform, een veilige oplossing voor de levenscyclus van IoT-apparaten. De volgende tabel geeft een overzicht van de nalevingsmatrix:

Maar laten we op de details ingaan ...

Beveiligingsniveaus:

IIC definieert drie beveiligingsniveaus, Security Level Basic (SLB), Security Level Enhanced (SLE) en Security Level Critical (SLC), overeenkomend met beveiligingsniveaus 2, 3 en 4 zoals gedefinieerd in IEC 62443 3–3. Basisniveau beschermt tegen "opzettelijke schending met behulp van eenvoudige middelen met weinig middelen". Verbeterd niveau beschermt ons systeem tegen "geavanceerde middelen met matige middelen". Kritiek niveau neemt toe en biedt bescherming voor "geavanceerde middelen met uitgebreide middelen". Afhankelijk van de toepassing en de omstandigheden moet u uw eindpunt beschermen met het juiste beveiligingsniveau.

Op basis van deze beveiligingsniveaus stelt IIC drie verschillende architecturen voor die gebaseerd moeten zijn op open standaarden en die interoperabel moeten zijn tussen meerdere leveranciers en multi-platform eindpunten om als veilig te worden beschouwd.

IIC voorgestelde architecturen

Laten we dieper op elk van deze componenten ingaan, ze gedetailleerder beschrijven en ontdekken hoe Barbara Software Platform voldoet aan de IIC-richtlijnen.

Root of Trust:

Root of Trust (RoT) vormt de basis voor elke eindpuntbeveiliging en biedt functies als eindpuntidentiteit en attest van software- en hardware-identiteit en integriteit. Zoals u zich kunt voorstellen, zal het eindpunt net zo sterk zijn als de Root of Trust, dus een veilige implementatie van de Root of Trust is verplicht.

In het bijzonder beweert IIC dat Root of Trust voor verbeterde en kritieke beveiligingsniveaus moet worden geïmplementeerd op basis van hardware. Om aan de IIC-aanbevelingen te voldoen, hebben we mogelijk een specifieke hardwarebeveiligingschip (of vergelijkbaar) met sabotagebestendigheid nodig.

Wat Root of Trust betreft, combineert Barbara Software Platform alle beveiligingsfuncties om Root of Trust te versterken. Onze softwarestapel maakt gebruik van een private PKI (Public Key Infrastructure gebaseerd op Public Key Cryptography Standards) en biedt de bijbehorende hooks voor eenvoudige integratie met Trusted Platform-modules naar keuze van de klant.

Eindpunt identiteit:

Eindpuntidentiteit is een basiscomponent om de meeste beveiligingsfuncties te bouwen. Volgens IIC-aanbevelingen is PKI-ondersteuning (Public Key Infrastructure) verplicht om basis-, verbeterde en kritieke niveaus te dekken. Het wordt ook aanbevolen om een ​​Open standaard certificaatbeheerprotocol te implementeren voor het uitgeven en beheren van certificaten van een interne of externe CA (certificeringsinstantie).

Zoals eerder opgemerkt, omvat Barbara Software Platform een ​​eigen PKI op basis van PKCS (Freeipa, www.freeipa.org/). FreeIPA is een geïntegreerde oplossing voor identiteit en authenticatie die gecentraliseerde authenticatie, autorisatie en accountinformatie biedt. Op verzoek van IIC is FreeIPA gebouwd op basis van bekende Open Source-componenten en standaardprotocollen.

Veilig opstarten:

Een betrouwbaar Secure Boot-systeem dat cryptografisch de power op het eindpunt cryptografisch beschermt, is opnieuw een vereiste voor elementaire, verbeterde en kritische niveaus. Volgens IIC best practices kan dit worden geïmplementeerd cryptografische hashes op basis van PKCS (Public Key Cryptography Standards). Als we dat doen, kunnen we er zeker van zijn dat software zonder de juiste sleutels het apparaat kan opstarten. Barbara Software Platform kan binnen een redelijke inspanning worden overgebracht naar hardwarekaarten die veilig opstarten ondersteunen.

Cryptografische services en beveiligde communicatie:

Het gebruik van cryptografie tijdens gegevenstransport (in beweging), voor gegevensopslag (in rust) en applicaties (in gebruik) is een duidelijke vereiste voor de drie bovengenoemde beveiligingsniveaus (Basic, Enhanced, Critical). De functies die nodig zijn om een ​​dergelijke bescherming te bieden zijn:

  • Cryptografische algoritmen op basis van normen die zijn gevalideerd door NIST / FIPS.
  • Asymmetrische en symmetrische coderingssuites, hashfuncties en willekeurig nummer. generatoren sterk genoeg en gebaseerd op PKCS (Public Key Cryptography Standards)
  • In het veld updatemogelijkheid van cryptografische algoritmen om mogelijke kwetsbaarheden te dekken.
  • Op beleid gebaseerde controle van het gebruik van cryptografische functies door applicaties, waarbij het gebruik van niet-beveiligde cryptografie wordt vermeden.
  • Interoperabiliteit van cryptosleutels en certificaten tussen systemen van meerdere leveranciers.

Het Barbara Software Platform implementeert verschillende functies die de kwaliteit van de cryptografische services garanderen. Het gebruikt standaard LUKS, wat de standaard is voor LINUX-hardeschijfversleuteling. LUKS is Open, dus het is gemakkelijk auditable en het is gebaseerd op PKCS zoals aanbevolen.

Aan de kant van het gegevenstransport bevat Barbara OS de vereiste bibliotheken om te communiceren met behulp van standaard IoT-toepassingsprotocollen via gecodeerd transport (TLS en DTLS).

Bovendien is een veilige end-to-end communicatiestack vereist voor de drie gedefinieerde niveaus. Deze communicatiestack moet ondersteuning voor authenticatie, beveiligde connectiviteit, eindpunt-firewall en opname van veilige transportprotocollen (TLS, DTLS, SSH ...) bevatten. Al deze functies zijn opgenomen in het Barbara Software Platform, dus ALLE Barbara-communicatie wordt geverifieerd en gecodeerd.

Eindpuntconfiguratie en -beheer

En een schaalbaar systeem voor het bijwerken van het besturingssysteem, de applicaties en / of configuratie van het apparaat is vereist om te voldoen aan Enhanced en Critical levels, rekening houdend met het feit dat het nodig kan zijn om dergelijke updates tegelijkertijd over miljoenen eindpunten uit te voeren. Natuurlijk moeten al deze bewerkingen worden uitgevoerd in een beveiligde omgeving, inclusief op een certificaat gebaseerde validatie tussen de entiteit die de update uitvoert en het eindpunt dat deze ontvangt.

In dit verband omvat Barbara Software Platform het Barbara Panel. Barbara Panel is de server-side oplossing om alle eindpunten van een IoT-implementatie te beheren. Het biedt een eenvoudige en gecentraliseerde console voor OTA (Over The Air) updatebeheer, apparaatbewaking en configuratiebeheer. Al deze functies worden aangeboden in een eersteklas beveiligingsomgeving.

Continue monitoring

Real-time monitoring van het eindpunt is een vereiste voor kritiek beveiligingsniveau, volgens IIC. Dit stelt de gebruiker in staat om ongeautoriseerde wijzigingen in de configuratie te controleren en te voorkomen en om op applicatieniveau controle te hebben over het detecteren en voorkomen van ongeautoriseerde activiteiten als het gebruik van onveilige cijfers die het systeem in gevaar kunnen brengen

Barbara Panel bevat een waarschuwingssysteem waarmee de gebruiker vooraf gedefinieerde beveiligingswaarschuwingen kan ontvangen en haar eigen waarschuwingen kan definiëren en naar de eindpunten kan pushen.

Beleid en activiteitendashboard

Om te voldoen aan Critical Level, is het vereist dat u eindpunten op afstand kunt beheren. Systeembeheerder moet beleid kunnen pushen en uitvoeren op een manier die een correcte distributie van het beleid over het netwerk garandeert, en op die manier fungeren als een effectief beveiligingskader.

Met Barbara Panel kunnen implementatiebeheerders eindpuntactiviteiten volgen en beveiligingsbeleid definiëren en pushen op basis van de verkregen informatie. Nieuw beleid kan bijvoorbeeld nieuwe regels implementeren in de bovengenoemde firewall wanneer verdachte communicatiepatronen worden gedetecteerd.

Systeeminformatie en gebeurtenisbeheer

Gekoppeld aan de vorige paragraaf, is de mogelijkheid om gebeurtenislogboeken vast te leggen en beleid te definiëren en verspreiden op basis van de informatie uit de logboeken ook een vereiste voor kritiek niveau. Het wordt aanbevolen deze beheerbewerkingen uit te voeren met behulp van datamodellen of uitbreidbare formaten zoals REST API of JSON.

Het Barbara Software Platform-logsysteem biedt systeembeheerders grote hoeveelheden informatie die zou worden gebruikt voor het genereren van beveiligingsbeleid.

Gevolgtrekking

Barbara IoT levert een enorme inspanning om een ​​veilig product te bouwen. Een product dat kan worden gebruikt in de meest veeleisende scenario's op het gebied van industriële beveiliging. Net als IIC denken we dat dit soort initiatieven het hele ecosysteem van de industrie kan helpen door het vertrouwen te bevorderen en alle actoren binnen het ecosysteem te machtigen.

Referenties:

  • http://www.iiconsortium.org/
  • IIC Endpoint Security Best Practices; IIC: WHT: IN17: V1.0: PB: 20180312 Steve Hanna, Srinivas Kumar, Dean Weber.
  • https://github.com/guardianproject/luks/wiki
  • Wat gebruikers moeten weten over Volledige schijfversleuteling op basis van LUKS, Simone Bossi en Andrea Visconti; Cryptography and Coding Laboratory (CLUB), Afdeling Informatica, Universitá degli Studi di Milano http://www.club.di.unimi.it/

Dit bericht werd oorspronkelijk gepubliceerd op barbaraiot.com op 6 juni 2018. Als je het leuk vindt en soortgelijke inhoud wilt ontvangen, abonneer je dan op onze nieuwsbrief