AWS IoT Device Defender

IoT 设备的安全管理

入门

什么是 AWS IoT Device Defender

AWS IoT Device Defender 是一项完全托管的服务，可帮助您保护 IoT 设备队列的安全。AWS IoT Device Defender 会不断审核您的 IoT 配置，以确保配置始终遵循安全最佳实践。配置是您设置的一组技术控制，有助于在设备在与其他设备和云通信时确保信息安全。AWS IoT Device Defender 使您能够轻松维护和执行 IoT 配置，例如确保设备身份、对设备进行身份验证和授权以及加密设备数据。AWS IoT Device Defender 会根据一组预定义的安全最佳实践来持续审核您设备上的 IoT 配置。如果您的 IoT 配置存在任何可能引发安全风险的漏洞，例如在多个设备间共享身份证书，或身份证书被吊销的设备试图连接 AWS IoT Core，那么 AWS IoT Device Defender 会发送提醒。

借助 AWS IoT Device Defender，您还可以监控各个设备和 AWS IoT Core 的安全指标，验证它们的行为是否偏离了您为每台设备所定义的相应行为。如果出现任何异常，AWS IoT Device Defender 就会发送提醒，以便您及时采取措施修复问题。例如，出站流量激增可能意味着某台设备参与了 DDoS 攻击。AWS Greengrass 和 Amazon FreeRTOS 可自动与 AWS IoT Device Defender 集成，提供设备的安全指标以进行评估。

AWS IoT Device Defender 可以向 AWS IoT 控制台、Amazon CloudWatch 和 Amazon SNS 发送提醒。如果您认为必须针对某条提醒采取措施，可以使用 AWS IoT Device Management 服务采取缓解措施，例如推送安全修补程序。

让连接的设备保持安全

IoT 安全性为什么重要

连接的设备使用不同种类的无线通信协议不断地与其他设备和云进行通信。在通信催生响应式 IoT 应用程序的同时，它也会公开 IoT 安全漏洞，并为恶意角色或意外数据泄漏打开通道。为了保护用户、设备和公司，必须确保 IoT 设备安全并得到保护。IoT 安全性的基础在于控制、管理和设置设备之间的连接。适当的保护措施有助于保持数据的私密性，限制对设备和云资源的访问，提供安全的方式连接到云，以及对设备的使用情况进行审核。IoT 安全性策略通过使用诸如设备身份管理、加密和访问控制等此类策略来减少漏洞。

什么是 IoT 设备安全漏洞

安全漏洞是可被利用以损害 IoT 应用程序的完整性或可用性的弱点。IoT 设备在本质上是易受攻击的。IoT 队列由设备组成，这些设备具有截然不同的功能、使用寿命较长且地理位置分散。这些特性结合设备数量不断增长，对我们如何应对 IoT 设备所带来的安全风险提出了挑战。为了更详细地说明安全风险，许多设备具有低级的计算、内存和存储功能，这限制了在设备上实施安全性的机会。即使您已实施了安全性最佳实践，新的攻击媒介也会不断涌现。为了检测和缓解漏洞，组织应始终不断地审核设备设置和运行状况。

AWS IoT Device Defender 可帮助您管理 IoT 安全性

审核设备配置，检查安全漏洞

AWS IoT Device Defender 根据一组定义的 IoT 安全最佳实践来审核与您的设备相关的 IoT 配置，以帮助您确定存在安全漏洞的确切位置。您可以持续或即时运行审核。AWS IoT Device Defender 提供一系列安全最佳实践，您可以从中选择适用的最佳实践并将其作为审核的一部分运行。例如，您可以创建一项审核，检查 7 天内未激活、已撤销、已过期或正在等待转移的身份证书。通过审核，您可以在更新 IoT 配置时接收提醒。

持续监控设备行为以发现异常

AWS IoT Device Defender 通过监控来自云和 AWS IoT Core 的高价值安全指标，并将其与您定义的预期设备行为进行比较，来检测可能表明设备受损的异常行为。例如，借助 AWS IoT Device Defender，您可以定义设备上开放的端口数量、设备的通信对象、设备的连接来源以及设备发送或接收的数据量。然后，该服务会监控设备流量，并在发生异常（例如流量从设备传输到已知恶意 IP 或未授权终端节点）时向您发送提醒。

接收提醒并采取措施

当审核失败或检测到行为异常时，AWS IoT Device Defender 会向 AWS IoT 控制台、Amazon CloudWatch 和 Amazon SNS 发布安全提醒，以帮助您调查和确定根本原因。例如，AWS IoT Device Defender 会在设备身份访问敏感 API 时向您发送提醒。AWS IoT Device Defender 还可以提供可用于最大限度降低安全问题影响的建议措施，例如撤消权限、重启设备、重置工厂默认设置或向任何连接的设备推送安全修补程序。

IoT 安全性的工作原理

AWS IoT Core 可以为您提供安全构建块，以便将设备安全地连接到云和其他设备。通过这些构建块可以增强安全性控制，如身份验证、授权、审核日志记录以及端对端加密。但是，人为或系统错误以及意图不良的授权人员可能会引入对安全有不利影响的配置。

AWS IoT Device Defender 可以帮助您持续审核安全配置，以确保符合安全最佳实践和您自己的组织安全策略。例如，之前为设备证书提供安全数字签名的强大加密算法可能随着计算和密码分析方法的进步而削弱。通过持续审核，可以推送新的固件更新并重新定义证书，以确保设备的安全性始终领先于恶意角色的攻击。

何时使用 AWS IoT 安全服务

IoT 安全性解决方案对于商业、工业和消费类应用（如联网家庭和工业应用）都至关重要。

持续合规和采用安全最佳实践

AWS IoT 安全团队一直在不断更新最佳安全实践知识库。AWS IoT Device Defender 以服务的形式为您提供这些专业知识，从而简化在您的 AWS IoT 环境中建立和审核最佳实践的过程。AWS IoT Device Defender 可以自动对您的云配置和设备队列执行安全评估，从而帮助您降低在开发和部署 IoT 应用程序期间引入安全问题的风险，以便您可以在安全问题影响生产之前主动管控这些问题。

攻击面评估

借助 AWS IoT Device Defender，您可以识别适用于特定 IoT 设备的攻击媒介。拥有这种可见性，您可以根据操作要求确定消除或强化相关系统组件的优先级。例如，您可以对 AWS IoT Device Defender 进行配置，以检测具有已知安全漏洞的不安全网络服务和协议的使用情况。检测到之后，您可以规划适当的补救措施，以防止未经授权的设备访问或可能的数据泄露。

威胁影响分析

AWS IoT Device Defender 可帮助对您 IoT 设备上公开或私下披露的攻击活动进行影响分析。您可以根据已知的感染指标在 AWS IoT Device Defender 中定义检测规则，以识别易受攻击的设备或已受危害的设备。例如，检测规则可以监控 IoT 设备的指标，例如与已知恶意命令和控制服务器的网络连接，以及在设备上打开的后门服务端口。

客户参考案例

“AWS IoT Device Defender 提供了设备行为监控功能，这项功能对于任何正在打造安全基础设施的 IoT 公司都是必不可少的。”

- Franz Garsombke，Rachio 首席技术官

“SolarNow 的商誉和收入模型建立在对任何可控的服务中断零容忍的基础之上。我们需要实现和扩展高级设备安全性和匿名检测功能，而 AWS IoT Device Defender 和 Eseye global AnyNet Secure Connectivity 是最简单、最快速、最具成本效益的方法。这让我们的客户免遭服务中断之扰，且保护 SolarNow 提供卓越的客户服务的声誉。”

- Peter Huisman，SolarNow 首席技术官