问:什么是 AWS IoT Device Defender?

AWS IoT Device Defender 是一种完全托管的 IoT 安全服务,可帮助您持续保护您的 IoT 配置。借助 AWS IoT Device Defender,您可以获得用于识别和应对安全问题的工具。AWS IoT Device Defender 会审核您的队列,确保它遵守安全最佳实践,检测异常的设备行为,提醒您注意安全问题,并给出缓解这些安全问题的建议。

问:AWS IoT Device Defender 有哪些主要功能?

审核 AWS IoT Device Defender 可以根据 AWS IoT 安全最佳实践(例如每台设备的最低权限或唯一身份原则)审核与设备相关的资源(例如 X.509 证书、IoT 策略和客户端 ID)。AWS IoT Device Defender 会报告不符合安全最佳实践的配置,例如使用同一身份的多个设备,或权限过度宽松的策略(如允许一个设备读取和更新许多其他设备的数据)。

检测AWS IoT Device Defender 通过持续监控来自设备和 AWS IoT Core 的高价值安全指标(例如设备上侦听 TCP 端口的数量或授权失败次数),来检测可能表明存在危害的异常设备行为。您可以通过为这些指标设置行为(规则),为一组设备指定正常的设备行为。AWS IoT Device Defender 可以根据用户定义的行为(规则)监控和评估针对这些指标报告的每个数据点,并在检测到异常时提醒您。

提醒 AWS IoT Device Defender 可以向 AWS IoT 控制台、Amazon CloudWatch 和 Amazon SNS 发布提醒。

迁移AWS IoT Device Defender 可以提供有关设备的上下文和历史信息(例如设备元数据、设备统计数据和针对该设备的历史提醒),帮助您调查问题。您还可以使用 AWS IoT Device Management 工具执行缓解措施,例如撤销权限、重启设备、重置出厂默认设置或推送安全修补程序。

问:客户如何使用 AWS IoT 保护设备?AWS IoT Device Defender 如何提供帮助?

AWS IoT Core 可以为您提供安全构建块,以便将设备安全地连接到云和其他设备。构建块支持您基于配置实施各种严格程度的安全控制,例如身份验证、授权、审核日志记录和端到端加密。在 AWS 责任共担模型下,您可以根据业务要求定期使用自己的基准安全配置。但是,人为或系统错误以及意图不良的授权人员可能会引入对安全有不利影响的配置。 

AWS IoT Device Defender 可以帮助您持续审核安全配置,以确保符合安全最佳实践和您自己的组织安全策略。持续审核至关重要,因为配置错误可能会在任何时间点发生。此外,随着时间推移,安全配置可能会受到影响,新的威胁会不断产生。例如,之前为设备证书提供安全数字签名的强大加密算法可能随着计算和密码分析方法的进步而削弱。

AWS IoT Device Defender 可识别有效使用 AWS IoT 安全控制的机会。但是,如果未修复安全配置错误或在修复设备之前公开披露新的攻击媒介,则互联设备的安全性可能会受到损害。AWS IoT Device Defender 可以帮助您识别已经受损的设备,并启动控制与纠正措施,作为对 AWS IoT 中的预防性安全控制的补充。

问:是否需要更改设备级代码才能使用 AWS IoT Device Defender?

是的。您需要实施设备端代码,以便收集设备端指标并向 AWS IoT Device Defender 报告。您可在此处找到关于示例代理的参考实施。AWS Greengrass 和 Amazon FreeRTOS 可以与 AWS IoT Device Defender 完全集成,可同时用于设备端和云端指标。

如果您的设备平台拥有能够支持可信执行环境的专用硬件,我们强烈建议您实施设备代理,以便在可信的环境中运行。有关如何实施此类设计的具体指导,请咨询您的硬件安全解决方案供应商。

问:AWS IoT Device Defender 的工作原理是什么?

借助 AWS IoT Device Defender,您可以安排审核任务、监控设备活动,并接收有关审核违规和异常设备行为的通知。

审核任务会对您的 AWS IoT 配置进行评估。您可以按需或按计划启动审核任务。为了提高审核检查的准确性并最大限度减少误报,AWS IoT Device Defender 整合了与 AWS IoT Core 交互的设备的上下文。

AWS IoT Device Defender 可以提取并分析从互联设备及其与 AWS IoT Core 的交互中收集的高价值安全指标,以持续监控设备活动并检测异常设备行为。系统会将指标数据与用户提供的安全配置文件进行持续对比。设备指标的收集和发送并非强制性的,但我们强烈建议您这么做。AWS IoT Device Defender 可以为负责收集和发送设备端指标的设备代理提供参考实施和文档

计划审核任务的结果和检测到的任何设备活动异常都会发布到 AWS IoT 控制台中,您可以通过 AWS IoT Device Defender API 进行访问。此外,您还可以把 AWS IoT Device Defender 配置为将结果发送到 Amazon SNS 主题,以便与安全控制面板集成或触发自动修复工作流。

问:哪些 AWS 区域提供 AWS IoT Defender?

AWS IoT Device Defender 现已在以下区域提供:弗吉尼亚北部、俄亥俄、俄勒冈、法兰克福、爱尔兰、伦敦、首尔、新加坡、悉尼和东京。

问:AWS IoT Defender 是否包含在 AWS 免费套餐中?

是。有关更多信息,请访问 AWS IoT Device Defender 定价页面

问:AWS IoT Device Defender 的费用是多少?

您可以灵活地独立使用审核与检测功能,因为它们是单独收费的。有关更多信息,请访问 AWS IoT Device Defender 定价页面

问:在使用 AWS IoT Device Defender 时,我是否需要为用于报告检测指标的 AWS IoT Core 消息付费?

不需要。您不需要为用于向 AWS IoT Device Defender 报告设备端检测指标的消息付费。

问:在使用 AWS IoT Device Defender 时,我是否需要为用于报告检测指标的 AWS IoT Core 连接付费?

需要。如果您仅与 AWS IoT Core 连接以向 AWS IoT Device Defender 报告设备端检测指标,则需要为连接付费。有关更多信息,请访问 AWS IoT Core 定价页面

问:如何知道要在 AWS IoT Device Defender 中为设备的预期行为设置哪些正确值?

首先创建一个具有限制性行为(例如低阈值)的安全配置文件,然后将它连接到 ThingGroup 以获取一组代表性设备。AWS IoT Device Defender 将提醒您注意设备针对违规行为发送的指标数据点。您可以微调设备行为阈值,以便与您的使用案例匹配。

发现更多 AWS IoT Device Defender 功能

访问功能页面
准备好开始使用了吗?
注册
还有更多问题?
联系我们