问:什么是 AWS IoT Device Defender?
AWS IoT Device Defender 是一种完全托管的 IoT 安全服务,可帮助您持续保护您的 IoT 配置。借助 AWS IoT Device Defender,您可以获得用于识别和应对安全问题的工具。AWS IoT Device Defender 会审核您的队列,确保它遵守安全最佳实践,持续监控设备队列以检测异常的设备行为,提醒您注意安全问题,并提供针对这些安全问题的内置缓解措施。
问:AWS IoT Device Defender 有哪些主要功能?
审核 AWS IoT Device Defender 可以根据 AWS IoT 安全最佳实践(例如,最低权限原则或每个设备唯一身份原则)审核与设备相关的资源(例如 X.509 证书、IoT 策略和客户端 ID)。AWS IoT Device Defender 会报告不符合安全最佳实践的配置,例如多个设备使用同一身份或者策略权限过度宽松(允许一个设备读取和更新许多其他设备的数据)。
规则检测 AWS IoT Device Defender 通过持续监控来自设备和 AWS IoT Core 的高价值安全指标(例如,设备上侦听 TCP 端口的数量或授权失败计数),检测可能表明存在危害的异常设备行为。您可以通过为这些指标设置行为(规则),为一组设备指定正常的设备行为。AWS IoT Device Defender 可以根据用户定义的行为(规则)监控和评估针对这些指标报告的每个数据点,并在检测到异常时提醒您。
机器学习检测AWS IoT Device Defender 通过机器学习 (ML) 模型,使用最近 14 天的六项云端指标(例如,授权失败计数、已发送消息计数)和七项设备端指标(例如,数据包输出、侦听 TCP 端口计数)的设备数据为您自动设置设备行为。然后,在构建初始模型后,它会每天对这些模型进行再训练(只要有足够的数据量用来训练模型),以根据最新的最近 14 天数据刷新预期的设备行为。AWS IoT Device Defender 通过机器学习模型监控和识别这些指标的异常数据点,并在检测到异常时触发警报。与规则检测相比,机器学习检测的主要优势有:它可自动检测队列设备中的操作和安全异常,无需您定义正常设备活动阈值;它根据设备新的数据趋势动态更新预期设备行为,以减少误报。
提醒 AWS IoT Device Defender 可以向 AWS IoT 控制台、Amazon CloudWatch 和 Amazon SNS 发布警报。
迁移 AWS IoT Device Defender 可以提供有关设备的上下文和历史信息(例如设备元数据、设备统计数据和针对该设备的历史提醒),帮助您调查问题。AWS IoT Device Defender 还可让您使用内置的缓解措施执行审核和检测警报的缓解步骤,例如向事务组添加事务,更换默认策略版本以及更新设备证书。
问:客户如何使用 AWS IoT 保护设备?AWS IoT Device Defender 如何提供帮助?
AWS IoT Core 可以为您提供安全构建块,以便将设备安全地连接到云和其他设备。构建块支持您基于配置实施各种严格程度的安全控制,例如身份验证、授权、审核日志记录和端到端加密。在 AWS 责任共担模型下,您可以根据业务要求定期使用自己的基准安全配置。但是,人为或系统错误以及意图不良的授权人员可能会引入对安全有不利影响的配置。
AWS IoT Device Defender 可以帮助您持续审核安全配置,以确保符合安全最佳实践和您自己的组织安全策略。持续审核至关重要,因为配置错误可能会在任何时间点发生。此外,随着时间推移,安全配置可能会受到影响,新的威胁会不断产生。例如,之前为设备证书提供安全数字签名的强大加密算法可能随着计算和密码分析方法的进步而削弱。
AWS IoT Device Defender 可识别有效使用 AWS IoT 安全控制的机会。但是,如果未修复安全配置错误或在修复设备之前公开披露新的攻击媒介,则互联设备的安全性可能会受到损害。AWS IoT Device Defender 可以帮助您识别已经受损的设备,并启动控制与纠正措施,作为对 AWS IoT 中的预防性安全控制的补充。
问:是否需要更改设备级代码才能使用 AWS IoT Device Defender?
不是。您只需在控制台中点击几下,即可审核您的 IoT 配置以及监控所有云端指标。如果您还想监控设备端指标,则需要对设备代码进行一些更改,以将设备端指标发布到 AWS IoT Device Defender。您可在此处找到关于示例代理的参考实施。AWS IoT Greengrass 和 FreeRTOS 可以与 AWS IoT Device Defender 完全集成,可同时用于设备端和云端指标。
如果您的设备平台拥有能够支持可信执行环境的专用硬件,我们强烈建议您实施设备代理,以便在可信的环境中运行。有关如何实施此类设计的具体指导,请咨询您的硬件安全解决方案供应商。
问:我能否使用 AWS IoT Device Defender 监控我定义的非标准指标?
可以,您可以使用 Device Defender 创建自定义指标进行监控。有关如何开始监控您定义的设备端指标的信息,请参阅文档。
问:AWS IoT Device Defender 的工作原理是什么?
借助 AWS IoT Device Defender,您可以安排审核任务、监控设备活动,并接收有关审核结果的通知和异常设备行为警报。
审核任务会对您的 AWS IoT 配置进行评估。您可以按需或按计划启动审核任务。为提高审核检查的准确性并最大限度减少误报,AWS IoT Device Defender 整合了与 AWS IoT Core 交互的设备的上下文。
AWS IoT Device Defender 可以提取并分析从已连接设备及其与 AWS IoT Core 的交互中收集的高价值安全指标,以持续监控设备活动并检测异常设备行为。使用规则检测时,将根据用户定义的行为持续评估指标数据;使用机器学习检测时,将通过自动构建的机器学习模型持续评估指标数据以识别异常。设备指标的收集和发送并非强制性,但我们强烈建议您这么做。 AWS IoT Device Defender 可以为负责收集和发送设备端指标的设备代理提供参考实施和文档。
计划审计任务的结果和检测到的任何设备活动异常都会发布到 AWS IoT 控制台、AWS IoT Device Defender 中,您可以通过 Amazon CloudWatch 进行访问。此外,您还可以把 AWS IoT Device Defender 配置为将结果发送到 Amazon SNS 主题,以便与安全控制面板集成或触发自动修复工作流。
问:AWS IoT Device Defender 机器学习检测模型训练的工作原理是什么?
AWS IoT Device Defender 在机器学习检测中使用机器学习模型监控和识别设备行为指标的异常数据点。在 AWS IoT Device Defender 为您的设备构建初始机器学习模型时,需要 14 天时间以及每项指标至少 2.5 万个指标数据点才能生成模型。之后,只要满足每项指标至少 2.5 万个指标数据点的要求,它就会每日更新模型。如果不满足最低数据点要求,AWS IoT Device Defender 将在次日尝试更新模型。在停用模型更新之前,它将在 30 天里每日进行重试。
问:使用 AWS IoT Device Defender 机器学习检测时,如何处理来自已训练模型的误报警报?
我们设计了一系列措施,可在您使用 AWS IoT Device Defender 机器学习模型时根据您的业务使用案例处理机器学习模型误报警报,从而为您提供用以控制接收的警报的工具:
- Change the number of consecutive datapoints required to trigger alarm(更改触发警报所需的连续数据点的数量):如果您因为出现指标数据点峰值而频繁收到误报警报,您可以使用此设置规定在发生多个连续数据点异常后才发出警报。
- Change the ML Detect confidence(更改机器学习检测置信度):如果出现长期误报的情况,您可以简单地将警报检测调整到更高的置信度。我们提供 LOW(低)、MEDIUM(中)、HIGH(高)置信级别供您选择。HIGH(高)置信度代表低警报敏感度/音量,MEDIUM(中)置信度代表中等警报敏感度/音量,LOW(低)置信度代表高警报敏感度/音量。
- 取消警报:在您确定知道自己的某些操作可能导致误报的情况下(例如 OTA 作业的情况),为一劳永逸,您可以更新相关机器学习检测行为以取消警报。此外,除非您选择更改默认配置,AWS IoT Device Defender 在默认机器检测安全配置文件设置中将警报默认设置为“suppressed(已取消)”。
问:哪些 AWS 区域提供 AWS IoT Device Defender?
请参阅 AWS 区域表,了解 AWS IoT Device Defender 当前支持的区域列表。
不论您身处哪个地理位置,只要能够访问上述任何一个 AWS 区域,就可以使用 AWS IoT Device Defender。
问:AWS IoT Defender 是否包含在 AWS 免费套餐中?
可以。有关更多信息,请访问 AWS IoT Device Defender 定价页面。
问:AWS IoT Device Defender 的费用是多少?
您可以灵活地独立使用审计、规则检测或 ML 检测功能,因为它们是单独收费。有关更多信息,请访问 AWS IoT Device Defender 定价页面。
问:在使用 AWS IoT Device Defender 时,我是否需要为用于报告检测指标的 AWS IoT Core 消息付费?
不需要。您不需要为用于向 AWS IoT Device Defender 报告设备端检测指标的消息付费。
问:在使用 AWS IoT Device Defender 时,我是否需要为用于报告检测指标的 AWS IoT Core 连接付费?
需要。如果您仅与 AWS IoT Core 连接以向 AWS IoT Device Defender 报告设备端检测指标,则需要为连接付费。有关更多信息,请访问 AWS IoT Core 定价页面。
问:如何知道要在 AWS IoT Device Defender 中为设备的预期行为设置哪些正确值?
在使用规则检测时,首先创建一个具有预期限制性行为(例如低阈值)的安全配置文件,然后将它连接到事务组以获取一组代表性设备。AWS IoT Device Defender 会提醒您注意设备针对违规行为报告的指标数据点。您可以不时地微调设备行为阈值,以便与您的使用案例匹配。
使用机器学习检测时,该功能会通过机器学习自动设置设备行为以监控设备活动。当机器学习模型将某指标数据点标记为异常时,AWS IoT Device Defender 会提醒您注意设备报告的指标数据点。这将免除您定义精确设备行为的需要,并帮助您更快速轻松地开始进行监控。