Вопрос: Что такое AWS IoT Device Defender?

AWS IoT Device Defender – это полностью управляемый сервис безопасности IoT, с помощью которого можно обеспечить постоянную безопасность IoT‑конфигураций. AWS IoT Device Defender предоставляет инструменты для обнаружения проблем безопасности и реагирования на них. AWS IoT Device Defender проверяет соответствие парка устройств рекомендациям по безопасности, непрерывно выполняет мониторинг устройств для выявления аномалий в их поведении, предупреждает о проблемах безопасности по мере их возникновения и рекомендует меры для устранения этих проблем.

Вопрос: Какими основными возможностями обладает AWS IoT Device Defender?

Аудит AWS IoT Device Defender IoT проверяет, соответствуют ли связанные с устройствами ресурсы (такие как сертификаты X.509, политики IoT и идентификаторы клиентов) рекомендациям по безопасности AWS IoT (например, принципу минимальных привилегий или правилу, согласно которому каждое устройство должно иметь уникальный идентификатор). AWS IoT Device Defender сообщает о конфигурациях, не соответствующих рекомендациям по безопасности, например об использовании одного идентификатора для нескольких устройств или о недостаточной строгости политик, которые, например, позволяют одному устройству считывать и изменять данные на многих других устройствах.

Обнаружение AWS IoT Device Defender выявляет необычное поведение устройства, которое может быть признаком взлома, путем непрерывного мониторинга ключевых метрик безопасности на устройстве и в сервисе AWS IoT Core. К таким метрикам относится, например, количество TCP‑портов для входящих соединений на устройствах или число сбоев авторизации. Пользователи могут определить нормальное поведение для группы устройств, задав модели поведения (правила) для этих метрик. AWS IoT Device Defender выполняет мониторинг каждой точки данных, переданной для этих метрик, и определяет, соответствует ли она заданным моделям поведения (правилам). При обнаружении отклонений выдается предупреждение.

Выдача предупреждений AWS IoT Device Defender публикует предупреждения в консоль AWS IoT, Amazon CloudWatch и Amazon SNS.

Устранение проблем AWS IoT Device Defender позволяет расследовать проблемы с помощью контекстуальных и исторических данных об устройстве. Пользователь получает доступ к метаданным устройства, статистике и архиву предупреждений, относящихся к устройству. С помощью инструментов AWS IoT Device Management можно применять различные меры по устранению проблем. Это может быть отзыв разрешений, перезагрузка устройства, восстановление заводских настроек или принудительная загрузка исправлений безопасности.

Вопрос: Каким образом можно обеспечить безопасность устройств с помощью AWS IoT, и какую роль в этом играет AWS IoT Device Defender?

AWS IoT Core включает набор отдельных компонентов для безопасного подключения устройств к облаку и другим устройствам. Эти компоненты позволяют внедрить средства контроля безопасности разной степени строгости в зависимости от используемых конфигураций. К таким средствам относятся аутентификация, авторизация, ведение журнала аудита и сквозное шифрование. Согласно модели общей ответственности AWS, клиенты отвечают за поддержание необходимых конфигураций безопасности в соответствии с требованиями бизнеса. Однако в результате ошибок, связанных с человеческим фактором, и системных ошибок, а также злонамеренных действий авторизованных пользователей эффективность конфигураций безопасности может снизиться.  

С помощью AWS IoT Device Defender можно непрерывно контролировать соответствие конфигураций безопасности принятым рекомендациям и собственным политикам безопасности организации. Непрерывный контроль играет первостепенную роль, так как ошибки в конфигурации могут возникнуть в любой момент. Кроме того, эффективность конфигураций безопасности может снизиться со временем из-за того, что новые угрозы возникают постоянно. Например, развитие методов вычислений и криптоанализа может привести к тому, что криптографические алгоритмы, ранее позволявшие создавать надежные цифровые подписи для сертификатов устройств, станут менее эффективны.

AWS IoT Device Defender определяет, как наиболее эффективно использовать средства управления безопасностью AWS IoT. Однако если ошибки в конфигурации безопасности не устраняются или если новые направления атаки становятся общеизвестными до того, как на устройства будут установлены исправления, может возникнуть угроза взлома подключенных устройств. AWS IoT Device Defender дополняет возможности превентивных средств обеспечения безопасности AWS IoT, позволяя выявить уже взломанные устройства и принять меры по сдерживанию и устранению угроз.

Вопрос: Нужно ли изменять код на уровне устройства для использования AWS IoT Device Defender?

Да. Для сбора метрик на стороне устройства и передачи их в AWS IoT Device Defender необходимо обеспечить выполнение кода на стороне устройства. Эталонная реализация образца агента приводится здесь. AWS Greengrass и Amazon FreeRTOS полностью интегрированы с AWS IoT Device Defender для работы с метриками как на стороне устройства, так и на стороне облака.

Если на платформе устройства предусмотрено специализированное оборудование, которое поддерживает среду доверенного выполнения, настоятельно рекомендуется реализовать запуск агента устройства в доверенной среде. Проконсультируйтесь с поставщиком аппаратного решения для обеспечения безопасности, чтобы получить рекомендации по реализации такого варианта.

Вопрос: Как работает AWS IoT Device Defender?

AWS IoT Device Defender позволяет планировать задачи аудита, осуществлять мониторинг работы устройства и получать уведомления при обнаружении нарушений во время аудита или отклонений в поведении устройства.

При выполнении задач аудита оцениваются конфигурации AWS IoT. Задачи аудита могут выполняться по требованию или по расписанию. Для повышения точности аудита и уменьшения числа ложных срабатываний AWS IoT Device Defender учитывает контекст взаимодействия между устройствами и AWS IoT Core.

AWS IoT Device Defender принимает и анализирует ключевые метрики безопасности, поступающие от подключенных устройств и их взаимодействий с AWS IoT Core. Благодаря этому осуществляется непрерывный мониторинг работы устройств и выявляется их нетипичное поведение. Данные метрик постоянно сопоставляются с профилями безопасности, которые определяются пользователем. Сбор и передача метрик устройств не являются обязательными. Однако это настоятельно рекомендуется. В AWS IoT Device Defender доступна эталонная реализация агентов устройств, предназначенных для сбора метрик на стороне устройства и их передачи, а также соответствующая документация.

Результаты выполнения плановых задач аудита и все обнаруженные отклонения в работе устройств публикуются в консоли AWS IoT. Доступ к ним можно получить с помощью API сервиса AWS IoT Device Defender. Кроме того, можно настроить AWS IoT Device Defender так, чтобы результаты отправлялись в темы Amazon SNS для включения в панели управления безопасностью или запуска рабочих процессов автоматического устранения проблем.

Вопрос: В каких регионах AWS доступен сервис AWS IoT Device Defender?

Сервис AWS IoT Device Defender доступен в следующих регионах: Северная Вирджиния, Огайо, Орегон, Франкфурт, Ирландия, Лондон, Сеул, Сингапур, Сидней и Токио.

Вопрос: Доступен ли сервис AWS IoT Device Defender на уровне бесплатного пользования AWS?

Да. Подробнее см. на странице цен на AWS IoT Device Defender.

Вопрос: Сколько стоит использование сервиса AWS IoT Device Defender?

Возможности аудита и обнаружения можно использовать независимо друг от друга, так как плата за них начисляется раздельно. Подробнее см. на странице цен на AWS IoT Device Defender.

Вопрос: Нужно ли при работе с AWS IoT Device Defender платить за сообщения AWS IoT Core, в которых передаются метрики для возможности обнаружения?

Нет. Платить за сообщения, с помощью которых в AWS IoT Device Defender передаются метрики для возможности обнаружения, собираемые на стороне устройства, не нужно.

Вопрос: Нужно ли при работе с AWS IoT Device Defender платить за подключение к AWS IoT Core с целью передачи метрик для возможности обнаружения?

Да. Если подключение к AWS IoT Core осуществляется только с целью передачи в AWS IoT Device Defender метрик для возможности обнаружения, собираемых на стороне устройства, оплата взимается. Подробнее см. на странице цен на AWS IoT Core.

Вопрос: Как определить значения для описания ожидаемого поведения устройств в AWS IoT Device Defender?

Сначала следует создать профиль безопасности с ограничениями на поведение (например, в виде низких пороговых значений) и закрепить его за группой вещей для типового набора устройств. AWS IoT Device Defender выдаст предупреждение, включающее в себя переданные устройством точки данных метрик, которые представляют собой отклонение от ожидаемого поведения. Затем пороговые значения для поведения устройства можно настроить более точно с учетом сценария использования.

Узнайте больше о возможностях AWS IoT Device Defender

Перейти на страницу с описанием возможностей
Готовы начать работу?
Регистрация
Есть вопросы?
Свяжитесь с нами