公司动态

首页
为您的全球部署物联网工作负载设计一个统一的管理面板官方博客物联网

为您的全球部署物联网工作负载设计一个统一的管理面板官方博客物联网

设计单一视窗以保护全球部署的物联网工作负载

撰写者：KatjaMaja Kroedel Hassan Khokhar Leo da Silva，发布日期：2022年11月3日来源：AWS IoT Core AWS IoT Device Defender AWS Security Hub

关键点总结

企业正大量投资于物联网IoT项目，并部署全球规模的IoT平台。本文聚焦于设计一个多租户的单一视窗物联网平台，以加强网络安全管理。借助AWS服务，如AWS IoT Core和AWS Security Hub，企业可以实现高效的设备生命周期管理DLM和安全监控。文章介绍了服务架构，包括控制平面、数据平面和边缘平面，以确保工作负载的完全隔离和安全。

介绍

公司正在对大规模物联网IoT项目进行投资，并部署全球范围的IoT平台，例如德意志铁路或Carrier。企业正在寻找同时满足IT和OT操作的多租户单一视窗设备生命周期管理DLM解决方案。

在本文中，我们将重点提供在网络安全态势下架构多租户单一视窗物联网平台的指导性建议。各类企业均可从此类平台受益。从IT角度来看，该平台将标准化企业IoT相关的网络安全功能，例如设备入驻、可视化和治理。从OT角度来看，此平台将加快生产部署的时间，因为所有重任账户管理、工作负载管理、安全性等自始至终都已经嵌入平台中。

AWS服务

在本指导博客中，我们将参考多个AWS服务。这些服务是单一视窗方法参考架构和最佳实践的核心组成部分。

服务名称描述AWS Organizations一项账户管理服务，可将多个AWS账户整合到用户创建并集中管理的组织中。AWS IoT Core让您无需管理基础设施即可连接数十亿个IoT设备并将数万亿条消息路由到AWS服务。AWS IoT Device Defender与AWS IoT Core原生集成的安全服务，可以审计设备配置、监控连接设备异常行为、减轻安全风险。AWS Security Hub提供安全最佳实践检查、聚合警报及自动修复功能的云安全态势管理服务。Amazon EventBridge服务器无事件总线服务，可以将应用程序与多种来源的数据连接。

用例介绍

图1展示了我们所要解决的高层次问题视图。三个示例工作负载：炼油厂、燃料电池和润滑油，各自有独特的IoT部署在不同的AWS地区。在架构中展示了两个不同的角色：业务用户和IoT平台管理员。每位业务用户需要访问自己的IoT工作负载部署。以炼油厂业务用户为例，他们需要认证和授权才能访问炼油厂部署。而润滑油业务用户仅需访问润滑油相关工作负载，其他如炼油厂的则无须。此外，IoT平台管理者需要能够访问所有工作负载，无论是哪个地区、账户或用例。

租户模型

针对上述用例，我们将通过采用一种提供物联网工作负载完全隔离的租户模式来奠定设计基础。高度隔离的租户设计提供成本、数据和工作负载的隔离。这使得管理在AWS账户中部署的资源变得更加简易，同时为我们的OT业务用户提供了隔离的IoT工作负载基础，便于IT平台管理员和安全角色获取全球视图。这种租户模式从安全角度减少了风险范围，因为业务用户及其设备通过各自的租户工作负载进行访问。同时，这种租户方式存在一些挑战，如租户之间的互联性、成本可视化以及实施单一视窗IoT平台以实现全球设备管理。

控制、数据和边缘平面

加速器电脑版

通过前面的图示，我们可以将各个组件分 compartmentalize 以便通过称为IoT平台的单个公共接口达成所有控制相关的用例。该组件作为所有角色的单一视窗物联网设备管理门户。由于该组件与控制相关，因此我们可以将其放置于称为“控制平面”的概念边界内。

特定租户的工作负载组件被称为“IoT工作负载”。由于这些是设备连接和发送其遥测的隔离工作负载，因此这些租户特定组件可以被放置在称为“数据/遥测平面”的概念边界内。每个业务部门部署的所有设备可以被放置在称为“边缘平面”的概念边界内。

个别IoT工作负载可以包含多个加速器。这些加速器可以执行独特的功能，如设备配置、控制设备、设备修补、配置AWS IoT Greengrass Core等。要了解有关特定功能或用例加速器的更多信息，请参考AWS Connected Device Framework。

使用AWS Organizations进行账户隔离

我们现在通过使用AWS特定服务来扩展指导。AWS Organizations允许客户使用组织单元OUs，为这些OUs中的账户提供功能。所有OU均可对账户应用自身的治理和保护措施。在图4中，我们利用了三个不同的OU。

1 共享服务组织单元

单一视窗位于共享服务OU中。它拥有自己的账户，承载聚合的仪表板。该OU在此情况下为自身平台提供能力，并授予不同类型用户访问其允许查看的数据的权限。

2 工作负载组织单元

工作负载OU中有多个账户，每个租户一个账户。它允许单一视窗中用户访问其工作负载，以及来自IoT设备的出入数据。

3 暂停组织单元

在暂停OU中的工作负载不再处于活动状态，但仍是AWS设置的一部分，以便于之后的调查或在不再需要时删除。这种暂停可以根据系统管理员定义的标准自动发生。

基于事件的解决方案

在本节中，我们增加了与AWS IoT Core集成的Amazon EventBridge的使用。这种方法允许构建一个基于事件的解决方案，将其与控制平面或单一视窗进行交互。控制平面账户将设置Amazon EventBridge以在各个工作负载OU账户之间发送和接收消息。该集成能够触发账户中的不同IoT工作负载，同时将来自各个设备的数据收集到控制平面账户中的聚合视图。

工作负载OU账户订阅从控制平面一侧发来的消息，反之亦然。每个工作负载都隔离在各自的租户账户中，从而实现了成本隔离，并达成了我们所需的租户模型。

单一视窗架构

最后，我们专注于包含单一视窗架构各个元素的图表图6。

从右侧开始，我们有多个设备连接到AWS IoT Core。首先，我们关注AWS IoT Core与工作负载之间的连接。当工作负载通过AWS IoT Core与IoT设备进行交互时，Amazon EventBridge可以配置为响应特定事件。这些事件将传递到单一视窗账户中，用户仅能访问相关数据和警报。

现在我们把注意力转向右侧AWS IoT Core与AWS IoT Device Defender之间的连接。AWS IoT Device Defender与AWS IoT Core原生集成，将执行审计和监控任务，报告任何异常或合规性问题到报告管道。此外，AWS IoT Device Defender可以与AWS Security Hub原生集成，设置将审计结果传递给此服务了解更多关于原生集成的信息这里。AWS Security Hub进行跨账户集成，将警报传递给IT管理员，并在必要时将操作委派给运营。

该架构使安全运营团队及IoT平台管理员能够访问跨不同账户和地区的安全洞察与发现。

以下是可能需要与安全运营团队共享的一些偏差示例，使用AWS Security Hub：

基于MQTT的数据外流：数据外流发生在恶意行为者从IoT部署或设备执行未授权数据传输时。他们通过MQTT对云侧数据源发起此类攻击。冒充攻击：冒充攻击是指攻击者假冒已知或受信任的实体，以获取AWS IoT云侧服务、应用程序、数据或控制IoT设备的权限。命令和控制、恶意软件和勒索软件：恶意软件或勒索软件限制您对设备的控制，降低设备的功能。在勒索软件攻击中，数据访问可能因加密而丧失。

如果您想了解有关AWS IoT Device Defender涵盖的不同安全用例的更多内容，可以访问此处。