پذیرش Internet of Things (IoT) بهسرعت به یک عامل رشد و توانمندسازی کسبوکارها تبدیل شده است، اما در عین حال چالشهای امنیتی جدیدی را نیز برای تیمهای شبکه و امنیت ایجاد کرده است.
با ادامه تلاش سازمانها برای تحول دیجیتال و گسترش راهکارهای IoT، بهزودی مشخص میشود که رویکردهای سنتی برای ایمنسازی و مدیریت این دستگاهها باید با دنیای cloud-based سازگار شوند.
از سوی دیگر، رویکردهای جدید امنیتی در IoT که بر پایه حفاظت از identities و authentication طراحی شدهاند، فرصتهای تازهای برای داده و درآمد دیجیتال ایجاد میکنند. اکنون زمان آن رسیده است که CISOها و رهبران امنیت IT از راهکارهای قدیمی عبور کنند و به یک دیدگاه جامع در کل IoT lifecycle برسند — دیدگاهی که امنیتی پایدار ایجاد کرده و در عین فعالسازی IoT، شبکه را در برابر تهدیدهای شناختهشده و ناشناخته محافظت کند.
در این نقطه، مفهوم Zero Trust Security Approach وارد میشود. اگر نگران پیادهسازی یک معماری امنیتی آیندهنگر هستید، تنها نیستید.
ما با همکاری Fierce Wireless گفتوگویی تخصصی با کارشناسان Kigen و Murata Technologies برگزار کردیم تا نحوه اجرای معماری Zero Trust و نمونههایی از بهترین شیوهها با استاندارد IoT SAFE را بررسی کنیم. در ادامه خلاصهای از این گفتوگو آمده است:
“پذیرش Internet of Things (IoT) بهسرعت به یک عامل توانمندساز کسبوکارها تبدیل شده، اما در عین حال چالشهای امنیتی جدیدی را برای تیمهای شبکه و امنیت ایجاد کرده است.”
— Kigen UK Limited
فهرست مطالب
رویکرد Zero Trust در امنیت
مدل Zero Trust یک چارچوب امنیتی است که در آن همه کاربران — چه در داخل و چه خارج از شبکه سازمان — باید authenticated، authorized و بهصورت مداوم از نظر پیکربندی و وضعیت امنیتی بررسی شوند، پیش از آنکه به applications و data دسترسی پیدا کنند یا آن را حفظ کنند.
در حالی که همه دستگاهها باید تحت کنترلهای دسترسی قرار گیرند، IoT devices چالشبرانگیزترند زیرا معمولاً فاقد کنترلهای دسترسی داخلی هستند. این دستگاهها کوچک، کممصرف و فاقد حافظه یا CPU کافی برای پردازشهای امنیتیاند.
راهکارهای IoT باید بهصورت end-to-end ایمن شوند — از دستگاه تا cloud یا سرویسهای hybrid که دادهها در آنها پردازش میشود.
ایمنسازی IoT پیچیدگی بیشتری دارد زیرا تنوع عظیمی در طراحی، سختافزار، سیستمعامل، نوع استقرار و سایر موارد وجود دارد.
بهعنوان مثال، بسیاری از دستگاههای IoT user-less هستند و پردازشهای خودکار انجام میدهند؛ این ویژگی ادغام آنها را با ابزارهای مدیریت هویت و دسترسی دشوار میکند.
همچنین برخی از این دستگاهها در محیطهایی نصب شدهاند که اصلاً برای اتصال شبکه طراحی نشدهاند یا از قابلیتها و اتصالات محدودی برخوردارند — و همین باعث میشود ایمنسازی آنها دشوارتر شود.
علاوه بر این، IoT endpoints توسط هزاران ODM مختلف با صدها ماژول سلولار و سیستمعاملهای گوناگون تولید میشوند؛ بنابراین استانداردسازی و سازگاری حیاتی است.
تفاوت Zero Trust با مدلهای امنیتی سنتی
مدلهای سنتی امنیتی، یک محیط پیرامونی امن (secure perimeter) در اطراف شبکه سازمان ایجاد میکنند — با firewallها و VPNهای درونسازمانی. در این مدل، کاربران پس از ورود به شبکه، معمولاً مورد اعتماد قرار میگیرند و به همه منابع دسترسی دارند.
این نوع دسترسی باز، آسیبپذیریهای بزرگی در شبکه ایجاد میکند، بهویژه زمانی که بررسی هویت کاربران یا دستگاهها به سادگی انجام نشود.
در مقابل، Zero Trust این مدل را وارونه میکند: در این رویکرد هیچ مرز امنی وجود ندارد. تمام کاربران و دستگاهها بهعنوان تهدید بالقوه در نظر گرفته میشوند و دسترسی صرفاً به دلیل حضور در شبکه اعطا نمیشود.
هر درخواست دسترسی بر اساس اصل need to know ارزیابی میشود. یعنی تمام ترافیک — صرفنظر از منبع آن — باید authenticated، authorized و encrypted شود.
جلسات کاربران و دستگاهها محدود بوده و ممکن است نیاز به احراز هویت پیشرفته مانند Multi-Factor Authentication (MFA) داشته باشند.
استاندارد IoT SAFE و مدل امنیتی Zero Trust
در شبکههای سلولار و سیستمهای پرداخت، سالهاست که امنیت بر پایه smart card و معماری zero trust برقرار بوده است.
حال اگر بتوانیم همان اصول را در IoT سلولار نیز به کار بگیریم چه میشود؟
این همان چیزی است که GSMA با معرفی IoT SAFE در سال ۲۰۱۹ دنبال کرد — مشخصهای که به تمام فعالان صنعت اجازه میدهد از قابلیتهای امنیتی SIM بهعنوان یک trusted endpoint استفاده کنند.
بهعنوان یک smart card، SIM ذاتاً بر اساس معماری zero trust طراحی شده است.
راهکار zero trust مبتنی بر NIST 800-207، اعتماد ضمنی را حذف کرده و هر تعامل دیجیتال را بهصورت مداوم تأیید میکند. این مدل، اثر حملات احتمالی را کاهش داده و جمعآوری و پاسخ خودکار به دادههای محیطی را ممکن میسازد. در چنین محیطی، هر user، device و application برای هر تراکنش باید تأیید و مجاز شود.
با استفاده از IoT SAFE، GSMA امکان استفاده از امنیت SIM در data transmission و application layer را فراهم کرده است.
SIM میتواند بهعنوان root of trust برای TLS یا DTLS handshake عمل کند، با یک key pair که در فرآیند secure personalization بارگذاری شده و برای امضای گواهی handshake بهکار میرود.
همچنین private keys میتوانند برای امضای تراکنشهای برنامه کاربردی استفاده شوند. به بیان دیگر، IoT SAFE همان معماری zero trust در مدیریت شبکه سلولار را به سطح انتقال داده و اپلیکیشن گسترش میدهد؛ جایی که نوآوریهای IoT اتفاق میافتد.
همگرایی Zero Trust Architecture و Zero Touch Provisioning
SIM میتواند بهصورت مستقل از cloud service providers و حتی cellular network providers، بدون دخالت کاربر provisioned شود. این قابلیت، مدیریت ناوگانهای بزرگ دستگاههای موبایل را بسیار سادهتر میکند.
راهکار نوآورانه Open IoT SAFE، فناوری IoT SAFE را با استاندارد Enrollment over Secure Transport (IETF RFC7030) ترکیب میکند؛ که به دستگاه اجازه میدهد پس از استقرار، یک cloud certificate جدید با key pair تازهای که روی SIM تولید شده دریافت کند.
با فناوری eSIM — یعنی قابلیت دریافت cellular network profiles از راه دور — IoT SAFE میتواند مستقل از اپراتور شبکه سلولار نیز عمل کند.
ترکیب این فناوریها، دستگاههای IoT را قادر میسازد تا با یک SIM آماده برای Zero-Touch Provisioning (ZTP) از طریق cloud و متصل به اپراتورهای موجود، مستقر شوند.
کاربردهای Zero Trust در IoT SAFE
موارد استفاده جالب از مدل امنیتی Zero Trust با استاندارد IoT SAFE شامل موارد زیر است:
- پایش و کنترل از راه دور تجهیزات صنعتی
- اتوماسیون خانگی و کنترل دسترسی ایمن
- عیبیابی و نگهداری خودروهای متصل (Connected Vehicles)
- سیستمهای پرداخت موبایلی ایمن
- ساختمانهای هوشمند و مدیریت انرژی
- ردیابی ایمن داراییها (Secure Asset Tracking)
- انتقال و ذخیرهسازی امن دادهها
منبع: iotforall
