پذیرش Internet of Things (IoT) به‌سرعت به یک عامل رشد و توانمندسازی کسب‌وکارها تبدیل شده است، اما در عین حال چالش‌های امنیتی جدیدی را نیز برای تیم‌های شبکه و امنیت ایجاد کرده است.
با ادامه تلاش سازمان‌ها برای تحول دیجیتال و گسترش راهکارهای IoT، به‌زودی مشخص می‌شود که رویکردهای سنتی برای ایمن‌سازی و مدیریت این دستگاه‌ها باید با دنیای cloud-based سازگار شوند.

از سوی دیگر، رویکردهای جدید امنیتی در IoT که بر پایه حفاظت از identities و authentication طراحی شده‌اند، فرصت‌های تازه‌ای برای داده و درآمد دیجیتال ایجاد می‌کنند. اکنون زمان آن رسیده است که CISOها و رهبران امنیت IT از راهکارهای قدیمی عبور کنند و به یک دیدگاه جامع در کل IoT lifecycle برسند — دیدگاهی که امنیتی پایدار ایجاد کرده و در عین فعال‌سازی IoT، شبکه را در برابر تهدیدهای شناخته‌شده و ناشناخته محافظت کند.

در این نقطه، مفهوم Zero Trust Security Approach وارد می‌شود. اگر نگران پیاده‌سازی یک معماری امنیتی آینده‌نگر هستید، تنها نیستید.
ما با همکاری Fierce Wireless گفت‌وگویی تخصصی با کارشناسان Kigen و Murata Technologies برگزار کردیم تا نحوه اجرای معماری Zero Trust و نمونه‌هایی از بهترین شیوه‌ها با استاندارد IoT SAFE را بررسی کنیم. در ادامه خلاصه‌ای از این گفت‌وگو آمده است:

“پذیرش Internet of Things (IoT) به‌سرعت به یک عامل توانمندساز کسب‌وکارها تبدیل شده، اما در عین حال چالش‌های امنیتی جدیدی را برای تیم‌های شبکه و امنیت ایجاد کرده است.”
Kigen UK Limited

رویکرد Zero Trust در امنیت

مدل Zero Trust یک چارچوب امنیتی است که در آن همه کاربران — چه در داخل و چه خارج از شبکه سازمان — باید authenticated، authorized و به‌صورت مداوم از نظر پیکربندی و وضعیت امنیتی بررسی شوند، پیش از آنکه به applications و data دسترسی پیدا کنند یا آن را حفظ کنند.

در حالی که همه دستگاه‌ها باید تحت کنترل‌های دسترسی قرار گیرند، IoT devices چالش‌برانگیزترند زیرا معمولاً فاقد کنترل‌های دسترسی داخلی هستند. این دستگاه‌ها کوچک، کم‌مصرف و فاقد حافظه یا CPU کافی برای پردازش‌های امنیتی‌اند.

راهکارهای IoT باید به‌صورت end-to-end ایمن شوند — از دستگاه تا cloud یا سرویس‌های hybrid که داده‌ها در آن‌ها پردازش می‌شود.
ایمن‌سازی IoT پیچیدگی بیشتری دارد زیرا تنوع عظیمی در طراحی، سخت‌افزار، سیستم‌عامل، نوع استقرار و سایر موارد وجود دارد.

به‌عنوان مثال، بسیاری از دستگاه‌های IoT user-less هستند و پردازش‌های خودکار انجام می‌دهند؛ این ویژگی ادغام آن‌ها را با ابزارهای مدیریت هویت و دسترسی دشوار می‌کند.
همچنین برخی از این دستگاه‌ها در محیط‌هایی نصب شده‌اند که اصلاً برای اتصال شبکه طراحی نشده‌اند یا از قابلیت‌ها و اتصالات محدودی برخوردارند — و همین باعث می‌شود ایمن‌سازی آن‌ها دشوارتر شود.

علاوه بر این، IoT endpoints توسط هزاران ODM مختلف با صدها ماژول سلولار و سیستم‌عامل‌های گوناگون تولید می‌شوند؛ بنابراین استانداردسازی و سازگاری حیاتی است.

تفاوت Zero Trust با مدل‌های امنیتی سنتی

مدل‌های سنتی امنیتی، یک محیط پیرامونی امن (secure perimeter) در اطراف شبکه سازمان ایجاد می‌کنند — با firewall‌ها و VPNهای درون‌سازمانی. در این مدل، کاربران پس از ورود به شبکه، معمولاً مورد اعتماد قرار می‌گیرند و به همه منابع دسترسی دارند.
این نوع دسترسی باز، آسیب‌پذیری‌های بزرگی در شبکه ایجاد می‌کند، به‌ویژه زمانی که بررسی هویت کاربران یا دستگاه‌ها به سادگی انجام نشود.

در مقابل، Zero Trust این مدل را وارونه می‌کند: در این رویکرد هیچ مرز امنی وجود ندارد. تمام کاربران و دستگاه‌ها به‌عنوان تهدید بالقوه در نظر گرفته می‌شوند و دسترسی صرفاً به دلیل حضور در شبکه اعطا نمی‌شود.

هر درخواست دسترسی بر اساس اصل need to know ارزیابی می‌شود. یعنی تمام ترافیک — صرف‌نظر از منبع آن — باید authenticated، authorized و encrypted شود.
جلسات کاربران و دستگاه‌ها محدود بوده و ممکن است نیاز به احراز هویت پیشرفته مانند Multi-Factor Authentication (MFA) داشته باشند.

استاندارد IoT SAFE و مدل امنیتی Zero Trust

در شبکه‌های سلولار و سیستم‌های پرداخت، سال‌هاست که امنیت بر پایه smart card و معماری zero trust برقرار بوده است.
حال اگر بتوانیم همان اصول را در IoT سلولار نیز به کار بگیریم چه می‌شود؟

این همان چیزی است که GSMA با معرفی IoT SAFE در سال ۲۰۱۹ دنبال کرد — مشخصه‌ای که به تمام فعالان صنعت اجازه می‌دهد از قابلیت‌های امنیتی SIM به‌عنوان یک trusted endpoint استفاده کنند.
به‌عنوان یک smart card، SIM ذاتاً بر اساس معماری zero trust طراحی شده است.

راهکار zero trust مبتنی بر NIST 800-207، اعتماد ضمنی را حذف کرده و هر تعامل دیجیتال را به‌صورت مداوم تأیید می‌کند. این مدل، اثر حملات احتمالی را کاهش داده و جمع‌آوری و پاسخ خودکار به داده‌های محیطی را ممکن می‌سازد. در چنین محیطی، هر user، device و application برای هر تراکنش باید تأیید و مجاز شود.

با استفاده از IoT SAFE، GSMA امکان استفاده از امنیت SIM در data transmission و application layer را فراهم کرده است.
SIM می‌تواند به‌عنوان root of trust برای TLS یا DTLS handshake عمل کند، با یک key pair که در فرآیند secure personalization بارگذاری شده و برای امضای گواهی handshake به‌کار می‌رود.

همچنین private keys می‌توانند برای امضای تراکنش‌های برنامه کاربردی استفاده شوند. به بیان دیگر، IoT SAFE همان معماری zero trust در مدیریت شبکه سلولار را به سطح انتقال داده و اپلیکیشن گسترش می‌دهد؛ جایی که نوآوری‌های IoT اتفاق می‌افتد.

همگرایی Zero Trust Architecture و Zero Touch Provisioning

SIM می‌تواند به‌صورت مستقل از cloud service providers و حتی cellular network providers، بدون دخالت کاربر provisioned شود. این قابلیت، مدیریت ناوگان‌های بزرگ دستگاه‌های موبایل را بسیار ساده‌تر می‌کند.

راهکار نوآورانه Open IoT SAFE، فناوری IoT SAFE را با استاندارد Enrollment over Secure Transport (IETF RFC7030) ترکیب می‌کند؛ که به دستگاه اجازه می‌دهد پس از استقرار، یک cloud certificate جدید با key pair تازه‌ای که روی SIM تولید شده دریافت کند.

با فناوری eSIM — یعنی قابلیت دریافت cellular network profiles از راه دور — IoT SAFE می‌تواند مستقل از اپراتور شبکه سلولار نیز عمل کند.
ترکیب این فناوری‌ها، دستگاه‌های IoT را قادر می‌سازد تا با یک SIM آماده برای Zero-Touch Provisioning (ZTP) از طریق cloud و متصل به اپراتورهای موجود، مستقر شوند.

کاربردهای Zero Trust در IoT SAFE

موارد استفاده جالب از مدل امنیتی Zero Trust با استاندارد IoT SAFE شامل موارد زیر است:

  • پایش و کنترل از راه دور تجهیزات صنعتی
  • اتوماسیون خانگی و کنترل دسترسی ایمن
  • عیب‌یابی و نگهداری خودروهای متصل (Connected Vehicles)
  • سیستم‌های پرداخت موبایلی ایمن
  • ساختمان‌های هوشمند و مدیریت انرژی
  • ردیابی ایمن دارایی‌ها (Secure Asset Tracking)
  • انتقال و ذخیره‌سازی امن داده‌ها

 

منبع: iotforall

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *