AWS Study Group

Cách triển khai giải pháp Zero Trust IoT với AWS IoT

của Syed Rehan và Ryan Dsouza | ngày 08 tháng 5 năm 2024 | trong Announcements, AWS IoT Core, AWS IoT Device Defender, AWS IoT Device Management, AWS IoT Events, AWS IoT Greengrass, AWS IoT SiteWise, AWS Security Hub, AWS Security Token Service, Best Practices, Customer Solutions, Internet of Things, Security, Security, Identity, & Compliance, Technical How-to, Thought Leadership | Permalink |  Share

Một trong những thách thức chính mà khách hàng gặp phải là xác định cách áp dụng các nguyên tắc “Zero Trust” cho IoT và cách bắt đầu kết hợp các nguyên tắc Zero Trust bằng AWS IoT. Trong bài đăng trên blog này, chúng tôi thảo luận về các nguyên tắc Zero Trust bằng cách sử dụng nguyên lý NIST 800-207 Zero Trust làm tài liệu tham khảo và các dịch vụ AWS IoT hỗ trợ Zero Trust theo mặc định và có thể được sử dụng để cho phép triển khai Zero Trust IoT.

Bảo mật Zero Trust là gì?

Hãy bắt đầu với việc xác định Zero Trust, một mô hình khái niệm và một bộ cơ chế liên quan tập trung vào việc cung cấp các biện pháp kiểm soát bảo mật xung quanh tài sản kỹ thuật số. Các biện pháp kiểm soát bảo mật này không chỉ phụ thuộc hoặc về cơ bản vào các biện pháp kiểm soát mạng truyền thống hoặc chu vi mạng. Nó yêu cầu người dùng, thiết bị và hệ thống chứng minh danh tính và độ tin cậy của họ, đồng thời thực thi các quy tắc ủy quyền chi tiết dựa trên danh tính trước khi cho phép họ truy cập vào ứng dụng, dữ liệu và các tài sản khác.

Nguyên tắc Zero Trust dành cho toàn bộ cơ sở hạ tầng của tổ chức, bao gồm Công nghệ vận hành (OT), hệ thống CNTT, IoT và Internet vạn vật công nghiệp (IIoT). Đó là về việc đảm bảo mọi thứ, ở mọi nơi. Các mô hình bảo mật truyền thống chủ yếu dựa vào phân đoạn mạng và mang lại mức độ tin cậy cao cho các thiết bị dựa trên sự hiện diện của chúng trên mạng. Để so sánh, Zero Trust là một phương pháp tiếp cận chủ động và tích hợp nhằm xác minh rõ ràng các thiết bị được kết nối bất kể vị trí mạng, xác nhận ít đặc quyền nhất và dựa vào trí thông minh, khả năng phát hiện nâng cao và phản hồi theo thời gian thực đối với các mối đe dọa. Với sự phổ biến của các thiết bị IoT trong doanh nghiệp và thiết bị IIoT trong công nghiệp, cùng với sự gia tăng các mối đe dọa trên mạng và các mô hình làm việc kết hợp, các tổ chức phải đối mặt với việc bảo vệ bề mặt tấn công mở rộng và những thách thức bảo mật mới. Zero Trust cung cấp một mô hình bảo mật tốt hơn nhờ các nguyên tắc bảo mật mà nó sử dụng và là lĩnh vực được chính phủ và doanh nghiệp ngày càng giám sát chặt chẽ.

Mô hình Zero Trust có thể cải thiện đáng kể tư thế bảo mật của tổ chức bằng cách giảm sự phụ thuộc duy nhất vào bảo vệ dựa trên chu vi. Điều này không có nghĩa là loại bỏ hoàn toàn bảo mật chu vi. Khi có thể, hãy sử dụng kết hợp các khả năng về danh tính và mạng để bảo vệ tài sản cốt lõi và áp dụng các nguyên tắc Zero Trust theo hướng ngược lại từ các trường hợp cụ thể với trọng tâm là khai thác giá trị kinh doanh và đạt được kết quả kinh doanh có thể đo lường được.

Để trợ giúp bạn trong hành trình này, AWS cung cấp một số dịch vụ IoT có thể được sử dụng cùng với các dịch vụ mạng và nhận dạng AWS khác để cung cấp các khối xây dựng Zero Trust cốt lõi dưới dạng tính năng tiêu chuẩn có thể áp dụng cho hoạt động triển khai IoT doanh nghiệp và IoT công nghiệp.

Điều chỉnh AWS IoT với nguyên tắc NIST 800-207 Zero Trust

AWS IoT giúp bạn áp dụng kiến ​​trúc Zero Trust (ZTA) dựa trên NIST 800-207 bằng cách tuân theo 7 nguyên lý Zero Trust được mô tả ở đây:

  1. Tất cả nguồn dữ liệu và dịch vụ tính toán được xem như tài nguyên.

Trong AWS, chúng tôi đã đảm bảo rằng tất cả nguồn dữ liệu và dịch vụ điện toán của bạn đều được mô hình hóa dưới dạng tài nguyên. Đó là bản chất của hệ thống quản lý truy cập của chúng tôi. Ví dụ:  AWS IoT Core, AWS IoT Greengrass, v.v. được coi là tài nguyên cũng như dịch vụ như  Amazon S3, Amazon DynamoDB, v.v. mà các thiết bị IoT có thể gọi một cách an toàn. Mỗi thiết bị được kết nối phải có thông tin xác thực để tương tác với các dịch vụ AWS IoT. Tất cả lưu lượng truy cập đến và đi từ các dịch vụ AWS IoT đều được gửi an toàn qua Bảo mật lớp truyền tải (TLS). Cơ chế bảo mật đám mây AWS bảo vệ dữ liệu khi dữ liệu di chuyển giữa các dịch vụ AWS IoT và các dịch vụ AWS khác.

  1. Tất cả thông tin liên lạc được bảo mật kể cả vị trí mạng.

Với dịch vụ AWS IoT, tất cả hoạt động liên lạc đều được bảo mật theo mặc định. Điều này có nghĩa là tất cả hoạt động giao tiếp giữa các thiết bị và dịch vụ đám mây đều được bảo mật độc lập với vị trí mạng bằng cách xác thực và ủy quyền riêng lẻ cho mọi lệnh gọi API AWS qua TLS. Khi một thiết bị kết nối với các thiết bị hoặc dịch vụ đám mây khác, thiết bị đó phải thiết lập sự tin cậy bằng cách xác thực bằng các nguyên tắc như chứng chỉ X.509, mã thông báo bảo mật hoặc thông tin xác thực khác. Mô hình bảo mật AWS IoT hỗ trợ xác thực dựa trên chứng chỉ hoặc trình ủy quyền tùy chỉnh cho các thiết bị cũ, ủy quyền bằng chính sách IoT và mã hóa bằng TLS 1.2, đồng thời tất cả giao tiếp giữa các thiết bị và dịch vụ đám mây đều được bảo mật độc lập với vị trí mạng. Cùng với danh tính mạnh do dịch vụ AWS IoT cung cấp, Zero Trust yêu cầu quyền kiểm soát truy cập đặc quyền tối thiểu để kiểm soát các hoạt động mà thiết bị được phép thực hiện sau khi kết nối với AWS IoT Core và để hạn chế tác động từ danh tính đã xác thực có thể đã bị xâm phạm và điều này có thể đạt được bằng cách sử dụng chính sách AWS IoT.

AWS cung cấp phần mềm thiết bị để cho phép các thiết bị IoT và IIoT kết nối an toàn với các thiết bị và dịch vụ AWS khác trên đám mây. AWS IoT Greengrass là dịch vụ đám mây và thời gian chạy biên mã nguồn mở IoT giúp xây dựng, triển khai và quản lý phần mềm thiết bị. AWS IoT Greengrass xác thực và mã hóa dữ liệu thiết bị cho cả giao tiếp cục bộ và đám mây, để dữ liệu không bao giờ được trao đổi giữa các thiết bị và đám mây mà không chứng minh được danh tính. Một ví dụ khác là FreeRTOS. FreeRTOS là một hệ điều hành thời gian thực, mã nguồn mở dành cho các bộ vi điều khiển giúp các thiết bị nhỏ, tiêu thụ điện năng thấp dễ dàng lập trình, triển khai, bảo mật, kết nối và quản lý. FreeRTOS bao gồm hỗ trợ cho Bảo mật lớp truyền tải (TLS v1.2) để liên lạc an toàn và PKCS #11 để sử dụng với các phần tử mật mã dùng để lưu trữ thông tin xác thực một cách an toàn. Với AWS IoT Device Client bạn có thể kết nối an toàn các thiết bị IoT của mình với các dịch vụ AWS IoT.

  1. Quyền truy cập vào tài nguyên doanh nghiệp riêng lẻ được cấp trên cơ sở mỗi session và độ tin cậy được đánh giá trước khi cấp quyền truy cập bằng cách sử dụng ít đặc quyền cần thiết nhất để hoàn thành nhiệm vụ.

Dịch vụ AWS IoT và lệnh gọi API AWS cấp quyền truy cập vào tài nguyên trên cơ sở mỗi session. Các thiết bị IoT cần phải xác thực bằng AWS IoT Core và được cấp phép trước khi có thể thực hiện một hành động, do đó, độ tin cậy vào thiết bị sẽ được AWS IoT Core đánh giá trước khi cấp quyền. Mỗi khi thiết bị muốn kết nối với AWS IoT Core, thiết bị đó sẽ xuất trình chứng chỉ thiết bị hoặc người ủy quyền tùy chỉnh để xác thực với AWS IoT Core, trong thời gian đó các chính sách IoT được thực thi để kiểm tra xem thiết bị có được phép truy cập vào tài nguyên mà nó yêu cầu hay không. Ủy quyền này chỉ có hiệu lực cho session hiện tại. Lần tiếp theo thiết bị muốn kết nối, thiết bị sẽ thực hiện lại các bước tương tự để tạo kiểu truy cập mỗi session này. Điều tương tự cũng áp dụng nếu một thiết bị muốn kết nối với các dịch vụ AWS khác bằng cách sử dụng AWS IoT Core credential provider.

  1. Quyền truy cập vào tài nguyên được xác định bởi chính sách động — bao gồm trạng thái có thể quan sát được của danh tính khách hàng, ứng dụng/dịch vụ và tài sản được yêu cầu, đồng thời có thể bao gồm các thuộc tính hành vi và môi trường khác.

Nguyên tắc cốt lõi đằng sau Zero Trust là không thiết bị IoT nào được cấp quyền truy cập vào các thiết bị và ứng dụng khác cho đến khi được đánh giá rủi ro và được phê duyệt trong các thông số đã đặt ra về hành vi bình thường. Nguyên tắc này áp dụng hoàn hảo cho các thiết bị IoT vì về bản chất chúng có các hành vi hạn chế, ổn định và có thể dự đoán được và có thể sử dụng hành vi của chúng làm thước đo tình trạng của thiết bị. Sau khi được xác định, mọi thiết bị IoT phải được xác minh dựa trên các hành vi cơ bản trước khi được cấp quyền truy cập vào các thiết bị và ứng dụng khác trong mạng. Có một số cách để phát hiện trạng thái thiết bị bằng tính năng  AWS IoT Device Shadow và phát hiện các điểm bất thường của thiết bị bằng AWS IoT Device Defender. Chính sách truy cập được áp dụng cho một tập hợp thiết bị, được gọi là nhóm vật thể trong AWS IoT và được đánh giá trong thời gian chạy trước khi cấp quyền truy cập. Tư cách thành viên trong nhóm có tính linh hoạt và có thể được cấu hình để thay đổi dựa trên hành vi của thiết bị bằng cách sử dụng AWS IoT Device Defender. AWS IoT Device Defender sử dụng các tính năng Phát hiện quy tắc hoặc Phát hiện ML để xác định hành vi thông thường của thiết bị và mọi sai lệch tiềm ẩn so với đường cơ sở. Sau khi phát hiện sự bất thường, thiết bị có thể được chuyển đến nhóm cách ly với các quyền hạn chế dựa trên chính sách của nhóm tĩnh hoặc có thể không được phép kết nối với AWS IoT Core.

  1. Doanh nghiệp giám sát và đo lường tính toàn vẹn và trạng thái bảo mật của tất cả các tài sản được sở hữu và liên quan. Không có tài sản nào vốn đã được tin cậy. Doanh nghiệp đánh giá tình trạng bảo mật của tài sản khi đánh giá yêu cầu tài nguyên. Doanh nghiệp triển khai ZTA nên thiết lập hệ thống chẩn đoán và giảm thiểu liên tục (CDM) hoặc hệ thống tương tự để giám sát trạng thái của thiết bị và ứng dụng, đồng thời nên áp dụng các bản vá/sửa lỗi nếu cần.

AWS IoT Device Defender liên tục kiểm tra và giám sát nhóm thiết bị IoT của bạn và bạn có thể sử dụng các dịch vụ AWS khác để kiểm tra và giám sát liên tục các thành phần và dịch vụ không phải IoT. Dịch vụ này có thể dùng để đánh giá trạng thái bảo mật của tài sản khi đánh giá yêu cầu tài nguyên. Ví dụ: dựa trên kết quả kiểm tra và giám sát nhóm thiết bị của bạn bằng AWS IoT Device Defender, bạn có thể thực hiện các hành động giảm thiểu như đặt thiết bị vào nhóm tĩnh với các quyền hạn chế, thu hồi quyền, cách ly thiết bị, áp dụng các bản vá để duy trì các thiết bị hoạt động tốt bằng cách sử dụng tính năng AWS IoT Jobs để cập nhật qua mạng (OTA), kết nối từ xa với thiết bị để thực hiện dịch vụ hoặc khắc phục sự cố bằng tính năng tạo  AWS IoT secure tunneling.

  1. Tất cả xác thực và ủy quyền tài nguyên đều động và được thực thi nghiêm ngặt trước khi cho phép truy cập. Đây là một chu kỳ liên tục để có được quyền truy cập, quét và đánh giá các mối đe dọa, điều chỉnh và liên tục đánh giá lại niềm tin trong hoạt động liên lạc đang diễn ra.

Zero Trust bắt đầu bằng “từ chối mặc định” và không có quyền truy cập nào được cấp nếu không có xác thực, ủy quyền phù hợp kết hợp với các tín hiệu từ tình trạng thiết bị. Các dịch vụ AWS IoT thực hiện xác thực và ủy quyền trước khi cho phép truy cập và điều này cũng đúng với mọi lệnh gọi API AWS. Zero Trust yêu cầu khả năng phát hiện và ứng phó với các mối đe dọa trên các mạng IoT, IIoT, IT và Cloud. Ngoài AWS IoT Device Defender, các dịch vụ AWS khác có thể được sử dụng để kiểm tra bảo mật, giám sát, cảnh báo, machine learning và thực hiện các hành động giảm nhẹ.

  1. Doanh nghiệp thu thập càng nhiều thông tin càng tốt về tình trạng hiện tại của tài sản, cơ sở hạ tầng mạng và thông tin liên lạc, đồng thời sử dụng thông tin đó để cải thiện tình trạng bảo mật của mình.

Bạn có thể sử dụng dữ liệu thiết bị IoT để liên tục cải thiện tình hình bảo mật với AWS IoT Device Defender. Ví dụ: bạn có thể bắt đầu bằng cách bật tính năng  AWS IoT Device Defender Audit feature trong tài khoản AWS của họ để có được cơ sở bảo mật cho các thiết bị IoT của họ. Bằng cách sử dụng đường cơ sở, bạn có thể thực hiện các cải tiến liên tục để cải thiện tình trạng bảo mật của họ. Sau đó, bạn có thể thêm tính năng AWS IoT Device Defender Rules Detect or ML Detect để phát hiện những điểm bất thường thường thấy trong các thiết bị được kết nối và thực hiện các cải tiến dựa trên kết quả phát hiện. Ngoài ra, với số liệu tùy chỉnh của AWS IoT Device Defender, bạn có thể xác định và giám sát các số liệu dành riêng cho nhóm thiết bị hoặc trường hợp sử dụng của họ. Ngoài dữ liệu thiết bị, bạn có thể nhận thông tin chuyên sâu từ các dữ liệu khác được thu thập trên AWS (kiểm tra, ghi nhật ký, dữ liệu đo từ xa, phân tích) và sử dụng các tính năng của AWS IoT như AWS IoT Jobs để áp dụng các bản vá nhằm cải thiện trạng thái bảo mật và cập nhật phần mềm nhằm cải thiện chức năng của thiết bị và AWS IoT Secure Tunneling để kết nối an toàn với các thiết bị nhằm khắc phục sự cố và dịch vụ từ xa nếu cần, cũng như các dịch vụ AWS khác để liên tục cải thiện tình trạng bảo mật của doanh nghiệp, có thể bao gồm các quyền tinh chỉnh.

Để giúp bạn bắt đầu, bạn có thể thử tham gia hội thảo “ Triển khai Zero Trust với AWS IoT workshop”. Workshop này có thể giúp bạn tích lũy kinh nghiệm tận dụng nhiều dịch vụ AWS IoT để triển khai an toàn và bảo mật các thiết bị IoT thương mại và công nghiệp trên quy mô lớn bằng kiến ​​trúc bảo mật Zero Trust. Làm việc thông qua một kịch bản trong đó bạn chịu trách nhiệm triển khai các thiết bị bên ngoài phạm vi công ty của mình, bạn sẽ tận dụng AWS IoT Core, AWS IoT Device Defender, AWS IoT Device Management và Amazon Simple notification Service (SNS) để xây dựng một kiến ​​trúc linh hoạt bao gồm cả danh tính duy nhất , đặc quyền tối thiểu, kiểm soát quyền truy cập động, theo dõi tình trạng và phân tích hành vi để đảm bảo tính bảo mật cho thiết bị và dữ liệu của bạn. Sau khi phát hiện điểm bất thường về bảo mật, bạn sẽ có thể điều tra và thực hiện các hành động giảm thiểu như cách ly một thiết bị bất thường, đảm bảo kết nối với thiết bị để khắc phục sự cố từ xa và áp dụng bản vá bảo mật để khắc phục các lỗ hổng bảo mật của thiết bị và giữ cho thiết bị luôn hoạt động tốt.

Mô hình triển khai Zero Trust với AWS IoT workshop

Zero Trust không phải là một cuộc đua, nó là một hành trình liên tục.

Zero Trust yêu cầu cách tiếp cận theo từng giai đoạn và vì mỗi tổ chức đều khác nhau nên hành trình của họ sẽ khác nhau dựa trên sự trưởng thành và các mối đe dọa an ninh mạng mà họ đang phải đối mặt. Tuy nhiên, các nguyên tắc cốt lõi của Zero Trust được nêu trong blog này vẫn có thể áp dụng được. Đối với IoT và IIoT, AWS khuyến nghị phương pháp bảo mật nhiều lớp để bảo mật các giải pháp IoT từ đầu đến cuối từ thiết bị này sang thiết bị khác, bao gồm nhu cầu sử dụng danh tính mạnh, quyền truy cập ít đặc quyền nhất, liên tục theo dõi tình trạng và các điểm bất thường của thiết bị, kết nối an toàn với thiết bị để khắc phục sự cố và áp dụng các bản cập nhật liên tục để giữ cho thiết bị luôn cập nhật và hoạt động tốt. Khi chuyển sang kiến ​​trúc Zero Trust, không cần thiết phải tách và thay thế các mạng hiện có cũng như loại bỏ các phương pháp bảo mật truyền thống để triển khai Zero Trust. Thay vào đó, các công ty có thể chuyển sang Zero Trust theo thời gian bằng cách sử dụng phương pháp lặp đi lặp lại để bảo vệ từng tài sản một cho đến khi toàn bộ môi trường được bảo vệ, bắt đầu từ những tài sản quan trọng nhất trước tiên.

Trước khi ngừng hoạt động các biện pháp kiểm soát bảo mật truyền thống với các thành phần Zero Trust, hãy đảm bảo bạn đã thực hiện kiểm tra toàn diện. AWS khuyến nghị sử dụng phương pháp Zero Trust cho các thiết bị IoT và IIoT hiện đại, đồng thời kết hợp các khả năng nhận dạng và mạng như phân đoạn mạng vi mô,  AWS Direct ConnectVPC Endpoints để kết nối các hệ thống OT với các dịch vụ AWS IoT. Ngoài ra, AWS còn cung cấp AWS Outposts cho một số khối lượng công việc nhất định phù hợp hơn với quản lý tại chỗ và AWS Snowball Edge cho các ứng dụng cần xử lý dữ liệu IIoT ở biên. Điều này cho phép lợi thế công nghiệp hoạt động như một “người bảo vệ” giao tiếp cục bộ với các hệ thống OT có năng lực kém hơn, kết nối chúng với các dịch vụ đám mây có mô hình nhận dạng mạnh mẽ. Luôn làm việc ngược từ các trường hợp sử dụng cụ thể và áp dụng Zero Trust cho hệ thống và dữ liệu của bạn theo giá trị của chúng. AWS cung cấp nhiều lựa chọn với các dịch vụ bảo mật và giải pháp Đối tác của AWS, đồng thời cung cấp cho khách hàng một lộ trình dễ dàng hơn, nhanh hơn và tiết kiệm chi phí hơn để hướng tới việc triển khai Zero Trust cho khối lượng công việc IoT và IIoT.

Tìm hiểu thêm

Tìm hiểu thêm về cách tiếp cận dựa trên giá trị của AWS đối với Zero Trust tại  Zero Trust on AWS

Giới thiệu tác giả

Ryan Dsouza là Kiến trúc sư giải pháp toàn cầu cho IoT công nghiệp (IIoT) tại Amazon Web Services (AWS). Có trụ sở tại Thành phố New York, Ryan giúp khách hàng kiến ​​trúc, phát triển và vận hành các giải pháp an toàn, có thể mở rộng và có tính sáng tạo cao bằng cách sử dụng chiều rộng và chiều sâu của khả năng nền tảng AWS để mang lại kết quả kinh doanh có thể đo lường được. Ryan có hơn 25 năm kinh nghiệm trong lĩnh vực nền tảng kỹ thuật số, sản xuất thông minh, quản lý năng lượng, tự động hóa tòa nhà và công nghiệp cũng như bảo mật IIoT trên nhiều ngành công nghiệp khác nhau. Trước AWS, Ryan đã làm việc tại Accenture, SIEMENS, General Electric, IBM và AECOM, phục vụ khách hàng về các sáng kiến ​​chuyển đổi kỹ thuật số của họ.

Syed Rehan là Giám đốc sản phẩm bảo mật cấp cao tại AWS đóng vai trò then chốt trong việc thúc đẩy tăng trưởng doanh thu và triển khai các dịch vụ bảo mật AWS chiến lược. Anh cộng tác chặt chẽ với các nhóm đa chức năng, tận dụng kiến ​​thức chuyên môn của mình về an ninh mạng, IoT và công nghệ đám mây để phát triển và đưa ra các giải pháp bảo mật đổi mới nhằm đáp ứng nhu cầu ngày càng tăng của khách hàng. Sự hiểu biết sâu sắc của Syed về bối cảnh thị trường và những điểm khó khăn của khách hàng cho phép anh xác định các cơ hội sinh lợi và dẫn đầu việc phát triển các dịch vụ bảo mật có tác động cao. Thông qua việc lập kế hoạch sản phẩm chiến lược, tạo lộ trình và chiến lược tiếp cận thị trường hiệu quả, Syed đóng góp đáng kể vào tăng trưởng doanh thu của AWS và củng cố vị thế là công ty dẫn đầu đáng tin cậy về bảo mật đám mây.​​​​​​​​​​​

Link bài viết

Leave a comment