嵌入式系統(tǒng)的分布式安全
網(wǎng)絡(luò)嵌入式系統(tǒng)需要強(qiáng)大的安全措施,但大多數(shù)嵌入式工程師并不是安全專家。為了防范各種威脅,他們需要得到有關(guān)這些威脅性質(zhì)的指導(dǎo),以及從確保硬件設(shè)計(jì)安全到實(shí)施加密協(xié)議的多層防御策略。
這種需求催生了基于零信任原則的分布式安全框架,并強(qiáng)調(diào)了信息安全三要素:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),簡稱“CIA”。
01、邊緣設(shè)備的漏洞
在大多數(shù)情況下,企業(yè)對邊緣設(shè)備部署的范圍缺乏全面的了解。在物聯(lián)網(wǎng)(IoT) 中,許多設(shè)備都布置在傳統(tǒng)網(wǎng)絡(luò)安全邊界之外,很容易受到攻擊。這些設(shè)備通常位于較遠(yuǎn)的位置,這給有效管理和安全帶來了困難,而且IT部門對邊緣設(shè)備的監(jiān)督通常很有限,因此監(jiān)控成為了一項(xiàng)難題。
此外,嵌入式設(shè)備設(shè)計(jì)團(tuán)隊(duì)的測試資源往往有限,因此很可能會忽視一些漏洞。對于許多依賴第三方庫和框架的設(shè)計(jì)來說,這種風(fēng)險(xiǎn)尤其高。這些組件中的漏洞往往是眾所周知的,并且被頻繁利用,特別是在開源解決方案中。
同樣,不及時(shí)更新固件也會使設(shè)備容易受到攻擊。這里存在一個(gè)兩難的問題,因?yàn)楣碳艿降年P(guān)注往往不如軟件,但同時(shí),固件中的漏洞也可能成為未經(jīng)授權(quán)訪問和執(zhí)行惡意代碼的入口。
遺憾的是,如果身份驗(yàn)證和授權(quán)機(jī)制薄弱,即使是極先進(jìn)的系統(tǒng)也很容易受到攻擊。憑證和會話管理不善等缺陷會使設(shè)備容易受到暴力破解和會話劫持攻擊。同樣,設(shè)計(jì)不當(dāng)?shù)?a class="article-link" target="_blank" href="/tag/API/">API也容易成為拒絕服務(wù)(DoS)和其他攻擊的入口。
邊緣設(shè)備上有限的計(jì)算資源限制了潛在防御的范圍,使其容易受到過載攻擊。這一風(fēng)險(xiǎn)凸顯了確保邊緣設(shè)備擁有足夠資源來應(yīng)對需求高峰并抵御資源耗盡攻擊的重要性。
為了應(yīng)對這些威脅,我們需要了解CIA三元組,即三個(gè)基本原則:
代碼和數(shù)據(jù)的保密性
加密是實(shí)現(xiàn)這一目標(biāo)的基礎(chǔ),但由于邊緣設(shè)備的資源限制,并非所有加密技術(shù)都適合嵌入式系統(tǒng)。硬件加速器可以支持常見的加密工作,如廣泛流行的對稱加密算法高級加密標(biāo)準(zhǔn)(AES)和SSL/TLS認(rèn)證中使用的非對稱加密算法RSA,從而減輕這種負(fù)擔(dān)。
可信平臺模塊(TPM)對于確保加密密鑰的安全非常重要。TPM不僅能將密鑰、密碼和數(shù)字簽名等敏感數(shù)據(jù)安全地存儲在極難訪問或篡改的硬件飛地中,還具有其他一些功能。
保持系統(tǒng)和功能正常運(yùn)行的可用性
這包括糾錯碼(ECC)存儲器和看門狗定時(shí)器等有助于避免災(zāi)難性故障的措施。同樣,異常處理和自檢等軟件機(jī)制也可用于檢測和恢復(fù)錯誤。
在某些情況下,有必要采用冗余硬件,以便在不中斷運(yùn)行的情況下處理故障。軟件冗余也能提供類似的功能,例如,在多個(gè)虛擬化環(huán)境中復(fù)制軟件密鑰。
當(dāng)然,并非所有威脅都發(fā)生在數(shù)字領(lǐng)域。邊緣設(shè)備的后端設(shè)計(jì)也必須考慮到安全性問題。此外,還應(yīng)制定備份系統(tǒng)和恢復(fù)計(jì)劃,以便在系統(tǒng)受到威脅時(shí)迅速恢復(fù)。
02、保護(hù)邊緣設(shè)備安全的綜合策略
要實(shí)施能實(shí)現(xiàn)這些目標(biāo)的措施,就必須在安全性、資源限制和操作需求之間取得謹(jǐn)慎的平衡。工程師可以采用專為嵌入式系統(tǒng)定制且行之有效的安全方法來應(yīng)對這一挑戰(zhàn)。這些方法包括:
#01、設(shè)計(jì)安全
從系統(tǒng)架構(gòu)到設(shè)計(jì)細(xì)節(jié),每一個(gè)開發(fā)階段都應(yīng)考慮安全問題,包括法規(guī)和標(biāo)準(zhǔn)合規(guī)性、安全的產(chǎn)品開發(fā)周期以及深度防御策略。
#02、零信任架構(gòu)
這種模式的核心是假定基礎(chǔ)架構(gòu)不斷受到威脅,包括企業(yè)自有系統(tǒng)內(nèi)部的威脅。穩(wěn)健的解決方案包括三個(gè)主要策略:強(qiáng)化身份管理、邏輯微分段和基于網(wǎng)絡(luò)的分段。
#03、分割和隔離
目的是隔離關(guān)鍵系統(tǒng),使攻擊難以在網(wǎng)絡(luò)內(nèi)橫向移動。微隔離可限制除允許數(shù)據(jù)包以外的所有網(wǎng)絡(luò)數(shù)據(jù)包。容器化可隔離應(yīng)用程序及其依賴關(guān)系,通過限制對敏感信息的訪問來提高保密性和完整性。
這些方法與CIA的三元組設(shè)計(jì)原則非常吻合,為工程師提供了有效的工具來增強(qiáng)其邊緣設(shè)備的安全性。通過采用這一框架,設(shè)計(jì)人員可以極大限度地降低系統(tǒng)風(fēng)險(xiǎn),保護(hù)整個(gè)基礎(chǔ)設(shè)施免受攻擊。