IoT合规监控与云安全全解析

# IoT合规监控与云安全全解析 ## 1. IoT合规监控与风险管理 ### 1.1 消费订购技术合规考量 从合规角度看，消费订购技术是物联网的一个有趣方面。以亚马逊的Dash按钮为例，它能让用户轻松、快速地订购产品。虽然该设备不处理信用卡信息，但会与亚马逊系统互联以提交产品订单。处于金融交易边缘的设备，需要评估是否适用某些金融行业标准。 ### 1.2 NIST风险管理框架（RMF） NIST特殊出版物800 - 53是安全风险管理控制和控制类别的支柱，可视为安全控制元标准，它能根据组织的系统定义和风险建模进行定制。RMF的连续迭代步骤如下： 1. **系统分类**：根据系统对任务操作的重要性和处理数据的敏感性对系统进行分类。 2. **选择安全控制**：挑选合适的安全控制措施。 3. **实施安全控制**：执行选定的安全控制。 4. **评估实施情况**：对安全控制的实施进行评估。 5. **系统授权**：授权系统投入使用。 6. **持续监控**：持续监测系统的安全态势。 这个过程具有灵活性，可应用于任何物联网系统的实施。 ## 2. 物联网云服务概述 ### 2.1 云服务与物联网的关系 在B2B、消费和工业物联网部署中，基于云的物联网支持服务能将设备、设备数据、个人和组织连接起来。网关、应用程序、协议代理以及各种数据分析和商业智能组件都部署在云端，以实现便捷性、成本效益和可扩展性。云服务提供商也在提供更多功能，以支持安全连接物联网产品。例如，ARM与飞思卡尔和IBM合作创建的云启用物联网入门套件，能让MCU自动将数据流式传输到网站，但开发者在实际生产中使用时需进行安全工程处理。 ### 2.2 云服务在物联网中的应用场景 - **资产/库存管理**：云是实现企业资产/库存管理的理想解决方案，可提供组织内所有已注册和授权设备的视图。 - **服务供应、计费和权限管理**：许多物联网设备供应商将设备作为服务提供给客户，这需要跟踪权限、授权设备操作以及根据使用量进行计费。例如，相机和其他传感器的订阅服务、可穿戴设备的监控和跟踪服务等。 - **实时监控**：支持关键任务功能的云应用程序可提供实时监控功能。许多组织将工业控制系统和工业监控功能迁移到云端，以降低运营成本、提高数据可用性并开拓新的B2B和B2C服务。随着物联网端点的增加，可编程逻辑控制器（PLC）和远程终端单元（RTU）等设备将直接连接到云端，实现更高效的系统监控。 - **传感器协调**：机器对机器交易能增强协调能力，实现服务谈判自动化。云将在这些自动化工作流程中发挥核心作用，物联网设备可通过云服务获取最新信息、限制或指令。 - **客户智能和营销**：物联网能根据客户需求进行个性化营销。Salesforce的物联网云可通过实时事件引擎为客户提供自动触发消息或向销售人员发送警报的功能。此外，物联网还能通过收集家电使用数据，实现能源效率提升和成本降低。 - **信息共享**：物联网能实现信息在多个利益相关者之间的共享，如云的信息共享和互操作性服务是实现强大物联网分析的必要前提。wot.io等提供商可提供中间件层的数据交换服务，以支持不同数据语言的转换。 - **消息传输/广播**：云的集中、灵活和弹性能力使其成为实现大规模物联网消息交易服务的理想环境。许多云服务支持HTTP、MQTT等协议，可满足物联网数据处理的规模管理需求。 ### 2.3 物联网云安全威胁 |威胁区域|目标/攻击方式| | ---- | ---- | |云系统管理员和用户|窃取管理员密码、令牌或SSH密钥，登录并破坏组织的虚拟私有云；对用户/管理员主机进行跨站脚本攻击；通过网页浏览或电子邮件附件植入恶意有效负载| |虚拟端点（VM、容器）|VM和其他容器漏洞、Web应用程序漏洞、不安全的物联网网关、不安全的物联网代理、配置错误的Web服务器、易受攻击的数据库（如SQL注入）或数据库访问控制配置错误| |网络|虚拟网络组件遭受拒绝服务攻击| |连接到云的物联网设备|不安全的物联网边缘网关、篡改和嗅探流量、注入恶意有效负载、设备端点欺骗、缺乏加密/机密性、不良密码套件、缺乏完美