嵌入式系統(tǒng)的分布式安全
網(wǎng)絡嵌入式系統(tǒng)需要強大的安全措施,但大多數(shù)嵌入式工程師并不是安全專家。為了防范各種威脅,他們需要得到有關(guān)這些威脅性質(zhì)的指導,以及從確保硬件設計安全到實施加密協(xié)議的多層防御策略。
這種需求催生了基于零信任原則的分布式安全框架,并強調(diào)了信息安全三要素:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),簡稱“CIA”。
01、邊緣設備的漏洞
在大多數(shù)情況下,企業(yè)對邊緣設備部署的范圍缺乏全面的了解。在物聯(lián)網(wǎng)(IoT) 中,許多設備都布置在傳統(tǒng)網(wǎng)絡安全邊界之外,很容易受到攻擊。這些設備通常位于較遠的位置,這給有效管理和安全帶來了困難,而且IT部門對邊緣設備的監(jiān)督通常很有限,因此監(jiān)控成為了一項難題。
此外,嵌入式設備設計團隊的測試資源往往有限,因此很可能會忽視一些漏洞。對于許多依賴第三方庫和框架的設計來說,這種風險尤其高。這些組件中的漏洞往往是眾所周知的,并且被頻繁利用,特別是在開源解決方案中。
同樣,不及時更新固件也會使設備容易受到攻擊。這里存在一個兩難的問題,因為固件受到的關(guān)注往往不如軟件,但同時,固件中的漏洞也可能成為未經(jīng)授權(quán)訪問和執(zhí)行惡意代碼的入口。
遺憾的是,如果身份驗證和授權(quán)機制薄弱,即使是極先進的系統(tǒng)也很容易受到攻擊。憑證和會話管理不善等缺陷會使設備容易受到暴力破解和會話劫持攻擊。同樣,設計不當?shù)?a class="article-link" target="_blank" href="/tag/API/">API也容易成為拒絕服務(DoS)和其他攻擊的入口。
邊緣設備上有限的計算資源限制了潛在防御的范圍,使其容易受到過載攻擊。這一風險凸顯了確保邊緣設備擁有足夠資源來應對需求高峰并抵御資源耗盡攻擊的重要性。
為了應對這些威脅,我們需要了解CIA三元組,即三個基本原則:
代碼和數(shù)據(jù)的保密性
加密是實現(xiàn)這一目標的基礎,但由于邊緣設備的資源限制,并非所有加密技術(shù)都適合嵌入式系統(tǒng)。硬件加速器可以支持常見的加密工作,如廣泛流行的對稱加密算法高級加密標準(AES)和SSL/TLS認證中使用的非對稱加密算法RSA,從而減輕這種負擔。
可信平臺模塊(TPM)對于確保加密密鑰的安全非常重要。TPM不僅能將密鑰、密碼和數(shù)字簽名等敏感數(shù)據(jù)安全地存儲在極難訪問或篡改的硬件飛地中,還具有其他一些功能。
保持系統(tǒng)和功能正常運行的可用性
這包括糾錯碼(ECC)存儲器和看門狗定時器等有助于避免災難性故障的措施。同樣,異常處理和自檢等軟件機制也可用于檢測和恢復錯誤。
在某些情況下,有必要采用冗余硬件,以便在不中斷運行的情況下處理故障。軟件冗余也能提供類似的功能,例如,在多個虛擬化環(huán)境中復制軟件密鑰。
當然,并非所有威脅都發(fā)生在數(shù)字領(lǐng)域。邊緣設備的后端設計也必須考慮到安全性問題。此外,還應制定備份系統(tǒng)和恢復計劃,以便在系統(tǒng)受到威脅時迅速恢復。
02、保護邊緣設備安全的綜合策略
要實施能實現(xiàn)這些目標的措施,就必須在安全性、資源限制和操作需求之間取得謹慎的平衡。工程師可以采用專為嵌入式系統(tǒng)定制且行之有效的安全方法來應對這一挑戰(zhàn)。這些方法包括:
#01、設計安全
從系統(tǒng)架構(gòu)到設計細節(jié),每一個開發(fā)階段都應考慮安全問題,包括法規(guī)和標準合規(guī)性、安全的產(chǎn)品開發(fā)周期以及深度防御策略。
#02、零信任架構(gòu)
這種模式的核心是假定基礎架構(gòu)不斷受到威脅,包括企業(yè)自有系統(tǒng)內(nèi)部的威脅。穩(wěn)健的解決方案包括三個主要策略:強化身份管理、邏輯微分段和基于網(wǎng)絡的分段。
#03、分割和隔離
目的是隔離關(guān)鍵系統(tǒng),使攻擊難以在網(wǎng)絡內(nèi)橫向移動。微隔離可限制除允許數(shù)據(jù)包以外的所有網(wǎng)絡數(shù)據(jù)包。容器化可隔離應用程序及其依賴關(guān)系,通過限制對敏感信息的訪問來提高保密性和完整性。
這些方法與CIA的三元組設計原則非常吻合,為工程師提供了有效的工具來增強其邊緣設備的安全性。通過采用這一框架,設計人員可以極大限度地降低系統(tǒng)風險,保護整個基礎設施免受攻擊。