请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器

【原创翻译】雾计算的最佳安全实践

已有 207 次阅读2018-5-31 17:03 |个人分类:原创翻译|系统分类:分享| IIoT, IOS, IoT, IOx, 安全

Patrick Grossetete -  2018523

多年来,思科一直倡导将雾计算作为可扩展、可靠且具有成本效益的物联网架构基本要素。通过开发基于思科IOx的工业物联网解决方案,可以利用部署在OT基础设施边缘的IIoT路由器和交换机对物联网设备生成的数据进行本地过滤、分析和操纵。边缘处理数据需要开发适合雾计算环境的安全和隐私最佳实践,不仅要保护通过思科IOx设备传输的数据,也要确保雾计算数据和运行在成百上千台IIoT设备上的应用程序的安全。

安全从来就不是一个单一的特性、机制或协议,而需要一个多层次计划,就像建造房屋时需要牢固的基础一样。在雾化计算的每个阶段(如图1所示),将思科IOS网络服务和IOx计算的最佳安全实践结合起来,就奠定了这样的基础。

1、思科IOx生命周期和安全支柱


基于以下4个安全支柱奠定基础可帮助IT和运营经理确保数据完整性。

思科IOx安全支柱


访问控制

在雾计算环境中部署和管理应用程序可以决定基于名单的用户认证,使网络管理器和应用程序管理器可以分别执行各自的任务。

·     应用程序管理器身份验证通过Fog DirectorIOx Local Manager(即应用程序的安装/升级、启动/停止、验证和监控)执行IOx应用程序管理任务,这种身份验证可通过Enterprise Radius服务器进行,因此可限制登录访问,防止未经授权的用户登录。

·     拥有特权的IOS网络管理器只需要根据角色而非登录或位置,就可以远程或本地执行网络性能操作,例如设备配置(即IOx网络接口配置和故障排除、Guest-OS启动/停止和登录访问)。


完整性

尽管思科工业IOT设备的硬件和软件完整性已经得到肯定,但雾计算环境还需要额外的能力来确保IOx平台拥有可靠的安全性,例如:

·     Cisco IOS或计算模块映像绑定的数字签名Guest-OS软件以及Cisco ACT2芯片组提供的Trust Anchor ModuleTAM)功能,有助于确保操作系统的完整性。

·     应用程序通过隔离部署Docker,在构建IOx容器应用程序、平台即服务(PaaS)、Linux容器时,利用Docker工具链保护资源和应用程序,或者利用虚拟机(仅CGR 1000计算模块),保护资源和应用程序。

·     应用程序签名验证在部署应用程序时验证源程序的身份。它可以利用基于RSA私钥(PEM格式)的信任锚来签署包含在签名应用程序包中的软件包和x509客户端证书(PEM格式)。通过所有IOx工具(IOxclientIOx Local ManagerFog Director)来批准已签名应用程序的安装,避免不受控制的代码。

·     通过OAuth API保护已授予的访问权限,代表用户验证API访问权限,无需应用程序访问用户名或密码。

·     可插入验证模块(PAM)机制允许开发者通过高级应用程序编程接口(API)利用多个低级验证方案。


数据机密性和隐私

雾节点可运行需要在本地存储数据(存于嵌入式闪存或新品IR829上的MmSATA SSD驱动器)的应用程序,并将其存储在新的IR829M上。最近发布的IOx版本增加了安全存储服务[SSS]功能,可以在设备中安全地存储证书、密钥和用户数据。用户和应用程序可以通过基于RESTAPI访问主机中运行的SSS服务,应用程序可以通过此服务进行数据加密。此外,应用程序开发可以受益于各种流行的Linux服务(Cgroups SMACKSELinux、命名空间功能...,获得额外的保护。

不仅必须要保护数据,而且IOx控制命令(即启动/停止、安装/卸载应用程序)也要求保密,这一点可以通过SSL/TLS实现。确保了雾设备和管理服务之间的流量保护,包括将所有文件推送到IOx设备的网络文件传输。此外,建议利用Cisco IOS网络服务配置(例如IPsec VPNVRFVLAN ...)最佳实践,保护和/或隔离数据流量。


威胁检测和缓解

雾计算的另一个方面是通过IOx应用程序进行分布式网络流量分析。例如,像[Sentryo]这样的合作伙伴利用IE 4000系列上的端口镜像或IR800系列上的IP流量导出等功能提供流量分析软件代理,分析Cisco IOx设备接收和传输的流量。

运营经理需要检测应用行为中的潜在异常情况,记录测量数据,以便进一步分析和容量规划。Cisco IOx Local ManagerFog Director工具或API使IOx应用程序分析器可以跟踪消耗的计算资源。此外,最近的DNA-CIoT FNDKinetic GMM实现了思科IOx设备配置和管理自动化,可以扩展IOx设备的同时维持安全策略。


如果您的组织还面临其他安全挑战,请与我们联系。欢迎光临我们于2018610日至14日举办的Cisco Live Orlando World of Solutions and IOx Devnet Zone,期待与您讨论任何安全问题!

 

原创翻译,若有不妥敬请指正

阅读原文



  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)

路过

鸡蛋

鲜花

握手

雷人

评论 (0 个评论)

facelist

您需要登录后才可以评论 登录 | 立即注册

Archiver | 思科社区  

GMT+8, 2018-10-24 07:32 , Processed in 0.051613 second(s), 22 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

返回顶部