黑客对用户的攻击无孔不入,随着云计算、物联网和边缘计算的普及,问题越来越棘手,不少组织都把防护中心放在沙盒、加密上,却忽视了身份认证的重要性。曾有客户在互联网上将过期数据库保持开放状态,并且未开启身份认证,导致数以万计的云数据库遭到劫持,并遭遇勒索。 身份认证云威胁凸显 身份认证与访问管理(IAM)是管理数字身份并控制资源访问的一种方式,以保障资源被访问时的安全性,IT系统会依此对信息类资产进行统一的管控和审计。同时,考虑到其在自动化应用、自助式服务、数据保护、端点登录等方面的特性,对云环境的安全可靠运行也很重要。不少企业主反映,凭证泄露是数据泄露的直接原因,防护系统很难分辨“来访者”是真实用户还是黑客伪装的。 此外,一些企业的密码也面临着过期的风险,光是靠密码的复杂性不能解决根本问题,而且所谓的“猜密码”也并不是黑客获取访问权限的唯一手段。例如他们可以通过钓鱼邮件来盗窃凭证,这也是网络攻击中最常用的手段之一,采用基于域的邮件验证、报告和一致性技术的企业并不是绝大多数。 为此,不少云厂商都推出了类似的防护机制,例如青云QingCloud的云安全体系涉及系统和网络安全、应用安全、数据安全、内容安全、身份认证及安全管理等层面,在提供DDoS防护、WAF、SSL证书、数据加密、访问控制、安全审计等安全产品的同时,其AppCenter集成众多第三方安全应用,覆盖主机防护、堡垒机、数据库应用安全等领域,可满足企业级用户多元化的安全需求。 物联网信息交互加密不够 不止是云计算,在物联网世界,安全问题同样可以归结为身份认证,这是安富利全球物联网战略经理Guillaume Crinon给出的观点。人们通过验证相关机构出具的证明文件来判断所不认识的人或者机器是否可信,在物联网世界中,相同的概念也同样适用,只不过进行通信的是机器而已。如果每台机器都有唯一的可信身份和证明身份的适当文件,它们就可以像人类一样安全地交换信息。 在全面部署物联网的过程中,设备将跨越应用程序、公司和服务之间的界限,身份需要实现标准化。因此,安富利建议采用X.509证书格式。无论IP通信是由TLS、非IP蓝牙、Zigbee技术还是其他系统处理,PKI、IT和这些设备最终连接的物联网平台实际所采用的标准都是X.509。 防护机制要覆盖全流程 事实上,可靠的服务提供商通过提供完整的安全堆栈,对整个生命周期管理产生影响,从而在企业物联网项目的部署中发挥着关键作用。完整的安全堆栈包括:证书签发服务,如同护照签发一样;证书注册服务,如同社会保障系统数据库维护;证书管理服务,如按需进行的有效性检查、撤销、续订等,相当于每次人们用信用卡付款时银行系统后台所进行的操作; 密钥管理服务,例如用适当的方式向远程工厂和现场设备分发密钥,相当于通过邮件将信用卡或手机SIM卡的PIN码发送给终端用户。 电子代工企业在物联网领域的安全防护,也是BlackBerry关注的,该公司曾推出过BlackBerry Secure Enablement Feature Pack(BlackBerry 安全赋能功能包),可提供一个制造站点,制造站点提供硬件信任根源,且连接到BlackBerry公司全天候保持监控的网络运营中心,以保证运行时间和可靠性。在生产过程中,向硬件植入BlackBerry安全身份认证服务密钥,并记录于安全服务器上。在产品新上市时,以及产品生命整个周期内会进行定期检查,以确保两个密钥匹配无误。如果匹配失败,设备将不会启动。 物联终端也要定制安全 而Arm则发布过集成式SIM身份认证,以保障下一代蜂窝物联网设备的安全使用。一直以来,SIM 卡都在为手机和其他联网设备提供着一个稳定、可信且经过检验的身份安全认证机制。然而,传统 SIM 卡一旦安装在设备上就不能改变其属性,并且需要通过实体接入的方式更改移动网络运营商。在未来智能城市、乡村,以及经历数字化转型的行业中,我们将会有几十亿的互联设备,许多设备都将受益于蜂窝网络连接,但是物理变更SIM卡不具备可扩展性,甚至也不太可行。 除了物理实体接入的问题,想要把该技术集成至尺寸更小的物联网设备,以实现大规模低成本的部署还将面临成本和尺寸的障碍。为确保随着物联网的发展,逐渐实现设备身份管理的透明性和互操作性,简化技术并提高成本效率势在必行。嵌入式SIM和最近的集成式SIM在尺寸方面取得的进展对提供蜂窝物联网设备的安全身份认证至关重要。 目前,Arm采用符合GSMA嵌入式SIM规范的新技术,向设备制造商和服务提供商提供蜂窝物联网应用的安全身份认证。通过与硬件安全性更强的片上安全区域架构(如Arm CryptoIsland)相结合,可将 MCU、蜂窝调制解调器和 SIM 身份认证集成至单个物联网系统级芯片,从而降低设备成本。此外,Arm Kigen OS提供了可扩展、占用空间小且符合 GSMA 规范的软件堆栈,从而将SIM功能完全集成至物联网SoC设计中。Arm Kigen能够远程配置服务器解决方案可实现模块化设计,与MNO和物联网平台轻松集成。 结束语 无论是云计算还是物联网,基于身份认证的安全防范都在引起重视,否则让黑客盗取了“身份”,就相当于获取了控制权。 |