黑客對(duì)用戶(hù)的攻擊無(wú)孔不入,隨著云計(jì)算、物聯(lián)網(wǎng)和邊緣計(jì)算的普及,問(wèn)題越來(lái)越棘手,不少組織都把防護(hù)中心放在沙盒、加密上,卻忽視了身份認(rèn)證的重要性。曾有客戶(hù)在互聯(lián)網(wǎng)上將過(guò)期數(shù)據(jù)庫(kù)保持開(kāi)放狀態(tài),并且未開(kāi)啟身份認(rèn)證,導(dǎo)致數(shù)以萬(wàn)計(jì)的云數(shù)據(jù)庫(kù)遭到劫持,并遭遇勒索。
新型攻擊屢見(jiàn)不鮮 身份認(rèn)證讓黑客闖關(guān)(圖片來(lái)自phys.org)
身份認(rèn)證云威脅凸顯
身份認(rèn)證與訪問(wèn)管理(IAM)是管理數(shù)字身份并控制資源訪問(wèn)的一種方式,以保障資源被訪問(wèn)時(shí)的安全性,IT系統(tǒng)會(huì)依此對(duì)信息類(lèi)資產(chǎn)進(jìn)行統(tǒng)一的管控和審計(jì)。同時(shí),考慮到其在自動(dòng)化應(yīng)用、自助式服務(wù)、數(shù)據(jù)保護(hù)、端點(diǎn)登錄等方面的特性,對(duì)云環(huán)境的安全可靠運(yùn)行也很重要。不少企業(yè)主反映,憑證泄露是數(shù)據(jù)泄露的直接原因,防護(hù)系統(tǒng)很難分辨“來(lái)訪者”是真實(shí)用戶(hù)還是黑客偽裝的。
此外,一些企業(yè)的密碼也面臨著過(guò)期的風(fēng)險(xiǎn),光是靠密碼的復(fù)雜性不能解決根本問(wèn)題,而且所謂的“猜密碼”也并不是黑客獲取訪問(wèn)權(quán)限的唯一手段。例如他們可以通過(guò)釣魚(yú)郵件來(lái)盜竊憑證,這也是網(wǎng)絡(luò)攻擊中最常用的手段之一,采用基于域的郵件驗(yàn)證、報(bào)告和一致性技術(shù)的企業(yè)并不是絕大多數(shù)。
為此,不少云廠商都推出了類(lèi)似的防護(hù)機(jī)制,例如青云QingCloud的云安全體系涉及系統(tǒng)和網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、內(nèi)容安全、身份認(rèn)證及安全管理等層面,在提供DDoS防護(hù)、WAF、SSL證書(shū)、數(shù)據(jù)加密、訪問(wèn)控制、安全審計(jì)等安全產(chǎn)品的同時(shí),其AppCenter集成眾多第三方安全應(yīng)用,覆蓋主機(jī)防護(hù)、堡壘機(jī)、數(shù)據(jù)庫(kù)應(yīng)用安全等領(lǐng)域,可滿(mǎn)足企業(yè)級(jí)用戶(hù)多元化的安全需求。
物聯(lián)網(wǎng)信息交互加密不夠
不止是云計(jì)算,在物聯(lián)網(wǎng)世界,安全問(wèn)題同樣可以歸結(jié)為身份認(rèn)證,這是安富利全球物聯(lián)網(wǎng)戰(zhàn)略經(jīng)理Guillaume Crinon給出的觀點(diǎn)。人們通過(guò)驗(yàn)證相關(guān)機(jī)構(gòu)出具的證明文件來(lái)判斷所不認(rèn)識(shí)的人或者機(jī)器是否可信,在物聯(lián)網(wǎng)世界中,相同的概念也同樣適用,只不過(guò)進(jìn)行通信的是機(jī)器而已。如果每臺(tái)機(jī)器都有唯一的可信身份和證明身份的適當(dāng)文件,它們就可以像人類(lèi)一樣安全地交換信息。
在全面部署物聯(lián)網(wǎng)的過(guò)程中,設(shè)備將跨越應(yīng)用程序、公司和服務(wù)之間的界限,身份需要實(shí)現(xiàn)標(biāo)準(zhǔn)化。因此,安富利建議采用X.509證書(shū)格式。無(wú)論IP通信是由TLS、非IP藍(lán)牙、Zigbee技術(shù)還是其他系統(tǒng)處理,PKI、IT和這些設(shè)備最終連接的物聯(lián)網(wǎng)平臺(tái)實(shí)際所采用的標(biāo)準(zhǔn)都是X.509。
防護(hù)機(jī)制要覆蓋全流程
事實(shí)上,可靠的服務(wù)提供商通過(guò)提供完整的安全堆棧,對(duì)整個(gè)生命周期管理產(chǎn)生影響,從而在企業(yè)物聯(lián)網(wǎng)項(xiàng)目的部署中發(fā)揮著關(guān)鍵作用。完整的安全堆棧包括:證書(shū)簽發(fā)服務(wù),如同護(hù)照簽發(fā)一樣;證書(shū)注冊(cè)服務(wù),如同社會(huì)保障系統(tǒng)數(shù)據(jù)庫(kù)維護(hù);證書(shū)管理服務(wù),如按需進(jìn)行的有效性檢查、撤銷(xiāo)、續(xù)訂等,相當(dāng)于每次人們用信用卡付款時(shí)銀行系統(tǒng)后臺(tái)所進(jìn)行的操作; 密鑰管理服務(wù),例如用適當(dāng)?shù)姆绞较蜻h(yuǎn)程工廠和現(xiàn)場(chǎng)設(shè)備分發(fā)密鑰,相當(dāng)于通過(guò)郵件將信用卡或手機(jī)SIM卡的PIN碼發(fā)送給終端用戶(hù)。
電子代工企業(yè)在物聯(lián)網(wǎng)領(lǐng)域的安全防護(hù),也是BlackBerry關(guān)注的,該公司曾推出過(guò)BlackBerry Secure Enablement Feature Pack(BlackBerry 安全賦能功能包),可提供一個(gè)制造站點(diǎn),制造站點(diǎn)提供硬件信任根源,且連接到BlackBerry公司全天候保持監(jiān)控的網(wǎng)絡(luò)運(yùn)營(yíng)中心,以保證運(yùn)行時(shí)間和可靠性。在生產(chǎn)過(guò)程中,向硬件植入BlackBerry安全身份認(rèn)證服務(wù)密鑰,并記錄于安全服務(wù)器上。在產(chǎn)品新上市時(shí),以及產(chǎn)品生命整個(gè)周期內(nèi)會(huì)進(jìn)行定期檢查,以確保兩個(gè)密鑰匹配無(wú)誤。如果匹配失敗,設(shè)備將不會(huì)啟動(dòng)。
物聯(lián)終端也要定制安全
而Arm則發(fā)布過(guò)集成式SIM身份認(rèn)證,以保障下一代蜂窩物聯(lián)網(wǎng)設(shè)備的安全使用。一直以來(lái),SIM 卡都在為手機(jī)和其他聯(lián)網(wǎng)設(shè)備提供著一個(gè)穩(wěn)定、可信且經(jīng)過(guò)檢驗(yàn)的身份安全認(rèn)證機(jī)制。然而,傳統(tǒng) SIM 卡一旦安裝在設(shè)備上就不能改變其屬性,并且需要通過(guò)實(shí)體接入的方式更改移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商。在未來(lái)智能城市、鄉(xiāng)村,以及經(jīng)歷數(shù)字化轉(zhuǎn)型的行業(yè)中,我們將會(huì)有幾十億的互聯(lián)設(shè)備,許多設(shè)備都將受益于蜂窩網(wǎng)絡(luò)連接,但是物理變更SIM卡不具備可擴(kuò)展性,甚至也不太可行。
除了物理實(shí)體接入的問(wèn)題,想要把該技術(shù)集成至尺寸更小的物聯(lián)網(wǎng)設(shè)備,以實(shí)現(xiàn)大規(guī)模低成本的部署還將面臨成本和尺寸的障礙。為確保隨著物聯(lián)網(wǎng)的發(fā)展,逐漸實(shí)現(xiàn)設(shè)備身份管理的透明性和互操作性,簡(jiǎn)化技術(shù)并提高成本效率勢(shì)在必行。嵌入式SIM和最近的集成式SIM在尺寸方面取得的進(jìn)展對(duì)提供蜂窩物聯(lián)網(wǎng)設(shè)備的安全身份認(rèn)證至關(guān)重要。
目前,Arm采用符合GSMA嵌入式SIM規(guī)范的新技術(shù),向設(shè)備制造商和服務(wù)提供商提供蜂窩物聯(lián)網(wǎng)應(yīng)用的安全身份認(rèn)證。通過(guò)與硬件安全性更強(qiáng)的片上安全區(qū)域架構(gòu)(如Arm CryptoIsland)相結(jié)合,可將 MCU、蜂窩調(diào)制解調(diào)器和 SIM 身份認(rèn)證集成至單個(gè)物聯(lián)網(wǎng)系統(tǒng)級(jí)芯片,從而降低設(shè)備成本。此外,Arm Kigen OS提供了可擴(kuò)展、占用空間小且符合 GSMA 規(guī)范的軟件堆棧,從而將SIM功能完全集成至物聯(lián)網(wǎng)SoC設(shè)計(jì)中。Arm Kigen能夠遠(yuǎn)程配置服務(wù)器解決方案可實(shí)現(xiàn)模塊化設(shè)計(jì),與MNO和物聯(lián)網(wǎng)平臺(tái)輕松集成。
結(jié)束語(yǔ)
無(wú)論是云計(jì)算還是物聯(lián)網(wǎng),基于身份認(rèn)證的安全防范都在引起重視,否則讓黑客盜取了“身份”,就相當(dāng)于獲取了控制權(quán)。
