在構(gòu)建物聯(lián)網(wǎng)產(chǎn)品以確保物聯(lián)網(wǎng)設(shè)備安全時，人們應(yīng)該問自己一些問題。在構(gòu)建物聯(lián)網(wǎng)解決方案時確保安全是非常具有挑戰(zhàn)性的。

可以論證的是，保護解決方案的“云”端并不是什么新鮮事，而且有很多完善的實踐和支持框架可以幫助您做正確的事情。當(dāng)涉及到“硬件”方面，最終連接到公共網(wǎng)絡(luò)的嵌入式設(shè)備——這對大多數(shù)人來說仍然是未知的領(lǐng)域。

本文將介紹在構(gòu)建連接產(chǎn)品時應(yīng)該問自己的幾個問題，并提供一些答案，以幫助企業(yè)使下一個物聯(lián)網(wǎng)設(shè)備盡可能安全。

（1）我的設(shè)備的身份是什么?它是不可偽造的嗎?

當(dāng)您以個人身份對網(wǎng)站或任何形式的在線服務(wù)進行身份驗證時，您通常依賴于多因素身份驗證(MFA)來避免冒充和身份盜竊。多因素身份驗證使得攻擊者幾乎不可能偽造您的在線身份，因為他們可能無法訪問驗證所述網(wǎng)站或服務(wù)所需的所有證據(jù)。

例如，他們可能知道你的密碼，他們甚至偷了你的手機，但他們不知道你的6位數(shù)密碼，也沒有你的指紋。簡而言之:他們將無法完成登錄過程并冒充您。

（2）是否可以實施類似的機制來防止物理物聯(lián)網(wǎng)設(shè)備的身份盜竊?

答案是使用專用硬件，如可信平臺模塊(TPM)。簡而言之，這種設(shè)備持有由硬件保護的加密密鑰。私鑰一旦存儲在模塊中，就永遠不會離開模塊，然后使用公鑰來證明設(shè)備的身份。由于密鑰無法偽造，因此冒充設(shè)備實際上相當(dāng)于獲得對其的物理訪問權(quán)限(當(dāng)然，這會帶來其他安全問題，我們將很快討論!)。

（3）我的代碼在哪里運行?

術(shù)語可信計算基礎(chǔ)(TCB)是指對系統(tǒng)安全性至關(guān)重要的一組硬件、固件和軟件組件。物聯(lián)網(wǎng)設(shè)備有幾個方面將在確保系統(tǒng)的整體安全性方面發(fā)揮作用，從前面提到的TPM到操作系統(tǒng)的內(nèi)核(可能是實時的)。

在設(shè)計物聯(lián)網(wǎng)設(shè)備時，必須記住，可信計算基礎(chǔ)應(yīng)盡可能小。這樣，可以最小化攻擊的表面，并降低TCB中允許攻擊者繞過安全保護并部署惡意有效負(fù)載(例如，允許他們竊取有價值的業(yè)務(wù)數(shù)據(jù))的錯誤(或功能!)的風(fēng)險。

如果可以的話，嘗試在一個操作系統(tǒng)或?qū)崟r操作系統(tǒng)之上構(gòu)建，它允許只發(fā)布和啟用您真正需要的功能。在任何情況下，您的應(yīng)用程序代碼都應(yīng)該在TCB之外運行，這樣它就可以在不影響安全性的情況下出錯。

（4）我的軟件組件是劃分的嗎?

看門狗計時器是一個精妙的概念，如果嵌入式系統(tǒng)的一個組件停止響應(yīng)，可以自動觸發(fā)完全重置——我有時也想知道它們是否應(yīng)該首先存在。

從歷史上看，通常由于硬件的限制，嵌入式代碼被設(shè)計成一個相當(dāng)單一的整體，其中一個組件的缺陷或破壞可能會危及整個系統(tǒng)，因此需要監(jiān)管機構(gòu)來減輕軟件故障的后果。

現(xiàn)在，除了一個無害的軟件錯誤導(dǎo)致模塊掛起之外，如果論的是該模塊的破壞，會發(fā)生什么?當(dāng)然，人們不希望攻擊者因為某個軟件模塊的缺陷而控制整個系統(tǒng)。

為了降低這種風(fēng)險，安全的物聯(lián)網(wǎng)設(shè)備應(yīng)該允許將其各種軟件組件劃分開來，并在它們之間實現(xiàn)硬件強制的邊界。如果在RTOS之上構(gòu)建，允許將模塊作為獨立的任務(wù)或進程運行，那么可能處于良好狀態(tài)。

更重要的是，您的設(shè)備將理想地具有安全模型，允許限制每個軟件模塊可以訪問的硬件資源。

（5）我的安全機制的網(wǎng)播范圍有多廣?

從分布式拒絕服務(wù)(DDoS)或勒索軟件攻擊到使用物聯(lián)網(wǎng)設(shè)備作為訪問企業(yè)網(wǎng)絡(luò)的一種方式，物聯(lián)網(wǎng)設(shè)備可能成為黑客的一個誘人目標(biāo)。你應(yīng)該假設(shè)你的設(shè)備會被黑客攻擊，黑客通常比你想象的更有創(chuàng)造力和持久性。

縱深防御起源于軍事領(lǐng)域，是一種通過將資源(防御工事，軍事單位等)部署在前線并遠遠超出前線而延遲攻擊者的技術(shù)。這樣，即使攻擊者設(shè)法突破前線，他們在深入戰(zhàn)場時仍將面臨幾層防御。

應(yīng)用于物聯(lián)網(wǎng)設(shè)備(以及一般的IT)，縱深防御包括實施多層安全控制，在每個潛在威脅面前放置幾種類型的緩解措施。

例如，控制對物理總線的訪問的內(nèi)部防火墻、網(wǎng)絡(luò)防火墻和安全引導(dǎo)的組合將大大減少您的設(shè)備受到威脅的機會。在不太可能發(fā)生的情況下，攻擊者通過安全引導(dǎo)并能夠執(zhí)行惡意負(fù)載，防火墻將阻止他們物理訪問設(shè)備的外圍設(shè)備或連接到遠程第三方服務(wù)器。

（6）鑒權(quán)是基于密碼還是證書?

由于可公開訪問的設(shè)備依賴于默認(rèn)憑據(jù)，因此存在明顯的威脅，除此之外，基于密碼的身份驗證在大規(guī)模管理時可能會很棘手。

例如，如何從被盜的密碼中恢復(fù)，特別是當(dāng)它被部署在現(xiàn)場的數(shù)千臺設(shè)備使用時?另一方面，基于證書的身份驗證不依賴于共享秘密，并且支持相互身份驗證，從而限制了中間人攻擊的風(fēng)險。

（7）設(shè)備可以輕松自動更新嗎?

說到物聯(lián)網(wǎng)設(shè)備，俗話說:“如果你不能更新它，你就不能保護它。”

為了使設(shè)備在一段時間內(nèi)保持安全，它需要允許隨著安全威脅的發(fā)展和攻擊者發(fā)現(xiàn)新的攻擊媒介而推出安全更新。

在理想情況下，用戶還應(yīng)該有適當(dāng)?shù)挠布胧苑乐乖O(shè)備在更新后恢復(fù)到已知的易受攻擊狀態(tài)。

我的設(shè)備是否報告故障?

物聯(lián)網(wǎng)設(shè)備可能出現(xiàn)故障的原因有很多。例如，它可能是由于攻擊者試圖通過利用漏洞或嘗試暴力破解密碼來控制它。它也可能僅僅是由于設(shè)備遇到角落情況并切換到未定義狀態(tài)，使其易受攻擊。

無論出于何種原因，能夠跟蹤整個機隊的這些故障都是至關(guān)重要的，這樣不僅可以診斷和糾正故障，還可以在攻擊被有效利用之前隔離和減輕潛在的攻擊向量。

有幾種解決方案可以幫助處理錯誤報告。Azure物聯(lián)網(wǎng)安全中心及其相關(guān)的開源代理是如何自動收集和記錄事件的好例子，例如登錄嘗試失敗，來自異常IP地址的連接等。

結(jié)論

人們可能喜歡親自動手使用實際設(shè)備和實際代碼來熟悉一個新領(lǐng)域。如果是這樣的話，我只能推薦AzureSphere開發(fā)工具包作為工具來掌握構(gòu)建安全物聯(lián)網(wǎng)設(shè)備所需的工具。

該套件基于開放硬件參考設(shè)計，基本上實現(xiàn)了本文中列舉的所有屬性，并使物聯(lián)網(wǎng)設(shè)備安全。它具有一個安全的，連接的微控制器單元(MCU)，一個定制的高級基于linux的操作系統(tǒng)，以及一個基于云的安全服務(wù)，提供持續(xù)的，可更新的安全性。