黑客對用戶的攻擊無孔不入,隨著云計算、物聯網和邊緣計算的普及,問題越來越棘手,不少組織都把防護中心放在沙盒、加密上,卻忽視了身份認證的重要性。曾有客戶在互聯網上將過期數據庫保持開放狀態,并且未開啟身份認證,導致數以萬計的云數據庫遭到劫持,并遭遇勒索。
新型攻擊屢見不鮮 身份認證讓黑客闖關(圖片來自phys.org)
身份認證云威脅凸顯
身份認證與訪問管理(IAM)是管理數字身份并控制資源訪問的一種方式,以保障資源被訪問時的安全性,IT系統會依此對信息類資產進行統一的管控和審計。同時,考慮到其在自動化應用、自助式服務、數據保護、端點登錄等方面的特性,對云環境的安全可靠運行也很重要。不少企業主反映,憑證泄露是數據泄露的直接原因,防護系統很難分辨“來訪者”是真實用戶還是黑客偽裝的。
此外,一些企業的密碼也面臨著過期的風險,光是靠密碼的復雜性不能解決根本問題,而且所謂的“猜密碼”也并不是黑客獲取訪問權限的唯一手段。例如他們可以通過釣魚郵件來盜竊憑證,這也是網絡攻擊中最常用的手段之一,采用基于域的郵件驗證、報告和一致性技術的企業并不是絕大多數。
為此,不少云廠商都推出了類似的防護機制,例如青云QingCloud的云安全體系涉及系統和網絡安全、應用安全、數據安全、內容安全、身份認證及安全管理等層面,在提供DDoS防護、WAF、SSL證書、數據加密、訪問控制、安全審計等安全產品的同時,其AppCenter集成眾多第三方安全應用,覆蓋主機防護、堡壘機、數據庫應用安全等領域,可滿足企業級用戶多元化的安全需求。
物聯網信息交互加密不夠
不止是云計算,在物聯網世界,安全問題同樣可以歸結為身份認證,這是安富利全球物聯網戰略經理Guillaume Crinon給出的觀點。人們通過驗證相關機構出具的證明文件來判斷所不認識的人或者機器是否可信,在物聯網世界中,相同的概念也同樣適用,只不過進行通信的是機器而已。如果每臺機器都有唯一的可信身份和證明身份的適當文件,它們就可以像人類一樣安全地交換信息。
在全面部署物聯網的過程中,設備將跨越應用程序、公司和服務之間的界限,身份需要實現標準化。因此,安富利建議采用X.509證書格式。無論IP通信是由TLS、非IP藍牙、Zigbee技術還是其他系統處理,PKI、IT和這些設備最終連接的物聯網平臺實際所采用的標準都是X.509。
防護機制要覆蓋全流程
事實上,可靠的服務提供商通過提供完整的安全堆棧,對整個生命周期管理產生影響,從而在企業物聯網項目的部署中發揮著關鍵作用。完整的安全堆棧包括:證書簽發服務,如同護照簽發一樣;證書注冊服務,如同社會保障系統數據庫維護;證書管理服務,如按需進行的有效性檢查、撤銷、續訂等,相當于每次人們用信用卡付款時銀行系統后臺所進行的操作; 密鑰管理服務,例如用適當的方式向遠程工廠和現場設備分發密鑰,相當于通過郵件將信用卡或手機SIM卡的PIN碼發送給終端用戶。
電子代工企業在物聯網領域的安全防護,也是BlackBerry關注的,該公司曾推出過BlackBerry Secure Enablement Feature Pack(BlackBerry 安全賦能功能包),可提供一個制造站點,制造站點提供硬件信任根源,且連接到BlackBerry公司全天候保持監控的網絡運營中心,以保證運行時間和可靠性。在生產過程中,向硬件植入BlackBerry安全身份認證服務密鑰,并記錄于安全服務器上。在產品新上市時,以及產品生命整個周期內會進行定期檢查,以確保兩個密鑰匹配無誤。如果匹配失敗,設備將不會啟動。
物聯終端也要定制安全
而Arm則發布過集成式SIM身份認證,以保障下一代蜂窩物聯網設備的安全使用。一直以來,SIM 卡都在為手機和其他聯網設備提供著一個穩定、可信且經過檢驗的身份安全認證機制。然而,傳統 SIM 卡一旦安裝在設備上就不能改變其屬性,并且需要通過實體接入的方式更改移動網絡運營商。在未來智能城市、鄉村,以及經歷數字化轉型的行業中,我們將會有幾十億的互聯設備,許多設備都將受益于蜂窩網絡連接,但是物理變更SIM卡不具備可擴展性,甚至也不太可行。
除了物理實體接入的問題,想要把該技術集成至尺寸更小的物聯網設備,以實現大規模低成本的部署還將面臨成本和尺寸的障礙。為確保隨著物聯網的發展,逐漸實現設備身份管理的透明性和互操作性,簡化技術并提高成本效率勢在必行。嵌入式SIM和最近的集成式SIM在尺寸方面取得的進展對提供蜂窩物聯網設備的安全身份認證至關重要。
目前,Arm采用符合GSMA嵌入式SIM規范的新技術,向設備制造商和服務提供商提供蜂窩物聯網應用的安全身份認證。通過與硬件安全性更強的片上安全區域架構(如Arm CryptoIsland)相結合,可將 MCU、蜂窩調制解調器和 SIM 身份認證集成至單個物聯網系統級芯片,從而降低設備成本。此外,Arm Kigen OS提供了可擴展、占用空間小且符合 GSMA 規范的軟件堆棧,從而將SIM功能完全集成至物聯網SoC設計中。Arm Kigen能夠遠程配置服務器解決方案可實現模塊化設計,與MNO和物聯網平臺輕松集成。
結束語
無論是云計算還是物聯網,基于身份認證的安全防范都在引起重視,否則讓黑客盜取了“身份”,就相當于獲取了控制權。
