AWS IoT Device Defender 是一項全受管服務,可協助您保護 IoT 裝置叢集的安全。AWS IoT Device Defender 會持續稽核與裝置關聯的安全政策,確保不會偏離安全最佳實務。安全政策是一組技術控制,供裝置遵循以協助在與其他裝置和雲端通訊時確保資訊安全。AWS IoT Device Defender 可讓您輕鬆維護及執行安全政策,例如確保裝置身分、驗證及授權裝置,以及加密裝置資料。AWS IoT Device Defender 可持續根據一組預先定義的安全最佳實務稽核裝置上的安全政策。AWS IoT Device Defender 會在發現任何可能造成安全風險的政策漏洞時傳送提醒,像是在多個裝置共享身分憑證或身分憑證已撤銷的裝置嘗試連線 AWS IoT Core。
AWS IoT Device Defender 還可讓您監控行為偏離您為每個裝置定義之適當行為的裝置。接著,當發現不尋常的情況時,AWS IoT Device Defender 會傳送相關提醒,以便您採取行動來修正問題。例如,傳出流量的流量高峰可能表示有某個裝置正遭受 DDoS 攻擊。
AWS IoT Device Defender 可以向 AWS IoT 主控台、Amazon CloudWatch 和Amazon SNS 傳送提醒。如果您決定要根據提醒採取相關行動,可以使用 AWS IoT Device Management 服務減緩攻擊,例如推送安全修正程式。
優點
稽核裝置組態以偵測安全漏洞
AWS IoT Device Defender 會根據一組已定義的 IoT 安全最佳實務稽核裝置的相關安全政策,以便讓您知道確切的安全缺漏。您可以持續或臨機操作的方式執行稽核。AWS IoT Device Defender 隨附安全最佳實務供您選用並在稽核期間執行。例如,您可以建立稽核來檢查是否有非作用中、撤銷、過期或需要在 7 天內傳輸的身分憑證。稽核可讓您在裝置組態產生變化時持續監控安全政策。
持續監控裝置行為以識別異常
AWS IoT Device Defender 會監控傳入裝置指標和資料並與您定義的預期裝置行為做比較,藉此偵測出可能代表裝置受入侵的異常裝置行為。例如,AWS IoT Device Defender 可讓您定義裝置上要開啟多少連接埠、裝置可以和誰通話、可以從哪裡連線至裝置,以及裝置傳送或接收的資料量。接著會監控裝置流量並在發現異常狀況 (例如裝置的流量連至已知的惡意 IP 或未授權的端點) 時提醒您。
接收提醒並採取行動
AWS IoT Device Defender 會在安全政策稽核失敗或偵測到異常行為時,在 AWS IoT 主控台、Amazon CloudWatch 和 Amazon SNS 發佈安全提醒,以便您調查及判斷根本原因。例如,AWS IoT Device Defender 會在裝置身分許久未用或裝置身分存取敏感的 API 時提醒您。在 AWS IoT Device Defender 主控台中,您也可以查看建議採取的動作 (例如撤銷許可、重新啟動裝置、重設為原廠預設或將安全修正程式推送到任何連線裝置),將安全問題的影響降到最低。接著您可以使用 AWS IoT Device Management 服務採取所需的行動。
運作方式
使用案例
連網家庭產品
智慧型照明、恆溫器和鎖定都是駭客的攻擊目標,因為屋主通常會使用網路和家庭自動化應用程式隨附的預設密碼。您可以使用 AWS IoT Device Defender 稽核嘗試連接連網家庭產品的連線,如果該資料來自未授權的端點,您將會收到提醒。接著,您可以使用 AWS IoT Device Management 防止連網家庭產品使用雲端資源。
健康與健身
消費者和醫療保健專業人員會使用連接網路的穿戴式裝置 (例如健身追蹤器、心跳監控器和智慧型手錶) 來改善健康。這些裝置有時是以易用性為設計重點,而不是提供高度的裝置安全性。AWS IoT Device Defender 可讓您從安全最佳實務清單中進行挑選,並根據安全最佳實務稽核您的穿戴式裝置。例如,稽核工作會回報過於寬鬆的裝置政策,例如讓穿戴式裝置存取過多雲端資源,或是回報穿戴式裝置已閒置好久一段時間的情況。
石油及瓦斯
石油及瓦斯產業使用 IoT 應用程式預測設備故障、監控勘查地點的地震波,以及預測特定鑽井地點的產量。通常會使用 SCADA 系統傳送及接收有關環境條件、員工安全和設備運作狀態的敏感 IoT 資料。SCADA 系統的壽命長達 10 到 15 年,許多 SCADA 系統的設計並不符合目前的安全標準,這會導致這類資料落入競爭者手中的機率提升。您可以使用 AWS IoT Device Defender 定義已連線設備的安全行為、在發生未預期的行為時接收提醒,以及採取相關步驟來減緩威脅。例如,您可以定義一組已連線油井鑽機能夠存取的特定 IP 地址。當油井鑽機嘗試將資料上傳至未授權的 IP 地址時,您就會收到提醒。這樣不但可以避免資料遺失或遭竊,還能協助遵守公司資料安全政策。
零售
零售商在自家商店中安置感應器和信標,以了解顧客將時間花在哪些地方,以及顧客挑選及檢查哪些商品。零售商可使用這項資料優化商品的陳設方式,以大幅提高銷售同時提供更有效率的購物體驗。AWS IoT Device Defender 可讓您建立商品行為描述檔,以指定商品的核准位置和通訊模式。接著,AWS IoT Device Defender 會監控政策,並在商品離開核准位置或以未預期的方式通訊時提醒您。
部落格和文章
