近幾年來，隨著物聯(lián)網(wǎng)技術(shù)的不斷成熟和相關(guān)國家政策的驅(qū)動，大量物聯(lián)網(wǎng)行業(yè)創(chuàng)新應(yīng)用得到了快速發(fā)展。從消費(fèi)端智能家居、智能單品的爆發(fā)式增長，到企業(yè)端在智能制造、智慧交通、公共安全和醫(yī)療領(lǐng)域等不斷創(chuàng)新，整個物聯(lián)網(wǎng)的市場規(guī)模在迅速擴(kuò)展。

然而，隨之而來的問題便是越來越多的物聯(lián)網(wǎng)信息安全事件不斷頻發(fā)。由于物聯(lián)網(wǎng)設(shè)備的一些先天限制，比如要求設(shè)備低功耗、體積小、成本低，通常企業(yè)選擇的物聯(lián)網(wǎng)模組芯片安全性能不高，因此這些物聯(lián)網(wǎng)設(shè)備都容易成為黑客的攻擊對象。

常見的物聯(lián)網(wǎng)設(shè)備異常行為如下：

DDOS 攻擊。設(shè)備被控制并對服務(wù)器進(jìn)行 DDOS 攻擊，設(shè)備發(fā)送大量異常數(shù)據(jù)到服務(wù)器，結(jié)果導(dǎo)致設(shè)備本身無法正常工作以及服務(wù)器癱瘓。

設(shè)備身份入侵。設(shè)備證書泄露以及濫用、設(shè)備證書不唯一、設(shè)備證書共享導(dǎo)致的安全問題。另外 IoT 權(quán)限設(shè)置過于寬泛，黑客可以利用以上漏洞來控制設(shè)備并造成數(shù)據(jù)泄露。

設(shè)備離線問題。黑客通過掃描默認(rèn)密碼或者弱密碼進(jìn)入設(shè)備，刪除設(shè)備防火墻或者磁盤分區(qū)，導(dǎo)致大量設(shè)備“變磚”，無法正常工作，造成企業(yè)和個人的生命財產(chǎn)安全損失。

AWSIoT Device Defender 是一項針對物聯(lián)網(wǎng)設(shè)備的安全服務(wù)，客戶可以借助此服務(wù)審核設(shè)備的安全配置，檢測異常行為，從而降低安全風(fēng)險；此外，亞馬遜云還提供了常見的消息通知服務(wù)和日志分析監(jiān)控服務(wù)幫助客戶實現(xiàn)對云中安全事件的持續(xù)檢測和監(jiān)控。

AWSIoT Device Defender

AWS IoT Device Defender 推出Audit (審計) 功能，它能夠從設(shè)備和客戶賬戶層面來審計相關(guān)的安全配置和權(quán)限是否滿足安全規(guī)范。比如 Audit 能夠幫助檢查設(shè)備證書是否唯一、是否存在證書共享問題、IoT policy 權(quán)限是否設(shè)置過高、設(shè)備證書是否快過期等問題。您可以定期或者按要求來啟動 Audit。

當(dāng)前，IoT Device Defender Audit 配置了預(yù)先定義好的審計檢查項，您可以通過啟動 Audit 功能來完成對所有審計項的檢查。

AWSIoT Device Defender 推出Detect(探查)功能幫助客戶發(fā)現(xiàn)設(shè)備產(chǎn)生的異常行為。它通過檢測設(shè)備行為來幫助客戶發(fā)現(xiàn)設(shè)備是否存在被入侵的傾向。Detect 定義了 cloud-side metrics 和 device-side metrics 來幫助客戶檢測云中和設(shè)備端的異?，F(xiàn)象，比如：

設(shè)備連接狀態(tài)的異常

設(shè)備是否嘗試連接未授權(quán)的端口

設(shè)備收到和發(fā)出的數(shù)據(jù)量大小異常

客戶可以創(chuàng)建一個 security profiles 將需要檢測的 metrics 包含其中，然后集成 AWS CloudWatch 和 AWS SNS 服務(wù)。這樣，一旦設(shè)備有異常行為發(fā)生，相關(guān)的報警事件就可以第一時間通知到客戶。

解決方案架構(gòu)綜述

此解決方案在設(shè)備側(cè)利用 IoT SDK (亞馬遜云提供 embedded C、C++、java、python 等 SDK) 將客戶的物聯(lián)網(wǎng)設(shè)備，比如傳感器、機(jī)器、家電產(chǎn)品等連接到AWSIoT Core 服務(wù)中，這樣設(shè)備便能夠連接上云。

接下來 IoT Device Defender 服務(wù)會對從設(shè)備產(chǎn)生的運(yùn)行數(shù)據(jù)和日志進(jìn)行審計和檢測，并將結(jié)果發(fā)送到AWSCloudWatch 中。客戶可以在 CloudWatch 中查看到對應(yīng)的審計日志并做初步分析，同時您還可以針對特定的 Metric 創(chuàng)建 Alarm，定義報警規(guī)則以及下一步的觸發(fā)對象，比如AWSSNS 服務(wù)。在 SNS 中，您可以配置 SNS 的通知對象為 lambda 函數(shù)，并在 lambda 中對數(shù)據(jù)進(jìn)行預(yù)處理并將結(jié)果推送到AWSOpenSearch 服務(wù)。

最終，我們通過 OpenSearch 服務(wù)來實時分析和可視化日志事件。當(dāng)中，我們通過AWSSecrets Manager 服務(wù)來存儲 OpenSearch 服務(wù)相關(guān)的驗證密鑰。通過這樣的方式，我們就可以對物聯(lián)網(wǎng)設(shè)備產(chǎn)生的異常事件和安全配置問題進(jìn)行持續(xù)檢測和監(jiān)控。

IoT設(shè)備安全防護(hù)操作步驟

創(chuàng)建 AWS IoT Core 和 Device Defender 相關(guān)資源，完成對物聯(lián)網(wǎng)設(shè)備的審計和異常行為檢測。包括 DDOS 攻擊，設(shè)備證書安全相關(guān)事件和生命周期事件。

創(chuàng)建AWSSNS、AWSCloudWatch、AWSLambda 相關(guān)資源，從而建立對設(shè)備安全事件的持續(xù)監(jiān)控和響應(yīng)。

創(chuàng)建AWSOpenSearch等相關(guān)資源，完成對設(shè)備安全事件的實時分析和可視化監(jiān)控。