网关如何确保IoT架构安全

根据 Gartner 的预测，2020 年市场上投入使用的物联网（IoT）设备将达 260 亿台。在如此巨大的市场中，保护这些设备产生的大量数据是一个至关重要的问题。将数据传输到云上和从云上获取数据的过程中都会涉及许多中间跳转，导致延迟增加，因而云并不能全面地确保端到端物联网架构的安全。综合多方因素来看，设计更靠近物联网设备的安全智能，显然是更有意义的解决方案。
 
网关：物联网架构的入口点

在主流的物联网架构中，大部分入口和出口数据都通过边缘网关来处理（图 1）。网关负责将各个网段的数据聚合到一起，这些网段上运行着各种各样的协议，包括 Wi-Fi、蓝牙、Sigfox、蜂窝网络、以太网等。这种多协议共存的局面无疑增加了整个架构的受攻击面，而确保这些数据获取和聚合点位的安全是极为重要的。在边缘网关上对安全数据进行实时安全分析、过滤和处理，可以改善内部数据流量以及内部和云之间双向数据流量的安全态势。 随着物联网的规模越来越大，针对物联网的威胁也在迅速发展。物联网网关通常会直接点对点连接到内部设备（类似于消息队列遥测传输网络中的中介）。在受到攻击时，由于经过安全加固的网关与物联网设备距离很近，因而这些网关可以快速响应，从而控制并尽可能减少企业资产损失。

图 1：边缘网关示意图（图源：Texas Instruments）

此外，加强物联网网关安全还有助于减少网络的受攻击面。如果由网关来处理大部分边缘分析和计算，那么物联网流量需要穿越的跳数就会减少，从而降低了未经授权的访问和中间人攻击的风险。
 
将网关作为安全代理

工业 4.0 的用例涉及传统网络、协议（如 Modbus）以及通过网关连接到工业物联网基础设施的设备。在使用开放式连接时，传统设备将暴露在新的威胁之下，而这些威胁是它们在设计时从未考虑过的。在这种场景下，将安全功能集成到物联网网关中是唯一的选择，此时网关即作为其连接的传统设备的安全代理。
 
物联网网关还可以作为资源受限的物联网设备、传感器和执行器的安全代理，这些设备的 CPU 资源、电池寿命和存储容量都是有限的。这样，它们就可以处理复杂的密码安全功能，如安全访问、认证和加密。
 
在虚拟化平台上，一个管理程序可以运行多个虚拟设备。此时，虚拟网关实例可以作为整个硬件平台的信任锚点来执行各种信任功能，如相互认证、基于证书的访问控制、远程启动、更新证明、防火墙和深度数据包检查，并且这些基于软件的安全功能与每个虚拟机的客户操作系统相隔离。这种配置就类似于将安全网关部署在设备内部而非设备之前。
 
物联网网关的安全设计

鉴于上述用例，物联网网关的设计必须始终保证易受威胁的物联网架构的安全。物联网网关的安全体现在两个方面上：
 
确保设备的安全

确保网关的安全

在物联网环境中，设备和网关都容易受到各种威胁途径的影响，包括欺骗、拒绝服务、软硬件破坏、数据窃取和提权。根据部署网关的预期用例，您可以使用各种威胁建模技术来确定网关中要实施的安全控制措施，以保护物联网设备。例如，当物联网网关作为传统网络和设备的安全代理时，可以在网关中实施防火墙（基于硬件或软件定义）、基于规则的流量过滤和白名单功能。
 
需要注意的是，这些安全功能的目的是为了保护连接到网关的设备，因而网关本身必须是安全的；如果网关被入侵，所有配套的安全技术都将失去作用。为了保证网关的安全，必须在设计时就考虑到端点安全控制。
 
身份和访问控制

网关在参与数据交换之前，需要一个信任根来确认自己在网络中的身份。可以将网关设计为信任锚，并配备基于密钥的访问控制，从而只允许经过授权的用户和设备访问。为了保护密钥、证书等机密信息，可以实施安全存储或保险库。
 
通常，网关会暴露在严苛的户外环境中。采用防破坏硬件可以保护它们免受物理损坏。
 
OTA 更新和安全启动

OTA 更新可确保网关运行最新的软件和固件，避免受到常见漏洞和风险的影响。安全启动可确保网关启动的是完整性和真实性已通过加密验证的固件映像，防止使用恶意固件启动网关。
 
可见性和威胁检测

细粒度的事件日志可以让人们更深入地了解网关中运行的进程，这对安全审计很有用，并且有助于开展自动化威胁检测和故障排除。在物联网环境中，人员对设备的可访问性可能会受限，因而更加实用的方法是通过机器学习或人工智能来自动检测威胁。通过机器学习，我们能够识别行为基准，并且能够检测甚至预防异常情况的发生。