在本博客的第1部分,我简要地介绍了内部访问控制和内部IT安全基础设施。当我们在工厂和云之间探索云基础设施和消息传递时,我认为云服务比你自己做的更安全。
云数据中心
云是工业物联网(IIoT)解决方案中最强大的环节。让我试试。
据公司介绍,谷歌在2017年初投入了30亿美元的云基础设施,并“到达那里”。微软在其数据中心的每年常规投资步伐是在常规10亿美元的投资步伐。亚马逊Web服务(AWS)保守地估值约160亿美元 - 可能高达190亿美元。亚马逊整体上涨约25%的余量,以521亿美元的收入,而且增长。大多数行业中,大型植物可以建造1亿美元。您甚至如何比较IT基础架构投资?即使你有100个植物?
如果信任是一个问题,那么它与基础设施、软件、冗余、分割、灾难恢复或能力无关。从逻辑上讲,云环境本身的信任问题必须基于诚信或阴谋论(在AWS获得了一份价值6亿美元的CIA云服务合同后,我不会淡化这一点)。但是想一下。只要花上AWS估值的几个百分点,他们就能打造出据报道几乎无敌的CIA云服务——这是一个大胆的主张,但他们确实在这么做。
如果您认为有人想要收买您或出卖您,您可能不会被说服使用云。商业数据中心当然拥有最好的进攻和防守。我想,这将归结于你认为他们有什么动机去做。
相比之下,我们大多数人都不是他们的对手。从技术上讲,这是一个有风险的领域。实际上,云是这个链条中的一个强有力的环节。
事情与云之间的消息
领先的IIT云解决方案供应商将很可能使用正确的HTTPS或MQTT。这意味着您正在使用HTTP + SSL,或MQTT + SDP(可能使用SSL)。并且您有一个合法的证书颁发机构(CA),这增加了对中间人(MITM)攻击的额外防御。SSL是在那里确保将数据从计算机传送到服务器而不获得读取或更改。它可能被截获,但仍然无法读取。已经考虑了导致一些关注的SSL黑客警报。请注意,除了计算机与云之间的路径之外,这不会解决任何内容。只要您的CA Source仍然不妥协,这就是很好的处理。CA源确实很重要。
MQTT安全性是通过使用软件定义的边界(Software-Defined Perimeter, SDP)来处理的,这也称为黑云。有了SDP,单包授权(SPA)可以用来替换用户名和密码访问。主题装置本身可以是黑色的。也就是说,黑客看不到它,也没有破解密码。使用SSL或TSL加密可以而且可能应该添加。不管加密与否,这些设备基本上是隐形的,黑客无法窃取从未发送的密码。
另一个选项是受限应用协议(CoAP),它应用数据报传输层安全(DTLS)参数。你知道一些制造商为了获得对系统的远程访问而提供的RSA密钥吗?DTLS参数将与这种安全性相匹敌。CoAP是在考虑机器对机器(M2M)通信的基础上创建的。
虽然没有完全是防弹,但这些都是保护通信的负责任的方法。与大多数内部网络保护和访问控制相比 - 以及某人可以使用这些安全方法之一单击或插入工具和云之间的任何给定的端口留言传输。这些通信由领先的IIOT解决方案提供商处理。我们这里不必做任何特别的事情。
我还要指出IIOT软件解决方案可能在他们的平台的边缘计算侧提供“东西”认证寄存器,该寄存器必须在云前进行钥匙授权。这将限制在防火墙中允许的内容,并添加另一个需要键在另一端对其进行身份验证的加密层。
概括
IT安全专家可以为您提供更详尽的细节。我在这里要强调的一点是,云以及与云之间的消息传递都是风险点。然而,这些问题得到了很好的解决,风险相对较低。您的内部基础设施可以而且应该处于良好的状态,但这只是一个值得信赖的云基础设施投资的一小部分。最大的恐惧将继续是访问控制——尽管有人,即使有良好的招聘和培训,安全。
如果将100家出于安全考虑而避开云计算的公司和100家拥抱云计算的公司进行比较,你会看到什么?我没有这项研究作为参考。然而,相信一家采用云计算的公司将比一家认为通过避免云计算来避免风险的公司更彻底地解决内部安全问题,这并不是不合理的。具有讽刺意味的是,反对云计算的组织可能更脆弱,而且充其量也可能同样脆弱。
迈克尔·学士是哈佛大学的校长本科控制公司。,一个认证的成员控制系统集成商协会(CSIA)。有关学士控件的更多信息,请访问其配置文件工业自动化交流.