GlobalSign Blog

27 Mai 2015

CSAs Sicherheitsempfehlungen für Early Adopters des Internets der Dinge

Umfassende Sicherheitsansätze, Architekturen und Frameworks für das IoT stecken zweifellos noch in den Kinderschuhen. GlobalSign verfolgt und diskutiert aktiv die Ansichten und Herangehensweisen von Branchengruppen für ein umfassendes IoT-Ökosystem. Kürzlich veröffentlichte die Cloud Security Alliance (CSA) ihren Bericht 'Security Guidance for Early Adopters of the Internet of Things', der ein weiterer Schritt für die Festlegung von spezifischen Kontrollleitlinien zum Aufbau Ihrer IoT-Lösungen ist.

Während der CSA-Leitfaden sich an das Gesamtsicherheitsdenken für "Early Adopters" im IoT richtet, versucht es aber auch tatsächlich einige konkrete und spezifische Empfehlungen zu geben, statt nur allgemeine Sicherheitsdenkweisen zu diskutieren. Darüber hinaus wirft er auch einige gute Fragen auf und hebt Bereiche hervor, in denen GlobalSign einen starken Partner stellt, um Ihre Sicherheitskontrollen in Ihrem IoT-Ökosystem oder Ihrer Anwendung zu verbessern. Der Artikel zeigt sieben auf IoT-Umgebungen zugeschnittene Sicherheitsbereiche auf, die darauf abzielen, Risiken mit neuen Technologien und Umgebungen zu mindern. Hier möchten wir auf einige der wichtigsten Punkte des Artikels eingehen, wobei einige häufige Themen wie PKI, IAM und Cloud-Dienste herausgehoben werden.

Überlegungen zu PKI und Kryptografie

Zuallererst: Dieser Leitfaden beschönigt keineswegs PKI, und es ist offensichtlich, dass die Autoren großes Hintergrundwissen und Kenntnisse zu PKI-Features und -Nutzung haben. Der Leitfaden spricht Konzepte an wie Auswahl des Kryptografie-Algorithmus, vorinstallierte Schlüssel vs. Zertifikate und Schlüsselverwaltung.

Lebenszyklen von Objekten und Systemen

Eines der wichtigsten Themen ist die Abbildung und Gestaltung Ihres Objekt- und System-Lebenszyklus, Identifizierung von gefährdeten Bereichen und Lebenszyklus-Features zur Unterstützung der Minderung dieser Risiken. Dies sind auf jeden Fall gute Ratschläge, denn sobald dies erledigt ist, ist der Systeminhaber in einer viel besseren Position, um die Vorteile der Bereitstellung von Automatisierung und Zertifikatverfolgung durch Anbieter wie GlobalSign zu nutzen, die spezifisches Know-how auf diesem Gebiet haben. Wir müssen zugeben, dass zwar zahlreiche Möglichkeiten für den Aufbau Ihrer eigenen CA-Infrastruktur zur Verfügung stehen, aber wir kennen auch aus erster Hand die Kosten und Komplexität, die damit verbunden sind, dies richtig zu machen.

IoT-orientierte Protokolle

Die andere PKI-bezogene Empfehlung im Bericht bezieht sich darauf, wie kryptografische Anmeldeinformationen im Kontext von IoT-orientierten Protokollen wie CoAP eingesetzt werden und wie kryptografische Authentifizierungsmerkmale für ein IoT-Ökosystem ausgewählt werden. CoAP bietet beispielsweise mehrere Betriebsmodi (No security, preSharedKey, rawPublicKey und Zertifikat). Die erste Option ist offensichtlich nicht relevant für diese Betrachtung. Die zweite, PreSharedKey, bietet Standardauthentifizierung, aber wie das CSA-Team betont, lässt es sich furchtbar schlecht in einem System von IoT-Größe skalieren. Die beiden anderen Optionen, RawPublicKey oder Zertifikat, sind die von der Gruppe empfohlenen Ansätze. Wenn möglich, ist es vorteilhaft, den Zertifikatmodus gegenüber der Verwendung von öffentlichen Schlüsseln zu bevorzugen. Auf diese Weise erhalten Sie die zusätzliche Möglichkeit, die Zertifikate für eine präzisere Vertrauenskontrolle aufgrund der auf dem Zertifikat basierenden Attribute (Aussteller, Namen, Schlüsselnutzungen) bieten, neben der Möglichkeit Widerruf-Services zu nutzen.

Bedenken gegenüber IAM

Identity & Access Management (IAM) wird in diesen Empfehlungen nicht so eingehend wie Kryptografie besprochen. Aber es werden immerhin einige gute Bedenken und Beobachtungen vorgebracht, die die Diskussion voranbringen. Eine der Beobachtungen, die wir gemacht haben, und die sich zu einem gewissen Grad in der CSA-Empfehlung widerspiegelt, bezieht sich auf die Integration vorhandener isolierter Unternehmenssysteme wie Asset-Management-Systeme. Im Moment gibt es eine Lücke, wie diese Arten von Systemen in Szenarien passen, in denen leistungsfähigere Geräte integriert sind, auf die zahlreiche Dienste, Benutzer oder andere Geräte zugreifen und die von diesen kontrolliert werden.

Die Komplexität des IoT aufgrund seines Ausmasses wirkt sich auch auf IAM aus. Auf diesem Gebiet hat GlobalSign eine ähnliche Situation mit dem CustomerID-Produkt gelöst, das die direkte Integration von bestehenden Identität-Repositorien in neue oder zusätzliche E-Services ermöglichet. Dies sorgt für ein einfacheres, aber robusteres Identity Relationship Management sowie Autorisierungsmöglichkeiten. Wir arbeiten aktiv daran, diese Möglichkeit in IoT-Anwendungsfälle einzupassen, um ein ebenso nützliches und sicheres Wertversprechen für IoT-Ökosysteme zu bieten.

Cloud-Dienste

Cloud-Dienste sind die am wenigsten direkt angesprochenen Komponenten des CSA-Berichts. Aber sie werfen einen Schatten auf einen Großteil der Diskussion. Cloud-Dienste sind vielleicht das unausgesproche im Raum stehende Problem eines von der Cloud Security Alliance veröffentlichten Empfehlungsartikels. Ein Großteil der Empfehlung für Organisationen ist dahingehend positioniert, diese Dienste effektiv anzuwenden, sobald die entsprechende Vorarbeit und Sicherheitsanalyse abgeschlossen ist.

Es gibt eine Reihe von Gründen, warum Cloud-Dienste gute Optionen sind, die Sie in Ihrer Infrastruktur berücksichtigen sollten. Der wichtigste davon, der den herkömmlichen Entscheidungen Bauen vs. Kaufen folgt, ist: Wenn Sie ein IoT-Ökosystem, Produkt oder einen Service bauen, müssen Sie in der Lage sein, sich auf das Wertversprechen dieses Angebots zu konzentrieren. Sicherheit steht oft nicht an erster Stelle des Angebots, wird aber vom Kunden gefordert oder erwartet. Bereitstellung von Ressourcen zum Aufbau des Kerns Ihrer Plattform und die Auswahl der richtigen Dienste für Kauf und Integration ist eine bewährte Strategie. Wenn diese Strategie mit soliden Sicherheitsempfehlungen und Planung durchgeführt wird, bietet sie nicht nur ein wettbewerbsfähiges Kostenmodell, sondern ermöglicht auch, das beste Sicherheits- und Identitätsmanagement zu nutzen.

Insgesamt sind die Empfehlungen, die die CSA vorgelegt hat, sehr ausführlich mit ihren technischen Details rund um Kryptografie und PKI. Bis vor Kurzem waren viele der Diskussionen um IoT-Sicherheit abstrakt oder generisch. Jetzt ist es spannend, zu sehen, dass diese konkreten Ratschläge von Vordenkern der Branche veröffentlicht werden. Da wir als Branche vorankommen, sind wir gespannt darauf, die nächste Evolutionsstufe dieser Empfehlung zu erleben, die hoffentlich einige reale Beispiele und Umsetzungen enthalten wird.

IoT Webinar

von Lea Toms

Artikel teilen

Jetzt Blog abonnieren