We hebben allemaal al gehoord over beveiligingsinbreuken van IoT-apparaten van eindgebruikers die tot beangstigende situaties en gebeurtenissen leiden. Wanneer inbreuken gebeuren op industrieel verbonden IoT-apparaten en -systemen, zijn de gevolgen nog veel groter. Een inbreuk kan een impact hebben op meer dan één persoon, gezin of huishouden. Deze kan verstrekkende gevolgen op lange termijn hebben voor bedrijven met grote klantenbestanden of zelfs hele gemeenschappen, zoals in het geval van een mogelijk gehackt hulpprogramma.
De identiteit, integriteit en privacy van alle IoT-apparaten/eindpunten, data en communicatie beveiligen is cruciaal voor de blijvende veiligheid van verbonden apparaten van eindgebruikers en bedrijven. Toen GlobalSign en Carnegie Technologies samen bespraken hoe ze hun Longview IoT Platform voor Industrial Asset Management, dat nog in ontwikkeling was, het best konden beveiligen, wisten we dat het een progressieve samenwerking zou zijn.
Als spin-off van Carnegie Technologies, deelt Longview het standpunt van GlobalSign over de nood om IIoT-activa te beveiligen. Dit is een recent gelanceerde oplossing voor het beheer van Industrial IoT-activa die precies dit probleem aanpakt. Longview IoT combineert de juiste IoT-technologieën om hun klanten te voorzien van één enkele, veilige en optimale om industriële activa te monitoren en te beheren. Het levert end-to-end IoT-oplossingen die vooraf zijn geconfigureerd voor verschillende sectoren en meteen in gebruik kunnen worden genomen.
Het ontwikkelingsteam van het IoT Platform hanteerde een weloverwogen aanpak die uit vier kerngebieden bestond: security by design, meerdere beveiligingslagen, beveiliging van de toeleveringsketen en partnerschap voor succes.
Security by Design
Ontwikkelaars van IoT-software beseffen steeds meer hoe belangrijk security by design is – vanaf het begin beveiligingsmaatregelen integreren in hun projecten als essentieel functioneel bestanddeel.
De ontwikkeling van het Longview IoT Platform was een schoolvoorbeeld van security by design. Omdat de start-up de netwerkarchitectuur Long Range Wide Area Network (LoRaWAN) op de Amazon Web Services (AWS)-cloudservices gebruikte, bevond Longview zich in een unieke positie om best practices te gebruiken bij de integratie van beveiliging in hun softwareontwikkelingsproces. Longview hield vanaf het begin rekening met veiligheidsvraagstukken voor het nieuwe platform om ervoor te zorgen dat deze in de oplossing geïntegreerd waren en niet achteraf nog moesten worden toegevoegd. Het veiligheidskader werd van de grond af opgebouwd met beveiliging als integrale en geïntegreerde component.
Meerdere beveiligingslagen
Eén beveiligingslaag is een goed begin, maar meer is beter. Longviews veiligheidskader met drie lagen, een belangrijk verkoopargument voor het bedrijf, omvat hun native 128-bits encryptie van LoRaWAN, de technologie Static Access Random Memory - Physical Unclonable Function (SRAM PUF) voor het genereren van apparaatspecifieke sleutels, en certificaatinrichting op basis van de GlobalSign Certificate Authority (CA) om de identiteit van elk apparaat in de toeleveringsketen en de data verzonden via het netwerk te beveiligen.
LoRa-technologie beveiligt het Low-Power Wide Area Network (LPWAN) en vormde de eerste encryptielaag voor hun systeem, voor de beveiliging van de communicatie van de sensoren in hun mesh-netwerk.
Elke sensor had een unieke identiteit nodig. GlobalSign werkte samen met onze partner Intrinsic ID om elke beperkte sensor in het Longview IoT-platform te identificeren met SRAM PUF-technologie. Met de PUF-technologie van Intrinsic ID kunnen apparaat specifieke sleutels worden gegenereerd op basis van minuscule anomalieën van elke halfgeleider, vergelijkbaar met een menselijke vingerafdruk, voor de unieke identificatie van alle sensoren van Longview. Dit zorgde voor een tweede beveiligingslaag, waardoor elke sensor uniek kon worden geïdentificeerd en een apart sleutelpaar geproduceerd werd dat kon worden gebruikt om een digitaal certificaat te genereren.
Als derde beveiligingslaag voor hun systeem integreerde Longview het IoT Identity Platform van GlobalSign, als openbare en aangepaste privé Certificate Authority via een volledig functionele Registration Authority (GlobalSign IoT Edge Enroll). Het IoT Identity Platform van Globalsign, dat gebaseerd is op een beveiligde Public Key Infrastructure (PKI), beveiligt de individuele apparaatidentiteiten alsook de integriteit en privacy van gegevens (en gegevensoverdracht) via encryptie, authenticatie en autorisatie.
De IoT-oplossing van GlobalSign verenigde de drie lagen van Longviews beveiligingsarchitectuur in één beveiligingsplatform.
Beveiliging van de toeleveringsketen
Omdat Longview zich sterk bewust is van de cruciale rol die beveiliging speelt in hun IoT IIoT Asset Platform, wilden ze elk gateway apparaat in hun toeleveringsketen kunnen beveiligen, niet slechts op elk moment tijdens hun levenscyclus. Om de toeleveringsketen van de gateway apparaten te beveiligen tijdens de productie, de implementatie en hun levensduur, waren digitale certificaten nodig.
IoT Edge Enroll zorgde voor het beheer van apparaatidentiteiten tijdens hun volledige levenscyclus, waardoor Longview de volgende mogelijkheden had:
- Initiële apparaatidentiteiten inrichten tijdens de productie van de gateway apparaten (IDevID-certificaten)
- Lokale apparaatidentiteiten inrichten bij de gateway-implementatie (LDevID-certificaten)
- Apparaatidentiteiten beheren tijdens hun levenscyclus (levenscyclusbeheer certificaten)
De gateway apparaten van Longview worden geproduceerd door een Electronics Manufacturing Service (EMS). Met de Longview Private CA die werd geconfigureerd door GlobalSign kan Longview IoT initiële certificaten uitgeven (ook gekend als Birth certificates/shelf certificates/IDevID's) voor elk IoT-gatewayapparaat bij de EMS-fabrikant.
Ze gebruiken IoT Edge Enroll ook voor de inrichting van lokale, operationele apparaatidentiteiten (LDevID's) bij de implementatie van de apparaten en kunnen op dat moment de inrichting van operationele certificaten automatiseren. Met IoT Edge Enroll kunnen ze ook apparaatidentiteiten (ook gekend als digitale certificaten) beheren/verlengen voor het beheer van de volledige levenscyclus van apparaatidentiteiten.
Longview heeft de IoT Edge Enroll van GlobalSign geïntegreerd op ons IoT Identity Platform voor de inrichting van digitale certificaten en het beheer van hun privé CA en een veilige verbinding met de cloud van Amazon Web Services (AWS).
Partnerschap voor succes
Carnegie/Longview stond voor de uitdaging om de juiste partner te vinden met een geschikt IoT-beveiligingsplatform om hun drielaags beveiligingskader te ontwikkelen en de toeleveringsketen van hun apparaten te beveiligen. Ze zochten een schaalbaar, geautomatiseerd platform dat het handmatige beheer van CA- en RA-services zou minimaliseren. Ze wilden een gebruiksvriendelijke API die hun ontwikkelingsteam werk uit handen zou nemen. Ze wilden in-field sensoridentificatie behendigheid en samenwerken met een flexibel bedrijf dat samen met hen een totaaloplossing kon ontwikkelen. Ze vonden al die kwaliteiten in de IoT-oplossing van GlobalSign en onze partners.
Cargenie en hun spin-off Longview volgden best practices bij de ontwikkeling en hun succes is een directe afspiegeling daarvan. Ze hebben de beste beveiliging, ter bescherming van een optimaal IoT Industrial Asset Management Platform en werken nu samen met belangrijke markten en bedrijven om industriële activa veilig te verbinden met het internet der dingen (IoT).
Download de Longview IoT-casestudy als u meer wilt weten - meer informatie over het GlobalSign IoT Identity Platform vindt u op: https://www.globalsign.com/nl-nl/internet-der-dingen/
