周末,我整理家庭办公室时,偶然发现了我在 1997 年制作的一张网络地图。那时候,我的纯有线网络连接了 5 台电脑和两台打印机。如今,我的所有孩子都已经长大成人,也离开了家,我们现在只剩下了两台电脑。然而,我们的家庭网状网络还托管着两台 Raspberry Pi、几部手机、两台平板电脑,此外还有两台电视、一台 Nintendo 3DS 游戏机(感谢 Eric 和 Ana),四五台 Echo 设备、多个品牌的监控摄像头,以及我买的一些小设备。我还有一个访客网络,供不常用的手机和平板电脑临时使用,还连接着一些我不完全信任的设备。
当然,与典型的办公室或工厂相比,这样的设备数量不值一提,但我想借此指出随着 IoT 设备的日渐普及,我们所有人都面临的一些挑战。我并不是全职系统管理员。我会设置安全程度高的密码,及时应用更新,但安全问题始终让我担忧。
全新 AWS IoT Device Defender
今天,我想为大家介绍一下 AWS IoT Device Defender。这一全新的完全托管式服务(最初在 re:Invent 大会上发布)将帮助您确保互联设备安全无忧。它会审核您的设备机组、检测异常行为,并针对发现的任何问题推荐缓解措施。它支持大规模工作,支持包含多种类型设备的环境。
Device Defender 会根据推荐的安全最佳实践审核您的 IoT 设备的配置。审核可以按计划或按需运行,并执行以下检查:
不完美配置 – 审核将查找即将到期和已撤销的证书、多台设备共享的证书以及重复的客户端标识符。
AWS 问题 – 审核会查找过度许可的 IoT 策略、具有过度宽松的访问权限的 Cognito Id,并确保启用日志记录。
在审核过程中检测到问题时,可以 CloudWatch 指标或 SNS 通知的形式将通知发送到 AWS IoT 控制台。
在检测方面,Device Defender 会查看网络连接、出站数据包和字节数、目标 IP 地址、入站和出站邮件速率、身份验证失败等。您可以设置安全配置文件、定义可接受的行为,以及配置 IP 地址和端口的白名单和黑名单。每台设备上的代理负责收集设备指标并将其发送给 Device Defender。设备可以每隔 5 分钟到 48 小时发送一次指标。
使用 AWS IoT Device Defender
您可以通过 AWS IoT 控制台、CLI 或通过一整套 API 访问 Device Defender 的功能。像往常一样,我要使用的是控制台,首先打开 Defend (防御) 菜单:
在设置中可以找到完整的可用审核检查组合(已启用并且可在审核过程中使用的任何检查):
我可以单击审核和日程,查看我已安排好的审核。我还可以单击创建来安排新审核,或者立即运行一项审核:
我选择所需的检查集来创建审核,然后单击创建将其保存下来以便重复使用,或立即运行:
我可以选择所需的循环频率:
我可以为每周审核设置所需的日期,其他循环频率也提供了类似的选项。我还可以输入审核名称,然后单击创建(未在屏幕截图中显示):
我可以单击结果,查看既往审核的结果:
我可以点击任何审核来查看更多信息:
Device Defender 允许我创建安全配置文件来描述事物组(或所有设备)中设备的预期行为。单击 Detect (检测) 和安全配置文件即可开始,我还可以查看自己的配置文件。随后,我可以单击创建,新建一个安全配置文件:
输入名称和描述,然后为预期行为建模。在本例中,我预计每台设备每小时发送和接收的网络流量不到 100K:
我可以选择向 SNS 主题发送警报(如果我这样做,则需要设置 IAM 角色):
我可以为所有设备或特定事物组中的设备指定行为:
设置完毕之后,单击保存创建我的安全配置文件:
接下来,我单击 Violations (违规) 来确定与预期行为存在冲突的事物。历史记录选项卡可让我回溯历史情况,检查既往的违规行为:
我还可以查看一台设备的违规历史记录:
如您所见,Device Defender 可让我了解我的 IoT 设备发生了什么,在发生可疑事件时发出警报,并帮助我跟踪过去的问题,而且所有这些操作都是在 AWS 管理控制台内完成的。
现已推出
AWS IoT Device Defender 现已在以下区域推出:美国东部(弗吉尼亚北部)、美国西部(俄勒冈)、美国东部(俄亥俄)、欧洲(爱尔兰)、欧洲(法兰克福)、欧洲(伦敦)、亚太地区(东京)、亚太地区(新加坡)、亚太地区(悉尼)和亚太地区(首尔),这些区域的用户可以立即开始使用该服务。审核采用按设备数量、按月定价的定价模式;受监控数据点采用按数据点数量定价的定价模式,AWS 免费套餐中包含数量充足的审核和数据点数量(有关更多信息,请参阅 AWS IoT Device Defender 页面)。
作者介绍:
Jeff Barr
AWS 首席布道师; 2004 年开始发布博客,此后便笔耕不辍。
本文转载自 AWS 技术博客。
原文链接:
评论