אבטחת מידע בעת תכנון האינטרנט של הדברים (IoT): מנקודת הקצה ועד הענן

דף הבית >> סקירות טכנולוגיות >> אבטחת מידע בעת תכנון האינטרנט של הדברים (IoT): מנקודת הקצה ועד הענן
אבטחת מידע בעת תכנון האינטרנט של הדברים (IoT): מנקודת הקצה ועד הענן
מאת: אלכסנדר דמיש, 7.6.15, 18:30אלכסנדר דמיש
 
אבטחה נחשבת לאתגר עיקרי המונע מ-IoT להתקדם מהר יותר ליישום. עם זמינות של כל הפלטפורמות עבור מערכות מותקנות והפעלות חדשות, החל מרמת המכשיר ועד לענן, ניתן לטפל באבטחה מנקודת מבט מערכתית.
 
כאשר חברה או צוות פיתוח שוקלים ליישם אינטרנט של הדברים (Internet of Things), חייבים לחשוב על הפתרון מקצה לקצה בטרם ניגשים לעבודה. נקודת הגישה (Gateway) היא כנראה מרכיב חשוב בפתרון, אבל בדרך אליה יש תשתית רבה, שצריך לחשוב עליה.

כאשר שוקלים את הדברים, גישה פתוחה היא חיונית לתכנון האינטרנט של הדברים (IoT) משום שתחום זה עוסק בשיתוף וקישוריות, ולכן סטנדרטים פתוחים ואינטגרציה עם הסביבה הרחבה הם הכרחיים. לכן, המטרה היא לאפשר אינטגרציה של אפליקציות חיצוניות וספקים אחרים עם התשתית.
 
קיימים מספר מרכיבים משמעותיים בתכנון פתרון אינטרנט של הדברים אותם אסקור להלן:
 
ניהוליות
ניהוליות 
 Figure 1- Building blocks of any IoT solution
 
אבטחת מידע היא דרישה מרכזית בכל פתרון אינטרנט של הדברים, לא רק עבור תקשורת בין נקודת הקצה לענן, אלא גם עבור כל המכשירים עצמם. גורמים חשובים נוספים כוללים השהיה (Latency) בתקשורת, ומאפיינים של בטיחות פונקציונאלית כפי שמוגדר בתקן IEC61508, במיוחד כאשר מדובר בתכנון של אוטומציה תעשייתית.

עבור תוכניות IoT תעשייתיות, מפתחים צריכים גם לשקול את מחזור החיים הטיפוסי של כל חלק בציוד הנמצא בשימוש בסביבה התעשייתית. תקופת שירות של 20 עד 30 שנה אינה נדירה, במיוחד עבור רכיבים גדולים במפעלי תעשייה ובשליטה בתהליכים.

בגלל הקושי לחזות כיצד תיראה בעתיד מערכת מקצה לקצה, ההטמעה של סטנדרטים, שיאפשרו שדרוג מערכות קל, היא מרכיב חיוני.
 
תקשורת
שימוש בפרוטוקולים פתוחים לתקשורת מבוססת IP כגון MQTT,XMTP ו-M2M - Machine to Machine קלי משקל, הוא חשוב. בין פרוטוקולים אלה יש מספר קווי דמיון והם אידיאלים לשימוש ב"שער הגישה". בעיקר, יש להם את היכולת לעבוד על רשת, שאינה תמיד בפעולה.

בשונה מרשתות IT מסורתיות, בהן אם כבל מתנתק אז התקשורת כושלת לחלוטין, פרוטוקולים אלה תומכים במודל מפרסם/מנוי Publisher/Subscriber. בנוסף, MQTT משתמש בגישת מפרסם/מנוי כאשר אתה מחליט איזה מידע אתה צריך ומבקש אותו. הפרוטוקול מבוסס אירועים ומספק גישה פתוחה לחלוטין.

פרוטוקולים מבוססי IP, כגון MQTT, הם גם שקופים עבור סטנדרטים בצמיחה כגון Time-Sensitive Networking. בראש ובראשונה, הוא הופך לחלק מתקינת IEEE 802.1. שנית, הוא פועל כ-ISO ב-Layer 2, דבר המוסיף תקשורת דטרמינסטית באופן שקוף, בנוסף ליצירת חציצה מאובטחת ובטוחה עבור פרוטוקולים קיימים של אפליקציות.
 
 רשת
Figure 2
  
קישוריות
מרכיב חשוב נוסף עבור יישומי האינטרנט של הדברים הוא, שההשהייה (latency) בתקשורת צריכה להיות מובטחת. אם מסתכלים על תקשורת IP רגילה, אנו יודעים כי ל-TCP/IP אין השהייה מובטחת כלל. למעשה, אתה יכול בקלות לקבל השהייה של מאות אלפיות שניה בגלל ניקוי Buffers. TCP/IP לא נוצר כדי להשיג השהייה נמוכה.

לחלק מהפרוטוקולים יכולה להיות השהייה נמוכה יותר באמצעות שימוש ב-UDP, אבל עדיין לא מדובר בהבטחה להשהייה נמוכה, במיוחד אם אתה עובר דרך רשת מתגים. בנוסף, המשמעות של שימוש ב-UDP היא, שאתה לא יכול לשלוט באיכות השירות. כתוצאה מכך, אין לך את היכולת לתכנן ולמדוד את תרחישי ההשהייה הגרועים ביותר לרוחב הרשת. גם כאן, סטנדרט הרשת Time-Sensitive נכנס לעניין. כאשר משתמשים במתגי Layer 2 מתאימים ניתן להבטיח השהייה.
 
 השהייה ברשת
Figure 3
 
Security
 
אבטחה 
Figure 4 - End-to-end system based on safety and security requirements
 
מאפייני האבטחה
ישנם מספר מאפייני אבטחה שחשוב לשקול. כיצד מאתחלים את נקודת הקצה או נקודת הגישה הוא אחד מהם. הצורך להבטיח כי אימג' האתחול שלך מאושר ומאובטח הוא חיוני. אם זה לא יקרה, הרצת גרסה, שעברה שינוי, יכולה בוודאות גבוהה לעקוף את כל אמצעי האבטחה האחרים בהם משתמשת האפליקציה לנתונים ותקשורת.

לדוגמא, מנקודת מבט של אתחול מאובטח, יש פלטפורמות המשתמשות במאפיינים ייחודיים של סיליקון כדי להבטיח אחסון מאובטח של המפתח. אם אתה מייצר תהליך אתחול מאובטח עם אימג' חתום ומוצפן, שימוש במנגנון Challenge and Response יכול לספק וודאות של 100%, כי המפתח בשימוש מאומת ומתוקף.
 
בהמשך יש לטפל גם באבטחה של ה-Run Time. לדוגמא, בפלטפורמות שונות ניתן לוודא, שאם מישהו ניסה לשנות את האפליקציה אז מזהים זאת באמצעים מסוימים ברמת מערכת ההפעלה.

ניתן להשתמש גם בטכנולוגיה של Intel Security כדי להשיג זאת, כשהיא מבוססת על הקצאת הרשאות לתהליכים כדי להפעיל משאבים ספציפיים. אם תהליך מנסה לגשת למשאב ללא הרשאה מתאימה, אז ניתן להסיר אותו ולהדליק התרעה לצורך בדיקה.

אבטחה בתוך תקשורת הנתונים גם היא חיונית כאשר ישנן דרכים רבות לביצוע האבטחה. שיקול נוסף לצרוך אבטחה כוללת הוא הביטחון כי כאשר מסירים נקודת קצה או רשת, אז יש צורך לוודא, שכל הנתונים במכשיר מוסרים או מוצפנים. הסרת מכשיר מעניקה את היכולת לאחזר מפתחות אבטחה.
 
API
כל שער גישה לא יהיה שלם ללא היכולת לתמוך ב-API. ממשקי API הם אמצעי לשליטה בתקשורת נתונים מנקודת הקצה ועד לענן, כדי לאפשר רמה מסוימת של שליטה מקומית. לדוגמא, חיישן טמפרטורה פשוט מאוד המשמש כנקודת קצה לשליטה במערכת חימום. אתה יכול לאסוף את קריאות הטמפרטורה ולהחליט האם לאחד אותם ולשמור אותם באופן מקומי, או להעבירם ישירות לאפליקציית הענן. ייתכן שאפליקציית הענן תהיה זו שתחליט, נניח, שהטמפרטורה ירדה מתחת לסף מסוים ותדליק שוב את החימום.

עם זאת, API יכול להכניס את המידע הזה אל תוך נקודת הקצה. אבל בעוד הפעלת API ב"שער גישה" יכולה להיראות פעולה פשוטה, ישנם שיקולי אבטחה ותחזוקה. מפתחי API נוטים להתמקד בשימוש ביוזמת Java Open Service Gateway – המתבססת על סביבות Run Time או שפות תכנות כגון פייתון, node.js ו-LUA. מנגד, יש נטיה להימנע משימוש באובייקטים של C/C++ בגלל הסיכון הפוטנציאלי לפרצות אבטחה.
 
ניהול
בניה של שער גישה גמיש מחייבת יצירה של היכולת להוסיף, לעדכן או למחוק API. ברור, שביצוע של הדברים באופן מאובטח הוא חשוב. ניהול של נקודות קצה ואפיקי התקשורת שלהם אל נקודות קצה אחרות ואל הענן חשוב גם הוא. יש עדיפות לשימוש בסטנדרטים לניהול, כגון: OMA-DM, LWM2M ו-TR68, לצורך שימוש בארכיטקטורה מרובת סוכנים, שכוללת מאפיינים של ניהול המכשיר, עדכונים מהאוויר, הפעלה מאוחרת של אפליקציות, והקצאת משאבים באמצעות קבצי הגדרות.
 
כאשר מתמודדים עם האתגר המייגע של בניית "שער גישה פתוח" אך גם מאובטח עבור האינטרנט של הדברים, מפתחים יכולים לשקול לבסס את התכנון שלהם על פלטפורמה מוכנה, כדי להאיץ את יציאת האפליקציה לשוק. יש פלטפורמות כאלו בשוק, הן מהוות סביבת פיתוח סלקאבילית מאובטחת, לטווח ארוך, שמפשטת את הפיתוח, האינטגרציה וההפעלה של שערי גישה עבור האינטרנט של הדברים, מספקות אפשרויות לאבטחת מכשירים, קישוריות חכמה, רשת עשירה וניהול מכשיר, וכוללות מרכיבים מוכנים לשימוש, שנבנו במיוחד עבור פיתוח אפליקציות אינטרנט של הדברים.
 
סיכום
לצד האינטגרציה, אבטחה נחשבת לאתגר עיקרי המונע מהאינטרנט של הדברים להתקדם מהר יותר ליישום בתחומים צומחים כגון תשתית חיונית והשוק התעשייתי. עם זמינות של כל הפלטפורמות עבור מערכות מותקנות וכן עבור הפעלות חדשות, החל מרמת המכשיר ועד לענן, ניתן לטפל באבטחה מנקודת מבט מערכתית.
 
מאת: אלכסנדר דמיש, ווינד ריבר, יוני 2015.
 
IOT



 
 
Bookmark and Share


 

לוח מודעות
מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקיםתוכנות לפרטיים ותוכנות לעסקיםתוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

16-19/9/19 - DLD Tel Aviv Digital Conference 2019 

23/9/19 - FoodTech IL 2019  

28-29/10/19 - Smart Mobility Summit 2019 

17-24/11/19 - שבוע היזמות העולמי 2019  
 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם למאי 2019 עפ"י Business Insider - כאן

תאגיד השידור - "עלינו". איך עשו עלינו סיבוב והשאירו את אגרת הטלוויזיה - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים לציבור - כאן

כל מה שלא מספרים לכם בנוגע לחקירת "פרשת בזק-YES" ולמה ביבי לא בעניין - כאן

סיכום ביקור בסיליקון ואלי - למה 3 הגדולות משקיעות ומפתחות באותם תחומים - כאן

שלמה פילבר (עד לאחרונה מנכ"ל משרד התקשורת) - עד מדינה? הצחקתם אותי! - כאן

"יש אפליה בחקירה"? חשיפה: למה השר משה כחלון לא נחקר עד היום? - כאן

חשיפת חשד לשחיתות הדומה לזו של "תיק 4000" אך בתחום הסלולר - כאן

חשיפת ההונאה הגדולה שהובילה לכך שמוצרי התקשורת יקרים יותר בישראל - כאן

בלעדי לקוראי האתר: 1 ש"ח ליום שיחות וגלישה ללא הגבלה בחו"ל... - כאן

חשיפת מה שלא רוצים  שתדעו בעניין פריסת אנלימיטד (בניחוח בלתי נסבל) - כאן

השוק הקווי לקראת דעיכה ויצירת מונופול חדש (סלקום) על חורבות בזק והוט - כאן

חשיפה: איוב קרא אישר לקבוצת סלקום בדיוק מה שביבי אישר ל-Yes ולבזק - כאן

האם השר איוב קרא היה צריך בכלל לחתום על האישור, שנתן לקבוצת סלקום? - כאן

האם ביבי וקרא קבלו בכלל תמורה עבור ההטבות הרגולטוריות שנתנו לסלקום? - כאן

המסמכים בנושא בזק-Yes (תיק 4000) מוכיחים "תפירת תיק" לאיש הלא נכון! - כאן

עובדות ומסמכים המוסתרים מהציבור: האם ביבי כשר תקשורת עזר לקב' בזק? - כאן

מה מקור ה-Fake News שהביא לתפירת תיק לביבי והעלמת החשודים הנכונים - כאן

אחת הרגליים של "תיק 4000 התפור" התמוטטה היום בניצחון (כפול) של בזק - כאן

איך כתבות מפנקות הפכו לפתע לטובת הנאה שהיא מיסודות עבירת השוחד? - כאן

שערוריית הקנס הענק על בזק וחשיפת "תעודת הביטוח" של נתניהו בתיק 4000 - כאן

תיק 5000: סלקום - IBC לא תפרוס סיבים ותרכב על גב הרכוש הפרטי של בזק - כאן

ערוץ 20: "תיק תפור": אבי וייס חושף את מחדלי "תיק 4000" - כאן

התבלבלתם: גיא פלד הפך את כחלון, גבאי ואילת לחשודים המרכזיים בתיק 4000 - כאן

פצצות בתיק 4000: האם היו בכלל התנגדויות למיזוג בזק-יס? - כאן

נמצא מסמר נוסף בארון הקבורה של תיק 4000 התפור - כאן

נחשפה עוד עובדה חשובה בדרך אל ההלוויה של תיק 4000 - כאן

תיק 4000 לא הושלם: האם היועמ"ש קיבל את כל המידע הנחוץ לחקר האמת? - כאן

תיק 4000: גם תקנות התקשורת התומכות בגרסת נתניהו לא נכללו בחקירה - כאן

חשיפת שקרים נוספים בתיק 4000: הטעיית הציבור נמשכת ללא הרף - כאן

תיק 4000: נחוצה ועדת חקירה ממלכתית לגבי "אישום" שר התקשורת - נתניהו - כאן

תיק 4000: חשיפת "דבר ראשון" בעניין היועמ"ש - היבטים חמורים חדשים - כאן

תיק 4000: היועמ"ש לממשלה אישר "מיזוג" בזק-יס. צריך ועדת חקירה ממלכתית - כאן

אוסף הטעויות בתיק 4000: "אני מאשים" - לא חתרו כלל לגילוי המאת - כאן

שערוריית תיק 4000: איך יש 2 גרסאות שונות של כתב החשדות של היועמ"ש? - כאן

ערוץ 20: אבי וייס חשף טענות שגויות בכתב החשדות נגד רוה"מ בתיק 4000 - כאן

תיק 4000: חשיפת מסמך נוסף שיסייע גם הוא לחיסול תיק 4000 התפור - כאן

ערוץ 20: אבי וייס ואלי ציפורי חשפו שקרי הפרקליטות לגבי ההדלפות בתיק 4000 - כאן

תיק 4000: מתי מדוע ואיך הוא הפך מ"תיק בזק" ל"תיק תפור" ומחורר? - כאן

הספינים והשקרים בתיק 4000 חזרו. הם חלק מניסיון הפיכה שלטונית שיש לחקור - כאן

סודות ושקרים בפרקליטות והיועמ"ש: מי היה ב"ניגוד עיניינים" בתיק 4000? - כאן
 
זרקור חברות
 
PIXABAY
 
NORDVPN
 
Telecom Expert
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
PIXABAY
 
Telecom Experts
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים