Pentru dispozitivele IoT (Internet-of-Things), fie că vorbim despre senzori discreți, soluții de smart metering, becuri inteligente, camere video, electrocasnice de ultima generatie sau dispozitive medicale, Internetul este un rău necesar. Pe lângă conectivitatea cu platformele cloud Internetul aduce cu el o provocare pe măsură, și anume Securitatea Informatică. Sau mai degrabă lipsa ei.
Dispozitivele IoT (Internet of Things) sunt adesea vulnerabile la atacurile cibernetice, fiind proiectate pentru a fi conectate la Internet, sunt deseori necorespunzător securizate și implicit vulnerabile la o serie de atacuri, care pot varia de la atacuri directe de tip Denial of Service (DoS) până la exploatarea vulnerabilităților de securitate ale dispozitivelor în sine.
Dacă ar fi să sumarizăm principalele probleme de securitate cu care se confruntă industria IoT acestea ar putea fi grupate în următoarele categorii:
1. Autentificare necorespunzătoare. Mulți producători de dispozitive IoT nu implementează suficiente măsuri de securitate, cum ar fi autentificarea în doi factori, care să prevină atacurile de tip brute force și să asigure că doar utilizatorii autorizați pot accesa dispozitivele.
2. Vulnerabilități de securitate. Dispozitivele IoT pot avea vulnerabilități de securitate care pot fi exploatate de atacatori. De exemplu, anumite dispozitive pot utiliza parole implicite care sunt ușor de ghicit sau de compromis sau pot avea porturi deschise care prezintă vulnerabilități moștenite din librăriile publice open-source utilizate în arhitectură.
3. Atacuri de tip DDoS. Dispozitivele IoT pot fi utilizate în atacuri de tip DDoS (Distributed Denial of Service), în care dispozitivele sunt infectate cu malware și folosite pentru a genera un trafic masiv către o țintă, cauzând indisponibilitatea serviciilor publice sau chiar pierderi de date.
4. Lipsa actualizărilor de securitate. Multe dispozitive IoT nu sunt actualizate în mod regulat pentru a remedia vulnerabilitățile de securitate și a îmbunătăți securitatea dispozitivului.
5. Lipsa monitorizării și gestiunii. Mulți utilizatori de dispozitive IoT nu monitorizează sau gestionează în mod regulat dispozitivele, ceea ce poate face ca vulnerabilitățile de securitate să rămână neidentificate și neabordate.
Realitatea de fapt este că atât producătorii de dispozitive IoT cât și utilizatorii nu sunt încă pe deplin conștienți de importanța securității în IoT, ori, dacă sunt, nu implementează politici și soluții de securitate adecvate din rațiuni financiare. Securitatea de ultimă oră este costisitoare și implementarea ei ar ridica costurile de fabricație, impactând direct volumul vânzărilor.
O posibilă soluție la această paradigmă, mai puțin evidentă la prima vedere dar cu siguranță foarte benefică, este o abordare de tip Security-by-Design în maniera de implementare a conectivității dispozitiv-cloud.
Deși apartin industriei Internet-of-Things, Internetul nu este tocmai locul cel mai prielnic pentru astfel de implementări. Mai degrabă se pretează rețele SD-WAN (software defined networks) să asigure securitatea end-to-end între dispozitive nesigure și cloud-uri publice sau private.
SDNoT: Software Defined Network of Things
În tehnologia SD-WAN (Software-Defined Wide Area Network), separarea control-plane de traffic-plane este o caracteristică importantă care permite o mai mare flexibilitate și scalabilitate în gestionarea și configurarea rețelelor de calculatoare.
Control-plane este componenta rețelei care se ocupă de gestionarea traficului de date și de stabilirea conexiunilor între dispozitivele din rețea. Acesta include protocoale de rutare, precum OSPF (Open Shortest Path First) și BGP (Border Gateway Protocol), care determină cele mai bune rute pentru transmiterea traficului între dispozitive.
Traffic-plane, pe de altă parte, este componenta rețelei care se ocupă de transmiterea efectivă a traficului de date între dispozitivele din rețea. Acesta include switch-uri, routere și alte dispozitive de rețea care gestionează traficul de date în cadrul rețelei.
În tehnologia SD-WAN, decuplarea control-plane de traffic-plane permite separarea logicii de gestionare a rețelei de componenta fizică a rețelei, permițând astfel o mai mare flexibilitate și scalabilitate în gestionarea rețelelor. Aceasta se realizează prin utilizarea unei infrastructuri centralizate de control, care gestionează toate dispozitivele din rețea și determină cele mai bune rute pentru transmiterea traficului de date.
Astfel, atunci când un pachet de date trebuie să fie transmis între două dispozitive din rețea, acesta este direcționat către control-plane, care determină cele mai bune rute și direcționează traficul către dispozitivul de pe traffic-plane care poate livra pachetul la destinație. Acest proces se realizează într-un mod automat, fără intervenția manuală a administratorilor de rețea.
Decuplarea control-plane de traffic-plane în tehnologia SD-WAN aduce mai multe beneficii, cum ar fi:
● Flexibilitate și scalabilitate mai mare: Permite utilizarea unui număr mare de dispozitive în rețea, fără a fi necesară o intervenție manuală pentru a gestiona traficul de date.
● Performanță crescută: Permite determinarea celor mai bune rute pentru transmiterea traficului de date, asigurând astfel o performanță mai bună a rețelei.
● Securitate mai bună: Permite implementarea de politici de securitate la nivelul control-plane, asigurând astfel o protecție mai bună împotriva atacurilor cibernetice.
În teorie, am fi putut lua în calcul și precursorii SD-WAN pentru securizarea traficului dispozitv-cloud, cum ar fi VPN (Virtual Private Network), MPLS (Multiprotocol Label Switching) și WAN (Wide Area Network), tehnologii ce permit conectarea dispozitivelor la rețea într-un mod flexibil, scalabil si sigur.
Din păcate însă, aceste tehnologii nu sunt lipsite de dezavantaje. Dintre acestea le amintim pe cele principale, respectiv costul ridicat și lipsa de integrare în zona software:
● Costurile de implementare și de gestionare a rețelelor MPLS sunt încă ridicate, în special atunci când e necesară o conectivitate globală.
● Tehnologia WAN nu oferă suficientă flexibilitate și scalabilitate în interfațarea cu aplicații software (via API) pentru a gestiona numărul mare de dispozitive și aplicații care sunt utilizate în rețelele moderne.
Plecând de la conceptul SDNoT, Software Defined Network of Things, am implementat scudo.app, o platformă cloud ce securizeaza end-to-end relația dispozitiv-cloud printr-o abordare de tip infrastructure-as-code in care atat dispozitivele, rețelele SD-WAN cât și data-centerele cloud publice, private sau hibride, văzute ca resurse și abstractizate în cod.
Spre deosebire de un DCP (Digital Conductor Platform) clasic, scudo.app abstractizează si rețeaua SD-WAN punând la dispoziția administratorilor de sistem instrumente de provizionare automată atât a rețelelor, cât și mecanisme complexe de cuplare la aceste rețele a unei diversități de tehnologii cloud, de la VMWare, AWS până la containere docker și chiar servere fizice Linux.
Există o serie de avantaje ale utilizării unei soluții Universal Digital Conductor precum scudo.app pentru dispozitivele IoT în rețelele SD-WAN, care poate conecta automat și sigur dispozitivele IoT cu infrastructurile Cloud publice, private și hibride. Iată câteva dintre aceste avantaje:
1. Operațional simplificat. Utilizarea soluției scudo.app pentru rețelele SD-WAN simplifică procesul de conectare a dispozitivelor IoT la infrastructura Cloud, reducând timpul și efortul necesar pentru a configura și gestiona aceste conexiuni (adăugare/ștergere nod, backup, monitorizare).
2. Automatizare. Scudo.app automatizează procesul de conectare a dispozitivelor IoT la infrastructurile Cloud, ceea ce reduce riscul de erori umane și crește eficiența în ceea ce privește gestionarea eficientă a resurselor.
3. Scalabilitate. Scudo.app poate fi utilizată pentru a gestiona dispozitive IoT de orice dimensiune și în orice locație, de la un singur dispozitiv la sute sau chiar sute de mii de dispozitive conectate la infrastructuri Cloud publice, private și hibride.
4. Securitate. Scudo.app asigură securitatea conexiunilor dispozitivelor IoT cu infrastructurile Cloud publice, private și hibride. Aceasta poate include criptarea datelor, autentificarea utilizatorilor și protecția împotriva amenințărilor cibernetice.
5. Flexibilitate. Scudo.app poate fi utilizată cu o gamă largă de dispozitive IoT și cu diferite infrastructuri Cloud, astfel încât utilizatorii pot alege tehnologiile care se potrivesc cel mai bine nevoilor lor. Printre acestea amintim Amazon Web Services, VMWare, Docker si Linux.
6. Ușurință în utilizare. Deși foarte complexă în profunzime, Scudo.app poate fi extrem de ușor de configurat și de utilizat, astfel încât utilizatorii nu trebuie să aibă o experiență avansată în domeniul rețelelor și Cloud computing pentru a o implementa.
Scudo.app transformă link-urile obișnuite de internet într-o rețea SDN cu capabilități NFV (Network Functions Virtualization) punând la dispoziție standard de criptare end-to-end pe 256 biti. Orice router fizic sau virtual poate adera la rețea printr-un singur click in interfața grafică, ce declanșează acțiuni complexe de provizionare și monitorizare.
Scudo.app revoluționeaza universul IoT prin întrebuințarea rețelelor SDN în folosul securizării traficului dispozitiv-cloud, punând la dispoziția administratorilor de sistem instrumente puternice de manipulare a resurselor implicate (rețele SDN, noduri IoT, cloud-uri publice), pornind de la provizionare până la monitorizare și backup automat.
Mai multe detalii despre Scudo.app la adresa sales@neurer.ro
Proiect cofinanţat din Fondul European pentru Dezvoltare Regională prin Programul Operațional Competitivitate 2014 – 2020
Rofind Solutions SRL (lider)
Neurer Business Solutions (partener)
15.02.2023
Conţinutul acestui material nu reprezintă în mod obligatoriu poziţia oficială a Uniunii Europene sau a Guvernului României