动态可验证的设备身份是零信任架构ZTA的基础组成部分。要实现持续的身份和信任评估,必须对相关组件具备完整且及时的可见性。被撤销的中间证书颁发机构CA所颁发的活动设备证书可能构成安全威胁,因为中间 CA 可能存在被攻击的风险。之前,尚无现成的解决方案来识别由被撤销中间 CA 颁发的活动设备证书。
小熊加速器 官网AWS IoT Core 用户可以使用 X509 证书 来验证客户端和设备的连接。这些证书可以由 AWS IoT 生成,也可以由 CA 签署,无论该 CA 是否与 AWS IoT 注册。
在大多数实际应用中,中间 CA 会颁发设备证书,这种方法能够提供额外的安全层并帮助有效管理安全事件。例如,如果怀疑某台设备或设备组发生安全事件,则仅需撤销中间 CA,而不是撤销根证书。撤销中间 CA 时,所有与该中间 CA 相关链中的设备证书也将被自动撤销。这一做法有效限制了安全事件的成本和影响。
在此之前,使用自己设备证书的 AWS IoT Core 客户如果其基于外部多级公钥PKI层次结构并未有现成的解决方案来识别由被撤销中间 CA 颁发的活动 AWS IoT Core 证书。这些客户需要构建自定义解决方案,以获取所需的可见性,否则可能面临未监视的被攻陷设备凭证带来的潜在威胁。
使用自己设备证书的客户需要一种自动机制来识别具有被撤销中间 CA 的证书。AWS IoT Device Defender 通过新的CA 链审计检查来填补这一空白。AWS IoT Device Defender 是一项完全托管的服务,用于审计和监控连接到 AWS IoT 的设备,支持检查由被撤销中间 CA 颁发的活动证书。当中间 CA 被撤销时,所有由该中间 CA 颁发的活动证书将被标识为不合规,并在相关审计检查中失败。
新检查使得客户能够更容易地识别受影响的证书,使用相关的 X509 证书扩展声明和 标准证书撤销方法如证书撤销列表CRLs和在线证书状态协议OCSP。您可以将新的审计检查作为更广泛的 AWS IoT Device Defender 和 AWS Security Hub 整合架构的一部分,持续审计、监控并改正物联网IoT设备,符合 ZTA 的核心原则。
新的审计检查利用标准的撤销检查方法,同时能够遍历公钥基础设施PKI层次结构。其依赖于相关 X509 证书扩展所提供的信息,以发现 PKI CA 层次结构并执行关联的证书撤销检查。
在我们样本场景中如图 2 所示,审计检查按以下步骤进行:
根 CA 或中间 CA 撤销目标中间 CA 证书,而该中间 CA 是某个活动用于与 AWS IoT Core 交互的 IoT 设备证书的颁发者。客户发起 AWS IoT Device Defender 审计,其中包括撤销中间 CA 审计检查。AWS IoT Device Defender 使用可用的撤销检查方法,按照相关 PKI 的层次结构执行撤销检查。如果识别出被撤销的中间 CA,审计程序将生成“不合规的‘已撤销中间 CA 对于活动设备证书’”检查结果。要使用此功能,您可以访问 AWS 控制台中的 Device Defender 审计部分,并启用新的审计检查。如果您尚未启用 Device Defender 审计,可以通过 一键自动化 IoT 安全审计 来帮助保护您的 IoT 设备。
该检查处理在相关 X509 扩展中声明了颁发者端点的设备证书,并报告由被撤销中间 CA 颁发的活动证书。您可以使用预构建的缓解措施禁用已妥协的设备证书,或通过 AWS Lambda 函数启动自定义缓解措施。有关 AWS IoT Device Defender 中间 CA 审计检查的更多文档,请查看此处。
与 AWS IoT Core 一起使用的客户设备证书需要包括执行所需 CA 撤销检查的必要授权信息访问AIA详细信息:
随后,已撤销中间 CA 对于活动设备证书的审计检查 可以用来识别任何由被撤销中间 CA 颁发的活动设备证书。
该检查可以利用 AIA 详细信息和已发布的证书撤销信息,同时遍历相关的 PKI 层次结构,以确定中间 CA 的撤销状态。在此测试示例中,我们看到根 CA 撤销的一个中间 CA 被用于颁发设备证书:
一旦撤销,之前合规的审计检查将失败,因为 AWS IoT Device Defender 识别到被撤销的中间 CA。
相关发现提供了有关受影响的设备证书的额外信息,以及在 AWS IoT Core 注册的受影响颁发者标识符。
您现在可以通过定期审计自动识别其颁发 CA 在 CA 链中被撤销的客户端或设备证书,或者根据需要手动启动临时的 AWS IoT Device Defender 审计报告。
如果识别出不合规证书,您可以启动预构建的缓解措施,比如禁用受影响的设备证书,或通过 Lambda 函数发起自定义缓解措施。
使用被撤销中间 CA 颁发的设备证书的 IoT 设备可能对您的 IoT 解决方案构成安全威胁。AWS 建议识别被撤销中间 CA 颁发的活动设备,并采取措施,如禁用或替换这些设备证书。
这一建议与 ZTA 核心原则之一相吻合,即持续监控和衡量您的 IoT 设备的完整性和安全态势,并持续验证设备信任。
利用新的 AWS IoT Device Defender 审计检查功能,客户可以持续审计、监控并纠正受影响的设备身份,例如:
为受影响设备提供由不同 CA 签署的新证书。验证新证书的有效性,确保设备可以使用它们连接。如有需要,通过 Lambda 函数启动内置的 AWS IoT Device Defender 缓解措施或自定义缓解措施。客户可以通过调用 AWS IoT Device Defender API 或直接使用 AWS CLI。
新的审计检查使客户更容易识别受影响的证书,有助于提升 IoT 解决方案的整体安全态势。
Ryan Dsouza 是 AWS 的物联网首席解决方案架构师,常驻纽约市,帮助客户设计、开发和运营更安全、可扩展和创新的解决方案,利用 AWS 的丰富和广泛的能力来实现可衡量的商业成果。Ryan 在数字平台、智能制造、能源管理、建筑与工业自动化及 OT/IIoT 安全等多个行业有超过 25 年的经验。加入 AWS 之前,Ryan 曾在埃森哲、西门子、通用电气、IBM 和 AECOM 任职,服务于客户的数字化转型项目。
Maxim Chernyshev 是 AWS 的高级解决方案架构师,负责与矿业、能源和公用事业客户合作。Maxim 常驻西澳大利亚的珀斯,帮助客户使用广泛的 AWS 服务和特性解决复杂和新颖的问题。Maxim 对物联网、IT/OT 融合和网络安全充满热情。
Chelsea Pan 是 AWS 的高级产品经理,常驻西雅图。Chelsea 负责 AWS IoT 设备管理服务的产品战略、路线图规划、商业分析及洞察、客户互动和其他产品管理领域。在她的职业生涯中,Chelsea 领导了多个快速增长安全产品的推出。
标签:AWS IoT Blog、AWS IoT Device Defender、AWS IoT Device Defender 审计、AWS IoT 安全、AWS IoT 安全最佳实践、AWS零信任最佳实践、 CA 证书、证书轮换、关键基础设施网络安全、设备证书、设备防御、设备安全、IIOT 安全、实施零信任安全、中间 CA、IoT 安全、管理 IoT 设备、Ryan Dsouza AWS、Ryan Dsouza 博客、安全 IoT 设备、零信任、零信任身份、与 AWS IoT 的零信任
Orangetheory Fitness:通过数据卓越转变锻炼方式关键要点Orangetheory Fitness利用庞大的会员数据和实时心率监测,优化锻炼体验。通过AWS的技术,Orangetheory能够实时处理心率数据,提供个性化的锻炼方案。公司即将推出新型锻炼课程,以满足不断增长的客户需求。...