大量的物聯網裝置讓網路安全更為脆弱。服務供應商最大的安全顧慮就是DDoS和傀儡網路攻擊所導致的服務中斷問題。第二個恐懼是和系統完整性相關的威脅,亦即流量遭外部攻擊者盜用使用者身分進行惡意操控。
物聯網(IoT)成長中的裝置數量,為服務供應商提供新營收的開發機會。然而,這些種類繁多的大量裝置卻也讓網路安全更為脆弱,因為它們很可能成為駭客和阻斷服務攻擊(DDoS)的目標。由於IoT裝置不論在記憶體、儲存或運算資源方面都可能有所局限,這些限制使得我們難以支援複雜且演進中的安全演算法,因為這些演算法需要較高的處理能力和低CPU執行週期。再者,互連裝置在加密保護方面也存在效率上的問題。
Heavy Reading資深分析師Jim Hodges在2016年2月的一份調查報告(The Future of Mobile Service Delivery)指出,服務供應商最大的安全顧慮就是DDoS和傀儡網路攻擊所導致的服務中斷問題。第二個恐懼是和系統完整性相關的威脅,亦即流量遭外部攻擊者盜用使用者身分進行惡意操控。
IoT安全性有三個基本的維護概念,包括身分識別、認證與授權。身分識別是有關用戶端命名與授權,認證是指提供用戶端識別,而授權則是對已授予用戶端的權限進行管理。IoT訊息協定包括協定的轉譯、互通性,對於傳輸安全要件的根本是偵測與預防IoT訊號風暴,以及訊息協定驗證與DDoS威脅舒緩。現今為了維持輕量化以配合資源有限的IoT裝置,僅仰賴TCP的MQTT通訊沒有加密保護,可能成為中間人攻擊的對象。
目前IoT平台的用戶端認證上大都使用SSL/TLS用戶端憑證的做法,使用SSL和TLS提供加密傳輸,若建置正確的話將可以保護資料。傳統的安全網路通道,網路防火牆和入侵防禦系統(IPS)設備具有SSL解密功能,但大多數企業架構沒有因應SSL/TLS的需求全面維護和升級以阻擋新的威脅。
對於致力提供優化客戶體驗的服務供應商而言,如何透過資料加密確保安全和隱私增加維護營收的關鍵,有幾項掌握幾個關鍵因素:
1.服務供應商必須藉由嚴密的裝置認證、授權和網路政策如保護通訊路徑,以確保端對端安全性。
2.易於整合到複雜架構中的靈活部署模式,集中SSL/TLS解密和加密,並在整個安全基礎架構中提供最新的加密技術,無需昂貴的架構升級。
3.所有密碼支持確保安全堆疊中的每個設備與每個存取都具有流量的可視性。
4.提供HTTP/2和TLS 1.2的互聯網用戶雙向SSL/TLS加密及解密功能。
5.透過動態安全服務鏈,包括防病毒/惡意軟體產品、入侵檢測系統、次世代防火牆等,依據網址比對政策確定加密流量是否通行或是通過安全設備與服務進行解密和發送。
<本文作者張紘綱為F5 Networks台灣區總經理>