對于關鍵基礎設施，安全是不可協商的。保護網絡、系統和資產以實現不間斷運營對于組織、城市和國家的安全至關重要。令人遺憾的是，網絡犯罪分子可以滲透 93% 的公司網絡 (betanews.com)。鑒于此，最好的保護措施是使其盡可能困難，鑒于處理受到良好保護的網絡所需的時間和精力以及其他目標的普遍存在，迫使網絡犯罪分子轉移到其他目標。

與 2020 年相比， 2021 年企業每周遭受的網絡攻擊嘗試 (darkreading.com) 增加了 50%?。更令人擔憂的是埃森哲的網絡犯罪成本研究發現小型企業受到 43% 的網絡攻擊，但只有 14% 的企業可以自衛。在這個“連接”設備激增的時代，安全性至關重要，但與此同時，由于擔心公眾知道組織遭到破壞，因此對風險和解決方案都保持著震耳欲聾的沉默.

安全解決方案不再只是購買病毒掃描包，而是需要對不斷增加的進出網絡的設備組合進行日復一日的分析。以下是這些設備的列表以及通過 IoT 平臺在綠地或棕地環境中集成它們的推薦安全性。

典型的建筑“邊緣”解決方案

這些邊緣解決方案通常由許多零件和零件組成，每個零件和零件都來自不同的制造商，而且通常是不同型號和不同代的設備。物聯網橋設備通常用于收集這些數據并將其合理化為可用的形式，最重要的是，云中的存儲桶用于基于結果的實時和歷史分析。這從“邊緣”的一般專用網絡開始我們的故事。 

邊緣專用網絡和 RTU– 從遠端設備的本地協議收集信息的邊緣網橋或遠程終端單元 (RTU) 的環境。這通常可以包括傳感器或系統在諸如 Modbus、BACnet、SNMP 等事物上進行通信。通常還有基于 TCP/IP 的設備，但這被認為是邊緣的非公共網絡，邊緣網橋作為其數據收集器運行，同時也是 DHCP、DNS 和其他網絡服務的服務提供商. 然而，無論你怎么看，它都是一個私有網絡，以 Bridge 作為向云提供數據的唯一事實來源。對此的訪問通常通過不直接在互聯網上的專用網絡進行保護，即使在需要蜂窩網絡的情況下，這些網絡也可以在蜂窩運營商上的專用 APN 上運行以限制流量。

專用網絡應包含所有支持 TCP/IP 的遠端設備、RTU 和云基礎設施。大多數情況下，漏洞的外部攻擊媒介來自用戶界面 (UI)，因為它很可能有一個開放的端口。

通過邊緣橋接的標準物聯網解決方案通常提供可配置的可信客戶端，以允許訪問內部設備 UI。這些可以放在具有已建立的雙因素身份驗證 (2FA) 方案的虛擬專用網絡 (VPN) 后面。如果在不部署 VPN 的情況下絕對需要外部客戶端，請確保至少使用以下方式部署您的 Web 服務器：

• 用于部署 SSL/TLS 加密的 SSL 證書，允許 HTTPS 到平臺的 Web 服務器。
• 將防火墻配置和限制到所需的端口，理想情況下，IP 白名單。
• 路由器和防火墻配置以使用自動 IP 地址禁止來解決暴力攻擊。
• 供應商可能會提供多個邊緣 RTU，以便根據特定要求進行簡單安裝。對于多站點關鍵設施解決方案，該架構通常在每個站點都有一個邊緣 RTU，該 RTU 將上游連接到 VM 上解決方案的云實例。如果您使用這種類型的解決方案，邊緣 RTU 和云 VM 都應該駐留在同一個專用網絡中。任何物聯網解決方案都應允許其軟件在專有硬件和客戶提供的硬件上運行。這為客戶提供了可擴展性和靈活性，而不會出現長期供應商鎖定問題。
• 建議密切關注遠端設備，尤其是那些通過 TCP/IP 進行通信的設備——尤其是在沒有 RTU 作為仲裁器的情況下。

注意：邊緣設備通常需要升級。強烈建議升級，因為它們通常包括安全增強功能。最好在需要人工干預的定期維護間隔執行升級，或者，如果不可能，手動打開然后關閉端口以允許升級。這確實需要代表運營商付出更多努力，但在無法提供內部升級服務時，這被視為設備安全性的最安全的邊緣設備升級方式。

關鍵設施監控軟件(CFMS) 是一種基于云和邊緣的解決方案，可實現遠程邊緣設備信息的監控、數據聚合、數據打包、診斷和遠程控制。它還支持從單個或集中位置進行遠程多站點管理——連接到數據庫（內部或外部）以允許長期存儲遠端數據。如前所述，它們通常充當邊緣現場物聯網設備和內部網絡之間的仲裁者和防火墻，設備數據存儲和遠程操作發生在內部網絡。  

• 盡管這些設備位于內部網絡上，但由于它們充當其他協議和內部 TCP/IP 網絡之間的中介，因此對于希望訪問網絡的任何一方來說，它們都是一個重要的興趣點：

1. 在物聯網平臺的用戶管理中使用強用戶密碼——最好是單點登錄 (SSO) 集成。
2. 雖然某些解決方案具有內置保護，但管理所有文件權限至關重要。
3. 在規劃用戶權限管理時，請特別注意數據源的細粒度權限，以確保分配所有基于角色的訪問權限。確保特別注意繼承和增強的訪問控制。

在任何邊緣設備防火墻上使用白名單，僅將批準的云連接列入白名單以進行數據傳輸。

物聯網云服務通常包括虛擬計算機資源、用于長期邊緣數據存儲的數據庫技術、防火墻和支持邊緣設備的網絡。Amazon (Amazon Web Services)、Google (Google Cloud Platform)、Microsoft (Azure) 和 Digital Ocean 是您可以使用的常見云提供商之一，盡管在不愿意的環境中使用“裸機”實例并不少見使用云提供商。

• 根據您的供應商，云平臺操作和命名約定可能會有所不同。云環境通常運行混合連接到其他供應商的其他云服務，這增加了安全性的復雜性。供應商的選擇可能會產生巨大的安全影響，但更重要的是，誰管理該云服務起著關鍵作用。以下是云服務的標準建議：

1. 僅將公共網絡端口限制為所需的 CFMS 端口。
2. 將專用網絡端端口限制為“按需”。這在很大程度上取決于您的物聯網解決方案。端口越少越好。
3. 如果您決定部署獨立的 CFMS 數據庫而不是供應商提供的集成數據庫，請確保數據庫與供應商解決方案的 CFMS 運行時不在同一 VM 上，并使用虛擬私有云 (VPC) 與數據庫以避免任何打開公共端口的要求。任何時候都不要讓公共端口對數據庫可用。
4. 如果 CMFS 需要外部 Web 訪問，請始終使用 SSL 證書和安全端口。

CFMS 數據庫是從遠端設備收集數據的位置。通常，這來自您的云提供商，并且來自邊緣位置的所有數據在打包后都流向此處。它是您的分析源的唯一來源。不要將此與外部數據湖也連接到云提供商以允許自定義應用的數據存儲的實例混淆。數據庫是唯一的事實來源，CFMS 通常包含一個方便的 API，可通過 REST API 或 gRPC 訪問該數據庫。

• 對于可擴展的解決方案和較大的項目，請使用來自主要云提供商的托管服務數據庫環境，這將允許您構建簡單有效的 MySQL 托管數據庫解決方案。在任何時候，這都應該在 CFMS 外部，允許通過標準 IT 手段進行通用數據可移植性和備份。
• 如上所述，在任何時候都不應公開訪問該數據庫。外部各方應通過 CFMS 提供的 API 訪問該數據庫——CFMS 應僅通過 VPC 連接訪問數據庫，避免任何公共訪問。

網絡基礎設施是虛擬或物理網絡組件的集合，包括路由器、交換機、防火墻、DHCP 服務器、蜂窩調制解調器等，可促進專用或公共網絡中設備之間的以太網流量。在任何云環境中，這通常是系統固有的。

• 在部署之前規劃網絡基礎架構解決方案，并使用符合業務需求的標準，同時提供安全的環境。供應商通常會提供構建此基礎架構的完全托管解決方案，但如果需要您將其部署到現有架構中，則需要您的組織提供服務器和安全策略來滿足解決方案的需求。
• 鑒于可用的云環境千差萬別，您必須與了解特定云實例及其各自安全解決方案的人合作；或者選擇使用完全托管的服務物聯網解決方案來為您解決這個問題。到目前為止，這是任何解決方案中最危險的攻擊面。

棕地系統通常是在沒有 RTU 的情況下運行的邊緣系統。它們通常是預先存在的，并且被認為過于昂貴，沒有切實的投資回報率可以替代。它們可以在 TCP/IP 或其他專有協議上運行。這些示例包括照明系統、樓宇管理系統 (BMS) 以及火警和滅火系統。

• 雖然類似于遠端設備，但通常情況下，棕地系統采用網關來促進專有協議（或有線設備）和以太網協議之間的轉換。最常見的是，這些是具有專有固件的單個 NIC 設備，可能需要自定義編程以促進對象和功能的映射，從而對任何其他系統具有邏輯意義。存在范圍廣泛的這些系統。如果它們存在，重要的是要了解它們是否具有 IoT CMFS 可以利用的 REST API，或者是否必須做一些更專有的事情來促進連接。

1. 這種類型的設備，即使是 TCP/IP，也不應該公開遍歷物聯網云。它們應該被降級到邊緣，并允許 RTU 執行與這些網橋的通信功能以限制風險。
2. 實踐最小權限原則，以驗證您僅被授予完成與這些設備的任何通信所需的功能所需的最低限度。
3. 理想情況下，如果可用，請使用 TLS 加密有效負載流量。

上游連接（潛在）是邊緣到云的物理連接。這是與關鍵設施管理軟件所在位置的基于 TCP/IP 的連接。它被認為是潛在的不可靠性，因為任何物聯網解決方案都應該能夠容忍蜂窩、衛星和 Wi-Fi 等情況下的上游不穩定性。

• 盡可能使用專用網絡。硬線以太網總是最好的，其次是蜂窩。應避免使用 Wi-Fi。
• 蜂窩網絡——雖然不推薦用于與邊緣的主要通信——對于某些應用來說是一個可行的選擇，作為主要的，更常見的是，作為與云的備份連接。使用蜂窩技術作為到云的回程，最安全的路徑是通過來自服務提供商的私有 APN——盡管并非總是可行，但只要您的 RTU 有防火墻，就可以使用公共 APN。

服務總線是經過身份驗證的 REST API，允許第三方軟件和分析使用關鍵設施監控軟件存儲的數據（當前和歷史）。它還允許外部訪問 CFMS 數據庫，通常用于外部分析。

• 在可行的情況下，使用基于可靠的、經過驗證的身份驗證和授權機制的解決方案，例如 OAuth2.0 或用于對供應商 API 進行外部授權的密鑰交換。
• 實踐最小權限驗證原則，僅通過 REST API 向外部實體公開相關信息。
• 使用 TLS 進行傳輸。
• 在網絡基礎設施中使用速率限制以在閾值（每天 10,000 個請求或更低）拒絕后續請求，以防止 DOS 攻擊。
• 使用 IP 白名單。

安全威脅不會消失。事實上，去年，美國、澳大利亞和英國的網絡安全當局報告稱，針對全球關鍵基礎設施組織的復雜、高影響力的勒索軟件事件有所增加。多站點關鍵基礎設施運營經理采取措施保護他們的站點并確保為依賴它們的客戶和組織提供不間斷的服務變得越來越重要。這些建議只是全球任何物聯網解決方案中應被視為基礎的開始。

對于任何組織來說，最好的選擇是與物聯網平臺公司合作，討論他們現有的基礎設施和未來的潛在需求。