Die Suche nach einem universellen IoT-Sicherheitsstandard

„Warum gibt es keinen universellen Sicherheitsstandard für IoT?“ Es ist eine ziemlich häufige Frage, die unsere IoT-Lösungsgruppe häufig von IoT-Entwicklern, Entscheidungsträgern und Expertenforschern hört, unabhängig davon, wie viel Fachwissen sie zu diesem Thema haben. Und es ist fair, schließlich gibt es Standards für fast jede Technologieumgebung, warum also nicht IoT?

Die einfache Antwort ist, dass IoT zu vielfältig ist, um einen festen Standard zu haben. Das stimmt zwar, aber das erklärt das Thema nicht ausreichend mit dem nötigen Maß an subtilen Details. Wir haben festgestellt, dass es mindestens drei Einflussfaktoren gibt, die sich auf universelle IoT-Standards auswirken:Geräteheterogenität, vertikale spezifische Standards und neue Architekturkonzepte. Schauen wir uns jeden an.

Heterogene Natur von IoT-Geräten

IoT-Geräte sind vielfältig. Während die meisten Leute sich ein IoT-Gerät als etwas vorstellen, das sie sehen, berühren und mit dem sie interagieren können, wie zum Beispiel ein Smartphone, sind sie in Wirklichkeit so viel mehr. Sehr oft haben sie überhaupt keine menschliche Interaktion. Sie sind Sensoren, die mit ihrer Umgebung interagieren, um die Temperatur in kontrollierten Umgebungen zu melden, das Öffnen oder Schließen einer Tür in einer entfernten Einrichtung zu melden oder über den Ein-/Aus-Status eines Lichtschalters in einem intelligenten Gebäude zu informieren. Sie sind Gateways, die die Kommunikationswege sichern, die Daten von einem Endpunkt in die Cloud übertragen, oder Aktoren, die diese Lichter ausschalten, wenn niemand anwesend ist. Sie sind auch kritische Infrastrukturbetriebe, die die Energieversorgung sicherstellen, Fertigungsumgebungen warten oder Telekommunikations-Hubs bedienen.

Es gibt unzählige Arten von IoT-Geräten und wie jedes Gerät in seiner Umgebung verwendet wird – sein Anwendungsfall – ist ebenfalls einzigartig. Jeder hat unterschiedliche technische Fähigkeiten und kann potenziell in eine Reihe von IoT-Plattformen integriert werden. IoT-Umgebungen und -Geräte sind manchmal hinsichtlich der Bandbreite oder der Gerätekapazität (Batterie, Speicher, Rechenleistung) begrenzt. IoT-Geräteplattformen weisen im Vergleich zum Desktop-Computing auch eine enorme Vielfalt in ihren Softwareplattformen auf. Beim Desktop-Computing sprechen Sie nur von einer Handvoll Betriebssystemen (OS), während auf der Geräteseite die Anzahl der eingebetteten Systeme aufgrund der kundenspezifischen Natur vieler Plattformen viel größer ist.

Das Finden gemeinsamer Standards bei so großer Vielfalt ist eine Herausforderung und behindert die Entwicklung universeller IoT-Standards.

Branchenführer mit branchenspezifischen Standards

Trotz der Vielzahl von Geräten und ihrer breiten Palette von Anwendungsfällen arbeiten Branchen der Branche zusammen, um anwendungsfallspezifische IoT-Sicherheits- und Konnektivitätsstandards zu entwickeln. Es werden Standards vorgeschlagen.

Manchmal entwickeln sich diese Standards im Laufe der Zeit. Wir können diese Entwicklung sehen, wenn wir uns PKI-basierte Bereitstellungen im IoT ansehen und sie mit der Standardisierung von PKI in der heutigen Web-PKI-Welt vergleichen. In der Web-PKI haben wir öffentliche Zertifizierungsstellen (CAs), das Forum für Zertifizierungsstellen/Browser (CA/B) und die Webbrowser selbst. Es gibt eine etablierte und traditionelle Methode zur Sicherung von Webservern. Dies ist ein allgemein akzeptierter Standard und Standardanwendungsfall für PKI, bei dem die Basisanforderungen des CA/B-Forums dies regeln. Die Notwendigkeit eines Standards für Browser wird durch ein offenes Ökosystem von Clients in der Umgebung getrieben – alle Webbrowser und Benutzer müssen sich mit einer offenen und breiten Palette von Servern verbinden.

Wenn wir PKI für IoT-Ökosysteme betrachten, ändert sich einiges davon. Während Web-PKI hauptsächlich öffentliche Vertrauensmodelle verwendet, verwendet PKI für IoT tendenziell geschlossenere, private Ökosysteme. In IoT-Ökosystemen sind die Vertrauensmodelle in vielen dieser Ökosysteme derzeit viel geschlossener, da sie noch so früh in der Bereitstellungsphase sind. In der Regel stellt ein OEM den gesamten Stack vom Gerät bis zur Cloud bereit. Sie werden die Cloud betreiben oder eher mit jemandem zusammenarbeiten, der die Cloud betreibt, wie Microsoft oder Amazon. Diese Ökosystem-Vertrauensmodelle sind derzeit geschlossen und isoliert.

Diese Konfiguration entwickelt sich noch. Wir sehen Entwicklungen von Identitätsstandards und IoT-Identitätsstandards in eher vertikalen spezifischen Ökosystemen. Wir sehen zum Beispiel, wie Standards mit Gruppen entstehen, denen wir angehören, wie der Wi-SUN Alliance, einer Organisation, die die Einführung interoperabler intelligenter ubiquitärer Netzwerke vorantreibt, und dem LXI Consortium (LAN eXtensions for Instrumentation), einer Gruppe internationaler Top-Tester und Messunternehmen, die zusammenarbeiten, um den Kommunikationsstandard für Prüf- und Messgeräte zu entwickeln und zu steuern.

Es gibt viele andere Beispiele für diese branchenspezifischen Anwendungsfälle, die die Konsistenz innerhalb ihrer eigenen Domänen vorantreiben, z. B. in der Automobilindustrie oder im Privathaushalt. Dies ist etwas, das wir vorhergesagt haben, und etwas, das wir in Betracht gezogen haben, als wir anfingen, in den IoT-Bereich einzusteigen. Wir wussten, dass wir eine anfängliche Abweichung davon sehen würden, wo Identitätsmodelle heute im Web bereitgestellt werden. Dass es in geschlossene Ökosysteme übergehen und dann zu halbprivaten oder halböffentlichen Ökosystemen heranwachsen und schließlich zu etwas wachsen würde, das als allgemeiner Authentifizierungs- oder Identitätsstandard für diese Ökosysteme breiter und gleichwertiger ist. Branchen in der Branche tragen dazu bei, grundlegende Standards zu etablieren, die mit zunehmender Reife des IoT wahrscheinlich als umfassendere Standards erscheinen werden.

Neue Architekturkonzepte

Jede IoT-Vertikale und jeder Anwendungsfall hat unterschiedliche Architekturmuster. Wir sehen jedoch auch dort einige Gemeinsamkeiten, die aus der IEEE 802.1 AR-Spezifikation hervorgegangen sind und in IoT-Ökosystemen Einzug halten. Es handelt sich um die breiten und allgemeinen konzeptionellen Komponenten einer IDevID und LDevID. Diese werden in Architekturkonzepten angewendet, die etwas mehr Anwendungsfall- oder Vertikal-Agnostik sind.

Eine IDevID (Initial Device Identity) ist in der Regel langlebig und idealerweise durch sichere Hardware geschützt und repräsentiert die Kernidentität des Geräts, wie eine Geburtsurkunde. Eine LDevID (Local Device Identity) ist ein lokal bedeutsames Zertifikat auf Zugriffsebene, das von kürzerer Dauer ist und den Zugang zur Umgebung ermöglicht, was einem Führerschein ähnlich ist.

Dies ist eines der eher vertikal-agnostischen Architekturidentitätsmuster, das wir bei mehreren unserer bestehenden Kunden verwendet haben. Die Implementierung erfordert eine sorgfältige Betrachtung Ihrer Lieferkette. Zuerst überlegen wir, wo und wie die IDevIDs sicher in diesem Gerät oder dieser Komponente oder dem Chipsatz bereitgestellt werden – auf welcher Ebene der Geräteplattform Sie es planen und in welcher Phase des Herstellungsprozesses. Als Nächstes überlegen wir, wie einige dieser IDevID-Vertrauensattribute, die idealerweise während der Herstellung sicher bereitgestellt wurden, in eine lokal signifikante, operative LDevID umgewandelt werden können, die verwendet werden kann, um dem Gerät die Verbindung und den Betrieb mit dem IoT-Ökosystem zu ermöglichen. Diese LDevIDs werden im Allgemeinen während des Gerätelebenszyklus häufiger rotiert.

Dieses IDevID/LDevID-Muster ist einer dieser architektonischen Identitätspläne, auf die sich die PKI im IoT stützt, und wir verwenden einige dieser Konzepte, um Geräte und Lieferketten vor aufkommenden Bedrohungen zu schützen.

Die Antwort auf die Frage „Warum gibt es keinen universellen Sicherheitsstandard für IoT?“ ist ein bisschen nebulös und verdient mehr als eine einzeilige Antwort. Das IoT ist nicht nur zu vielfältig, um einen einzigen Standard zu haben, obwohl dies eine legitime Erklärung ist, sondern es entsteht auch noch, wächst und findet die gemeinsamen Fäden, die schließlich zu etwas Homogenerem führen können.