如何从物联网的角度保护云计算（如何从物联网的角度保护云计算产品）

如今，全世界各地利用的物联网装备已到达数10亿台，并且数量每一年都在大量增加。令人遗憾的是，正在开发和部署的许多物联网装备却缺少关键的安全功能，这使得它们很容易成为黑客（Hacker）和僵尸网络的目标。如果没有适当的安全措施，这些物联网装备可能会致使灾害性事件。

　　数据偷盗

　　一旦找到漏洞，网络攻击者可以盗取物联网装备上存储的数据，其中可能包括个人信息、密码，乃至信誉卡信息。更糟的是，通常，在某些情况下，黑客（Hacker）使用物联网装备来搜集数据。带有麦克风和摄像头的智能电视可能变成一个搜集音频和视频信息的监听装备。该装备可以嗅探网络流量将其泄漏以进行脱机分析，并绘制网络布局图，从而找到其他攻击目标。

　　数据破坏

　　许多物联网装备从各种传感器搜集数据。然后将数据传输到云计算系统进行分析，并将其输入到各种业务系统中。如果物联网装备遭到黑客（Hacker）的攻击，则该装备产生的数据将没法信任。另外，许多物联网装备缺少强盛的身份验证措施。从这些装备搜集数据的云计算系统没法信任这些数据。黑客（Hacker）可以轻松克隆或欺骗装备，以将不良数据反馈到云计算系统，从而破坏相干的业务流程。

　　盗取网络凭证

　　黑客（Hacker）已能够从几近所有智能装备中提取Wi-Fi密码，例如灯泡、门锁、门铃、婴儿监视器，乃至是玩具。一旦黑客（Hacker）侵入物联网装备，它通常可以用作网络攻击和提取网络中发现数据的入口。举例来看，在2017年，黑客（Hacker）经过具有Wi-Fi功能的鱼缸从一个赌场盗取了10 GB的重要数据。

　　谢绝服务攻击

　　具有静态或默许凭据的物联网装备使大型物联网僵尸网络数量激增。 Mirai僵尸网络是物联网装备僵尸网络的起源地，它感染了数百万个物联网装备，并被用来针对(其中包括域名系统提供商DYN公司)多个目标发起大范围的、调和的、谢绝服务的攻击，从而致使欧洲和北美地区的大型互联网瘫痪。Mirai僵尸网络扫描互联网的大量内容，寻觅开放的Telnet端口，然后尝试使用已知的默许用户名/密码组合列表进行登录。这使其能够聚集60多万台物联网装备，用于攻击包括DYN公司在内的目标，并发出大量要求使大量服务器脱机。

　　物理攻击

　　在许多情况下，物联网装备控制着制造、医疗、运输等行业领域的关键基础设施。物理攻击的例子包括对德国一家钢铁厂的控制系统的攻击，致使高炉受损;对美利坚合众国和乌克兰电网的攻击;对飞机控制系统的网络攻击，和可以远程控制切诺基吉普车驶离路面。

　　数据中心的各个控制系统(其中包括电源、暖通空调系统和建筑安全系统)都容易遭到网络攻击。对这些系统的攻击可以直接作用数据中心和基于云计算的计算操作。

　　物联网装备中的漏洞

　　将新的物联网装备推向市场将会致使设计漏洞，例如使用硬件编辑密码、不需要用户身份验证的控制界面，和明文发送敏感信息的通讯协议。这类不足会致使装备缺少安全启动功能或经过身份验证的远程固件更新。

　　现代家庭具有数10种或更多与云计算连接的装备，每种装备都有可能被感染，并被当作针对网络、企业和组织的攻击机器人。

　　制造商必须开始解决这些安全漏洞，首先评估其装备的漏洞，肯定要采取的防护措施，然后肯定所需的安全功能。

　　安全能力

　　在物联网装备上添加一些基本的安全功能，可以明显下降网络攻击的风险。这些功能可以在设计阶段内置，确保装备在多个用例中的安全身份和完全性，其中包括工业物联网(IIoT)、汽车、航空、智能城市、能源、医疗等。

　　安全启动

　　安全启动利用密码代码签名技术，确保装备仅履行原始装备制造商(OEM)或其他受信方产生的代码。安全启动技术的使用可避免黑客（Hacker）用歹意版本替换固件，从而禁止各种攻击。

　　可靠的远程固件更新

　　安全更新可确保装备可以更新，但只能使用原始装备制造商(OEM)装备或其他受信任方的固件进行更新。与安全启动一样，可靠的固件更新可确保装备始终运行受信任的代码，并禁止任何利用装备的固件更新进程的尝试。

　　安全通讯

　　安全协议(如TLS、DTLS和IPSec)的使用为物联网装备添加了身份验证和动态数据保护。由于没有在明文中发送关键数据，黑客（Hacker）很难窃听通讯并取得密码、装备配置或其他敏感信息。

　　嵌入式防火墙

　　嵌入式防火墙提供基于规则的过滤和侵入检测。状态数据包检查(SPI)经过将防火墙技术直接内置到装备中来保护装备免受攻击。嵌入式防火墙可以查看来自网络或家庭网络的传入消息，并经过内置且定期更新的黑名单来谢绝之前未批准的任何消息。状态数据包检查(SPI)过滤会谢绝尝试利用TCP协议中的弱点作为谢绝服务攻击一部份的数据包。

　　安全元素或TPM集成

　　原始装备制造商(OEM)和医疗装备制造商应使用安全元素，如可信平台模块(TPM)兼容的安全元素，或用于安全密钥存储的嵌入式安全元素。安全密钥存储允许使用在安全元素中生成的密钥对进行安全启动和公钥基础设施(PKI)注册，从而提供非常高级别的防攻击保护。

　　数据保护

　　安全协议在数据经过网络传输时提供保护，但在数据存储在装备上时不保护数据。大型数据泄漏通常是由于从被盗或废弃装备中恢复的数据酿成的。对存储在装备上的所有敏感数据进行加密，可在装备被抛弃、被盗或未经授权的一方访问时提供保护。举例来看，大多数办公室、企业和个人打印机内部都有一个可以存储数千个文档的硬盘。

　　基于证书的身份验证

　　可以在制造期间将装备身份证书注入装备中，以便在安装到网络上和与系统中的其他装备进行通讯之前对它们进行身份验证。

　　物联网用户因素

　　作为物联网装备的用户，需要确保安全性。消费者不太可能知道所连接的装备是不是安全，因此他们几近没有能力改变他们的选择。但是，当其产品提供内置安全性时，用户必须启用适当级别的安全性，删除默许密码，并设置更强的密码。

　　归根结柢，物联网可靠的责任在很大程度上落在企业身上，这些企业只需购买安全级别很高的装备，就能够将其人力和资源投入到业务运营中。

　　如果可以单独或以任何组合方式使用安全启动、防火墙或侵入检测，则可以将遭到感染并用作Mirai僵尸网络感染中僵尸程序的摄像头免受这类攻击。

　　经过添加一些基本功能，可以明显提高任何物联网装备的安全性。经过保护物联网边沿装备(需要连接到云平台以提供有价值的服务和功能的端点)，也能够保护它们所支持的数据中心和云平台。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。