A autenticação e autorização de IoT são componentes essenciais da segurança cibernética, sejam os consumidores que os implementam em dispositivos domésticos inteligentes ou uma empresa em centenas de dispositivos de IoT que rastreiam e monitoram fluxos de trabalho e recursos em grande escala.
Em sua essência, os dispositivos IoT simplesmente se conectam para compartilhar dados. Com tantos dispositivos em uso, é vital proteger essas conexões. A autenticação e autorização de IoT podem fazer isso.
Dado o número de dispositivos que se conectam à rede de uma organização, os administradores de TI não podem se dar ao luxo de esquecer essa parte da estratégia de segurança.
Uma estratégia de autorização e autenticação IoT começa com a compreensão de como uma organização usa dispositivos IoT e como os dispositivos se comunicam com sua rede.
O que é autenticação e autorização?
A autenticação é o processo de identificação do dispositivo, enquanto a autorização fornece permissões.
Os dispositivos IoT usam esses processos para fazer controle de acesso baseado em funções e garantir que os dispositivos tenham acesso e permissão apenas para fazer exatamente o que precisam.
Na prática, apenas dispositivos autorizados podem interagir com outros dispositivos, aplicativos, contas de nuvem e gateways.
Os administradores registram cada dispositivo quando o implantam no sistema. O sistema valida os dispositivos quando eles se conectam e compartilham dados.
Muitas organizações usam infraestrutura de chave pública (PKI) para vincular dispositivos com certificados de chave pública de autoridades de certificação para atribuir e verificar identidades de dispositivos. A PKI estabelece a legitimidade de um dispositivo IoT em uma rede para compartilhar dados.
A autenticação IoT forte protege contra comandos de controle de usuários não autorizados ou dispositivos externos que tentam acessar a rede por meio de um dispositivo específico.
A medida de segurança evita que invasores reivindiquem que suas ações vêm de dispositivos IoT na rede e, portanto, obtenham acesso aos dados na rede mais ampla.
As organizações têm várias maneiras de autenticar e autorizar dispositivos IoT que dependem do dispositivo, localização e natureza dos dados que o dispositivo transmite ou recebe.
Compreenda 3 tipos de modelos de autenticação e autorização de IoT
A segurança se divide em duas categorias principais: distribuída e centralizada.
No modelo distribuído, os dispositivos armazenam certificados e identidades e validam a autorização. No modelo centralizado, um servidor centralizado ou aplicativo confiável de terceiros distribui e gerencia os certificados de autenticação dos dispositivos IoT.
Quando os dispositivos se conectam à rede, o repositório central do certificado realiza a verificação e autenticação.
Dependendo da natureza dos dispositivos IoT de uma organização, combinações de modelos distribuídos e centralizados podem garantir o gerenciamento mais eficiente e seguro.
Existem três protocolos e opções de segurança de autenticação e autorização de IoT principais disponíveis que os administradores podem implantar:
Autenticação distribuída unilateral
Sempre que dois dispositivos decidem se conectar, como um sensor IoT e um gateway, o protocolo determina que apenas um dispositivo se autentique para o outro e o segundo dispositivo não seja autenticado.
Um dispositivo é registrado como válido com o segundo dispositivo por meio de um hash de senha ou certificado digital. Quando o primeiro dispositivo tenta se conectar, o segundo dispositivo verifica a senha ou certificado e o compara com as informações armazenadas. Se as informações corresponderem, o dispositivo autoriza a conexão.
A autenticação unilateral funciona melhor para dispositivos que se conectam apenas a um outro dispositivo. Esses dispositivos ainda precisam de mecanismos de segurança, mas não exigem monitoramento constante.
Autenticação distribuída de duas vias
Também conhecido como autenticação mútua, esse protocolo é usado quando os dois dispositivos se autenticam antes de se comunicarem. Cada dispositivo deve ter uma identidade digital exclusiva armazenada para o outro dispositivo e, em seguida, comparar as identidades.
Os dispositivos só podem se conectar quando o primeiro dispositivo confia no certificado digital do segundo dispositivo e vice-versa. O protocolo Transport Layer Security troca e compara certificações.
As transações de comércio eletrônico online e as transmissões de dados altamente confidenciais geralmente usam esse protocolo.
Autenticação centralizada de três vias
Nesta abordagem, um administrador registra os dispositivos com uma autoridade central ou servidor e associa os dispositivos com certificados digitais válidos. A autoridade central facilita o handshake seguro entre os dois dispositivos que desejam se comunicar.
Na autenticação de três vias, os certificados de segurança não são armazenados nos dispositivos e não podem ser roubados por criminosos, embora os dispositivos ainda tenham uma segurança forte.
Essa abordagem funciona melhor para dispositivos sempre conectados ou com acesso sob demanda à Internet, pois elimina qualquer atraso na autenticação. Um certificado e serviço de gerenciamento de ciclo de vida de chave pode gerenciar os certificados centralmente e se conectar a qualquer dispositivo em uma rede que precise de verificação.
Considere os protocolos de comunicação para autenticação e autorização de IoT
Para escolher a abordagem certa para uma estratégia de autenticação e autorização de IoT, as organizações devem considerar a tecnologia usada para proteger os dados e a identificação da máquina.
Os administradores de TI devem monitorar a rede em busca de identidades de máquina para garantir que apenas dispositivos autorizados se conectem e se comuniquem com a rede. Os administradores também podem receber alertas quando dispositivos não autorizados tentarem se conectar.
O protocolo de comunicação que uma rede usa para conectar e compartilhar dados também é crítico para a segurança do dispositivo IoT. Por exemplo, um certificado X.509 fornece segurança para certificados, mas pode usar muita capacidade de computação, largura de banda da Internet e eletricidade para ser útil para dispositivos IoT.
A PKI que uma rede usa pode criar problemas de conectividade quando o sistema autentica e autoriza dispositivos. Dispositivos que usam certificados digitais encadeados podem exigir mais largura de banda para se auto-verificar e permitir a comunicação.
Um protocolo de base mais eficiente e menor que está se tornando rapidamente o padrão de segurança da IoT é o Message Queuing Telemetry Transport (MQTT). Como uma abordagem centralizada para a segurança de IoT, o MQTT conecta um cliente, como o dispositivo IoT, a um broker que armazena identidades e certificados digitais.
As organizações integram o MQTT a vários sistemas de monitoramento e gerenciamento de rede, o que permite que os profissionais de TI monitorem milhares de dispositivos IoT de forma escalonável.
O protocolo oferece opções de personalização para largura de banda de comunicação entre dispositivos e garante que os dados sejam transmitidos de maneira uniforme e segura entre os dispositivos.
Soluções de segurança Internet das Coisas (IoT) EVAL & Thales
As organizações apenas começaram a descobrir e se beneficiar das oportunidades oferecidas pela Internet das Coisas. A capacidade de capturar e analisar dados de dispositivos conectados distribuídos oferece o potencial de otimizar processos, criar novos fluxos de receita e melhorar o atendimento ao cliente.
No entanto, a IoT também expõe as organizações a novas vulnerabilidades de segurança introduzidas pela maior conectividade de rede e dispositivos que não são protegidos por design. E os invasores avançados demonstraram a capacidade de girar para outros sistemas, aproveitando vulnerabilidades em dispositivos IoT.
As soluções de segurança IoT da EVAL e Thales fornecem criptografia de dados para dados IoT e gerenciamento de chaves de criptografia para dispositivos IoT.
Usando as soluções HSMs da Thales e EVAL de segurança e suporte para criar e proteger as chaves criptográficas, cada dispositivo IoT pode ser fabricado com uma identidade única baseada em criptografia que é autenticada quando uma conexão com o gateway ou servidor central é tentada.
Com esse ID exclusivo instalado, você pode rastrear cada dispositivo ao longo de seu ciclo de vida, comunicar-se com segurança com ele e evitar que execute processos prejudiciais. Se um dispositivo exibir um comportamento inesperado, você pode simplesmente revogar seus privilégios.
Sobre a EVAL
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval segurança é valor.