問:什麼是 AWS IoT Device Defender?
AWS IoT Device Defender 是一種全受管 IoT 安全服務,可讓您持續保護 IoT 組態的安全。透過 AWS IoT Device Defender,您可以利用許多工具來識別安全問題,並採取因應措施。AWS IoT Device Defender 會對您的叢集進行稽核,確保其遵守安全最佳實務;持續監控您的裝置叢集,以偵測任何異常的裝置行為;在出現安全問題時向您傳送提醒,以及針對這些安全問題提供內建緩解措施。
問:AWS IoT Device Defender 的主要功能是什麼?
稽核 AWS IoT Device Defender 會根據 AWS IoT 安全最佳實務 (例如最低權限原則或每個裝置的唯一身分) 來稽核裝置相關資源 (例如 X.509 憑證、IoT 政策和用戶端 ID)。AWS IoT Device Defender 會回報不符合安全最佳實務合規性的組態 (例如多個裝置使用相同身分),或是允許某個裝置讀取和更新許多其他裝置資料的過度寬鬆政策。
Rules Detect AWS IoT Device Defender 會持續監控裝置和 AWS IoT Core 的高價值安全指標 (例如裝置上接聽 TCP 連接埠的數量或授權失敗計數),以偵測可能指示存在危害的裝置異常行為。您可以針對這些指標設定行為 (規則),為一組裝置指定正常的裝置行為。AWS IoT Device Defender 會根據使用者定義的行為 (規則) 監控和評估針對這些指標回報的每個資料點,並在偵測到異常時提醒您。
ML Detect AWS IoT Device Defender 會使用 14 天六個雲端端指標 (例如授權失敗次數、傳送訊息次數) 和七個裝置端指標 (例如封包傳出,監聽 TCP 連接埠計數) 中裝置資料的機器學習 (ML) 模型,自動為您設定裝置行為。接著在建立初始模型後每天重新訓練模型 (只要有足夠資料可訓練模型),根據最近 14 天重新整理預期裝置行為。AWS IoT Device Defender 會使用 ML 模型監控和識別這些指標的異常資料點,並在偵測到異常時觸發警示。相較於 Rules Detect,這項功能的主要優勢在於:自動偵測機群裝置的營運和安全異常且無須定義正常裝置活動閾值,且會根據裝置的新資料趨勢動態更新預期裝置行為,減少誤判情況。
提醒 AWS IoT Device Defender 可以向 AWS IoT 主控台、Amazon CloudWatch 和 Amazon SNS 發佈警示。
緩解 AWS IoT Device Defender 會提供有關裝置的環境和歷史資訊 (例如裝置中繼資料、裝置統計資料和裝置的歷史提醒),供您調查問題。您也可以使用 AWS IoT Device Defender 的內建緩解動作,針對稽核和偵測警示採取緩解措施,例如新增物件至物件群組、更換預設政策版本和更新裝置憑證。
問:客戶現在如何使用 AWS IoT 來保護裝置的安全?而 AWS IoT Device Defender 如何提供幫助?
AWS IoT Core 提供安全建置區塊,讓您可以將裝置安全地連接到雲端和其他裝置。建置區塊可根據您的組態,在各種不同的嚴格程度上實施安全控制,例如身份驗證、授權、稽核日誌記錄和端對端加密。按照 AWS 共同的責任模式,您可以根據業務需求,定期擁有基準安全組態。但是,人為或系統性錯誤以及具有不良意圖的授權動作者,可能會引進具有負面安全影響的組態。
AWS IoT Device Defender 可幫助您持續稽核安全組態,以確保符合安全最佳實務合規性和所屬組織的安全政策。持續稽核至關重要,因為任何時候都可能存在錯誤的組態。此外,安全組態可能隨著時間的推移受到影響,而且會不斷出現新的威脅。例如,之前為裝置憑證提供安全數位簽章的加密演算法,會因為運算和密碼分析方法的進步而變得不再那麼安全。
AWS IoT Device Defender 能確定什麼情況下最適合使用 AWS IoT 安全控制。但是,如果在修補裝置之前,未修復安全錯誤組態或公開披露新的攻擊向量,則可能會危害連線裝置的安全。AWS IoT Device Defender 會幫助您識別已經受到危害的裝置,並啟動遏制和糾正措施,當作 AWS IoT 預防性安全控制的補充。
問:我是否需要更改裝置層級程式碼,才能使用 AWS IoT Device Defender?
否。您只需在主控台按幾下,就可以稽核您的 IoT 組態和監控所有雲端指標。如果也想監控裝置端指標,則需變更裝置程式碼,將裝置端指標發佈至 AWS IoT Device Defender。如需範例代理的參考實作,請在這裡。AWS IoT Greengrass 和 FreeRTOS 已經與 AWS IoT Device Defender 完全整合,可用於裝置端和雲端指標。
如果裝置平台提供專用的硬體,形成一種可信任的執行環境,我們強烈建議您實作裝置代理,以便在受信任的環境中執行。如需如何實作此類設計的特定指導,請諮詢您的硬體安全解決方案供應商。
問:可以使用 AWS IoT Device Defender 監控自行定義的非標準指標嗎?
可以,您可以使用 Device Defender 建立專屬自訂監控指標。請參閱這份文件,了解如何開始監控您已定義的裝置端指標。
問:AWS IoT Device Defender 如何運作?
AWS IoT Device Defender 可讓您安排稽核任務、監控裝置活動,以及接收稽核結果和裝置異常行為警示的通知。
稽核任務會評定您的 AWS IoT 組態。您可以隨需或按排程啟動稽核任務。為了提高稽核檢查的準確性並盡量減少誤報,AWS IoT Device Defender 會將裝置互動內容與 AWS IoT Core 合併。
AWS IoT Device Defender 會導入並分析從連線裝置收集到的高價值安全指標以及這些裝置和 AWS IoT Core 的互動,以持續監控裝置活動並偵測裝置異常行為。使用 Rules Detect 時,會針對使用者定義行為持續評估指標資料;使用 ML Detect 時,會持續以自動建立的機器學習模型評估指標資料,藉此識別異常。裝置指標的收集和發送是選擇性的。不過,強烈建議收集和發送裝置指標。 AWS IoT Device Defender 會為負責收集和發送裝置端指標的裝置代理提供參考實作和文件。
排定稽核任務的結果和任何偵測到的裝置活動異常都會發佈到 AWS IoT 主控台、AWS IoT Device Defender API,並且可透過 Amazon CloudWatch 存取。此外,您可以將 AWS IoT Device Defender 設定為將結果發送到 Amazon SNS 主題,以便與安全儀表板整合或觸發自動修復工作流程。
問:AWS IoT Device Defender ML Detect 如何訓練模型?
AWS IoT Device Defender 會在 ML Detect 中,使用機器學習模型監控和識別裝置行為指標的異常資料點。儘管 AWS IoT Device Defender 會為您的裝置建立初始 ML 模型,仍需 14 天和每個指標至少 25,000 個指標資料點才能產生模型。之後只要符合每個指標至少 25,000 個指標資料點的需求,就會每天更新模型。如果未符合最低資料點需求,AWS IoT Device Defender 會嘗試在隔天更新模型。每天重試 30 天後才會停用模型更新。
問:使用 AWS IoT Device Defender ML Detect 時,如何處理已訓練模型的誤報警示?
我們設計了一組措施,可根據您使用 AWS IoT Device Defender ML Detect 時的企業使用案例處理 ML 模型的誤報警示,為您提供控制收到之警示的工具:
- 變更觸發警示所需的連續資料點數量:如果經常因指標資料尖峰收到誤報,可以使用此設定要求多個連續資料點異常再收到警示。
- 變更 ML Detect 信賴水準:針對持續誤報情況,您能以較高信賴水準調整偵測的警示。我們提供「低」、「中」、「高」信賴水準供您選擇。「高」信賴水準代表低警示敏感度/數量,「中」信賴水準代表中等警示敏感度/數量,而「低」信賴水準代表高警示敏感度/數量。
- 隱藏警示:針對知道您採取的特定動作可能會造成誤報 (如 OTA 任務) 的一次性情況,您可以更新相關 ML Detect 行為以隱藏警示。此外,除非您選擇變更預設組態,否則 AWS IoT Device Defender 會在預設「ML Detect 安全設定檔」設定,將警示預設為「已隱藏」。
問:哪些 AWS 區域提供 AWS IoT Device Defender?
如需目前 AWS IoT Device Defender 支援的區域清單,請參閱 AWS 區域表。
只要您擁有上述其中一個 AWS 區域的存取權,無論在哪個地理位置都能使用 AWS IoT Device Defender。
問:AWS 免費方案中是否提供 AWS IoT Defender?
是。如需詳細資訊,請瀏覽 AWS IoT Device Defender 定價頁面。
問:AWS IoT Device Defender 的費用是多少?
您可以靈活地獨立使用稽核、Rules Detect 或 ML Detect,因為它們都是單獨收費的。如需詳細資訊,請瀏覽 AWS IoT Device Defender 定價頁面。
問:使用 AWS IoT Device Defender 時,是否需要為 AWS IoT Core 訊息支付相關費用,才能回報偵測指標?
不用,您不需要為用於向 AWS IoT Device Defender 回報裝置端偵測指標的訊息支付任何費用。
問:使用 AWS IoT Device Defender 時,是否需要為 AWS IoT Core 連接支付相關費用,才能回報偵測指標?
是的,如果您與 AWS IoT Core 連接的目的只是為了向 AWS IoT Device Defender 回報裝置端偵測指標,則需要支付連接費用。如需詳細資訊,請瀏覽 AWS IoT Core 定價頁面。
問:如何得知在 AWS IoT Device Defender 為裝置預期行為所設定的值是否正確?
使用 Rules Detect 時,首先請建立一個具有預期限制行為 (例如低閾值) 的安全設定檔,並將其連接到物件群組以獲取一組代表性的裝置。AWS IoT Device Defender 會針對違反規則的行為,由裝置報告的指標資料點來傳送提醒。您可以逐漸微調裝置行為閾值,以符合您的使用案例。
使用 ML Detect 時,此功能會使用機器學習自動設定裝置行為來監控裝置活動。AWS IoT Device Defender 會在 ML 模型將資料點標記為異常時,以裝置報告的指標資料點傳送提醒。您就不必定義裝置的確切行為,並有助於更快且更輕鬆開始監控。