IoT Security with AWS

IoT セキュリティ with AWS - JAWS DAYS 2017 IoT とセキュリティ
- アマゾンウェブサービスジャパン株式会社ソリューションアーキテクト藤原吉規 2017.03.11

⾃⼰紹介 • 藤原吉規（ふじわらよしのり）⻄⽇本担当ソリューションアーキテクト – AWS
⼤阪オフィスにいます – 関⻄のスタートアップ企業に 6 年間勤務 – AWS サムライ 2013 – 好きな AWS サービス: AWS サポート

Agenda • IoT セキュリティ • AWS IoT • AWS IoT
デザインパターン 3

IoT セキュリティ 4

あらゆる"モノ"がつながる

デバイスは今後⼤幅に増加することが予想される 2013 2015 2016 2020 Vertical Industry Generic Industry Consumer
Automotive Many Some Lots

多くのデバイスはセキュリティを重要視していない Mirai bot default passwords

IoT セキュリティは効果的かつシンプルであるべき “プロのパイロットやレースドライバーは事故の際の安全を保つためには何でもするが、⼀般の⾃動⾞ドライバーはたったの1分でも不便を強いられたくない“ ニルス・ボーリン - 3点式シートベルトの発明者 -

AWS IoT 9

Things Sense & Act Cloud Storage & Compute Intelligence Insights
& Logic → Action AWS IoT Action Device State AWS Services Applications Authentication & Authorization Device Gateway Registry AWS IoT API Messages Messages 簡単で安全なクラウドへのIoTデバイス接続サービス

AWS IoT : 2つの利⽤⽤途 • データ収集数⼗万規模のデバイスからのデータ収集 • リモート制御
遠隔にあるデバイスをクラウドを介してコントロール使⽤例デバイスのデータの可視化故障予測・異常検知ファームアップリモート機器制御

AWS IoT スタンダードプロトコル (no lock-in) 数百万デバイスやアプリをMQTTや HTTP1.1プロトコル, Websocketsを使って通信ができる
⻑期間のセッション保持によるクラウドを介したメッセージ送受信クライアント（デバイスやアプリ）は制御信号やコマンドなどをクラウドから受信することができるデフォルトのセキュリティ X509証明書とTLS1.2を使った相互認証 Topic Based Architecture (lights/thing-2/color) ハイスケーラブルメッセージブローカー

AWS IoT デバイスとクラウドとの相互認証 TLS1.2を⽤いた相互認証証明書に対するポリシ設定も可能ルールエンジンとアクション SQLライクな構⽂でルールの設定ルールに合致した場合、AWSの各種サー
ビスとのインテグレーションデバイスシャドーデバイスが物理的に接続されてなくてもコマンドを伝達できるデバイスレジストリ多くのデバイスを管理 Key-Value形式でファームバージョンなどの属性情報も管理可能

AWS IoT 対応プロトコル MQTT + Mutual Auth TLS Websocket +
AWS Auth HTTPS + AWS Auth Server auth TLS + cert TLS + cert TLS + cert Client auth TLS + cert AWS credentials (API keys) AWS credentials (API keys) Confidentiality TLS TLS TLS Protocol MQTT MQTT/WS HTTP Communication model Pub/sub Pub/sub REST Identification AWS ARNs AWS ARNs AWS ARNs Authorization AWS policy AWS policy AWS policy

AWS IoT デザインパターン 15

インシデント対応 16

インシデント対応

インシデント対応 CWE Executes Lambda Function to invalidate certiﬁcate

モバイルデバイスからの user access 19

Unauthenticated (anonymous) user access IAM unauthenticated role Amazon Cognito

Authenticated user access IAM authenticated role Amazon Cognito IoT policy
per user Identity provider

デバイスクライアント証明書の Just-in-time registration 22

Just-in-time registration Manufacturing line Provisioning of the Identities signed with
customer’s CA First data connection JIT registration

Just-in-time registration – Provisioning Customers Hardware Security Module (HSM) CSR
CSR CSR

Just-in-time registration – CA registration getRegistrationCode() Customers Hardware Security Module
(HSM) CSR CSR CSR registerCACertificate(CACert,RegCert)

Just-in-time registration Customers Hardware Security Module (HSM) checkYourCRL() updateCertificate(Cert, ACTIVE)
attachPrincipalPolicy(Cert, IoTPolicy) updateERP() Function handling PENDING_ACTIVATION State

デバイスクライアント証明書の課題 • ⼀意の鍵をデバイス1台ごとに⽣成 • ⼀意の鍵をデバイスの製品寿命が終わるまで秘密にしておく • 量産環境、信⽤・コンプライアンスのレベルが異なる多数のサードパーティが関与するサプライチェーンでこれらを実現する必要がある
27

Atmel/Microchip AWS-ECC508 簡単なプロビジョニングと安全な鍵ストレージ制約のあるハードウェアのための暗号化オフロード

参考： AWS re:Invent 2016: IoT Security: The New Frontiers (IOT302)
• スライド – https://www.slideshare.net/AmazonWebServices/aws- reinvent-2016-iot-security-the-new-frontiers-iot302 • 動画 – https://www.youtube.com/watch?v=ysgG9K3y5yo 29

参考：AWS IoT デバイス証明書の登録について • AWS IoT デバイス証明書を作成および登録する – http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/d evice-certs-create.html
• ⾃前の証明書を使⽤する – http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/d evice-certs-your-own.html • Best Practices for IoT Security in the Cloud – https://www.slideshare.net/AmazonWebServices/february- 2016-webinar-series-best-practices-for-iot-security-in-the-cloud 30

参考：Just-in-Time Registration (JITR) • Blog – https://aws.amazon.com/blogs/iot/just-in-time-registration- of-device-certificates-on-aws-iot/ • JITR
- AWS Lambdaのサンプルコード – https://github.com/awslabs/aws-iot- examples/blob/master/justInTimeRegistration/deviceActivati on.js 31

IoT Security with AWS

IoT Security with AWS

@twingo_b

More Decks by @twingo_b

Other Decks in Technology

Featured

Transcript

IoT セキュリティ with AWS - JAWS DAYS 2017 IoT とセキュリティ

⾃⼰紹介 • 藤原吉規（ふじわらよしのり）⻄⽇本担当ソリューションアーキテクト – AWS

Agenda • IoT セキュリティ • AWS IoT • AWS IoT

IoT セキュリティ 4

あらゆる"モノ"がつながる

デバイスは今後⼤幅に増加することが予想される 2013 2015 2016 2020 Vertical Industry Generic Industry Consumer

多くのデバイスはセキュリティを重要視していない Mirai bot default passwords

AWS IoT 9

Things Sense & Act Cloud Storage & Compute Intelligence Insights

AWS IoT : 2つの利⽤⽤途 • データ収集数⼗万規模のデバイスからのデータ収集 • リモート制御

AWS IoT スタンダードプロトコル (no lock-in) 数百万デバイスやアプリをMQTTや HTTP1.1プロトコル, Websocketsを使って通信ができる

AWS IoT デバイスとクラウドとの相互認証 TLS1.2を⽤いた相互認証証明書に対するポリシ設定も可能ルールエンジンとアクション SQLライクな構⽂でルールの設定ルールに合致した場合、AWSの各種サー

AWS IoT 対応プロトコル MQTT + Mutual Auth TLS Websocket +

AWS IoT デザインパターン 15

インシデント対応 16

インシデント対応

インシデント対応 CWE Executes Lambda Function to invalidate certiﬁcate

モバイルデバイスからの user access 19

Unauthenticated (anonymous) user access IAM unauthenticated role Amazon Cognito

Authenticated user access IAM authenticated role Amazon Cognito IoT policy

デバイスクライアント証明書の Just-in-time registration 22

Just-in-time registration Manufacturing line Provisioning of the Identities signed with

Just-in-time registration – Provisioning Customers Hardware Security Module (HSM) CSR

Just-in-time registration – CA registration getRegistrationCode() Customers Hardware Security Module

Just-in-time registration Customers Hardware Security Module (HSM) checkYourCRL() updateCertificate(Cert, ACTIVE)

Atmel/Microchip AWS-ECC508 簡単なプロビジョニングと安全な鍵ストレージ制約のあるハードウェアのための暗号化オフロード

参考： AWS re:Invent 2016: IoT Security: The New Frontiers (IOT302)

参考：AWS IoT デバイス証明書の登録について • AWS IoT デバイス証明書を作成および登録する – http://docs.aws.amazon.com/ja_jp/iot/latest/developerguide/d evice-certs-create.html

参考：Just-in-Time Registration (JITR) • Blog – https://aws.amazon.com/blogs/iot/just-in-time-registration- of-device-certificates-on-aws-iot/ • JITR

32