主页 > CDN > > 正文

专属服务器_华为云cdn_稳定性好

来源:胜利云 发布时间:2021-07-15 18:30 标签:服务器华为专属稳定性好
浏览:

您将在2016年TechEd第205节-工业物联网场景安全建议实践课程中听到更多关于这一点的信息,并能够讨论本博客中的内容。如果你想知道更多,想讨论具体的场景,特别是如果你不同意并且对此有强烈的意见,我很期待在那里见到你,因为我肯定想和你谈谈。希望在那里见到你!

在之前的一篇博文中,我分享了一些关于如何在高水平上实现工业物联网边缘安全的一般性建议。在另一个例子中,物联网竞赛,我强调了客户端证书对于设备身份的重要性。我现在想把它们结合在一个提议的架构模板中,该模板应该在工业物联网中得到相对广泛的应用,同时足够灵活,以允许独特用例和场景的变化,并由通信信道或物理位置决定,我觉得传统IT中20-30年的安全经验教训在物联网场景中具有相关性。我们不必重新发明轮子。可以应用IT安全方面的最佳实践,并且考虑到M2M通信的本质比人与机器之间的交互更具可预测性,我们有更多的工具来提供一个边缘基础设施景观,我们可以认为是合理安全的。

我想明确这适用于哪里,这可能需要重大调整。我在这里做了一些假设,如果没有这些假设,这个模板很可能不容易应用:

这些假设的原因是我们需要:

下面的图表显示了整个景观。

让我们通过各种组件来进行讨论起来,快点没错,我们有SAP物联网解决方案,企业管理应用,在本地或云中运行。这是从边缘接收数据的地方。这个环境应该用标准的应用程序、操作系统和网络安全来保护,一般在"企业安全"(或者云,如果是云)下。这不是本文的重点第条。取而代之,让我们看看左边的组件。

在这个场景中,每个设备都有自己的X.509PKI客户端证书。有一个证书服务器,大数据下载,设备和后端服务器都可以联系它来验证服务器和客户端证书,以保证相互信任。设备本身包含证书以确保端到端的可信通信非常重要。证书也可以放在网关上,但这并不理想,因为它会导致设备和网关之间的信任问题。如果我们担心我们保证设备数据确实来自我们认为它来自的设备,那么将证书直接放在设备本身就是一种方法。如果设备基础设施不允许,请确保设备和网关之间的通信(通常进行协议转换)是安全的。

当然,我们需要有一个机制来挂起和吊销证书以及替换证书,为确保后者,设备还应能够进行OTA管理和更新。

在传统的客户端主机防火墙中,我们倾向于阻止从外部发起的流量(例如ping等例外),但允许来自主机本身的任何流量—这是有意义的,因为通常很难预测人类用户想要去哪里。例如,我们可能会将某些网站列入黑名单,但这总是零零碎碎的。在M2M中,我们实际上没有这个问题,淘客app系统,我们应该提前知道我们的设备应该与哪些端点和其他服务进行通信。

这意味着我们可以在防火墙规则方面更加严格。我们的设备永远不需要谷歌网站或者亚马逊网站,更不用说其他国家的远程服务器了。实际上,除了一系列白名单上的端点和服务之外,我们可以阻止到任何位置的通信:我们的数据摄取端点、证书服务器、时间服务器和DNS,也许还有其他一些。这比黑名单强得多,而且由于防火墙规则要求设置根级别的权限,即使攻击者对设备本身的物理访问(但不是根访问)也不足以改变这一点。

解决方案特定的非层次DNS

,因为我们知道我们的设备应该与什么进行通信,而且它们不需要访问随机的网站,所以我们可以对允许解析的主机名非常严格。可以设置一个特定于解决方案的DNS,大数据定义,该DNS只包含景观中相关组件的条目。非层次结构,因为它不需要去寻找解决方案,它还没有从另一个DNS服务器本身。或者,您可以为每个设备提供一个主机文件,但是DNS服务器允许在维护、故障转移、容错和负载平衡方面有一定的灵活性,而不需要更新整个设备基础设施。

网络越来越智能化,这里有两个关键方面:恶意主机识别和隔离,以及基于策略和配置文件的网络。第一种允许我们将未知主机隔离在环境之外,无法连接到网络上的资源。即使只是检测到有人试图从未知设备加入网络也是重要的信息,因为这将是攻击企图的第一步。基于概要文件和策略的网络的第二个方面意味着我们可以对数据流量的性质非常严格,因为流量可以流向何处(因此任何其他情况都会引发警报)以及流量的性质(例如,如果数据量急剧增加,这将是意想不到的行为)。

发表评论
验证码: 点击我更换图片

注:网友评论仅供其表达个人看法,并不代表本站立场。

热门文章

  • 谷歌云_mysql中间件_免费领
    谷歌云_mysql中间件_免费领

    谷歌云_mysql中间件_免费领

    现在工作场所正在发生重大变化。我们协作、计划项目和管理工作量的方式正在改变,如果企业没有做好准备,它们将很快被抛在后面。准确地理解是什么...

  • 域名交易_阿里云翼_企业级
    域名交易_阿里云翼_企业级

    域名交易_阿里云翼_企业级

    通常认为搅动器是一个漏水的桶。你有多少顾客?你损失了多少?你留了多少钱,漏了多少钱?让我们把顾客流失看作是导致医生就诊的原因,比如偏头痛...

  • 金山云_华为云台_怎么申请
    <strong>金山云_华为云台_怎么申请</strong>

    金山云_华为云台_怎么申请

    在我们发布通知(以前是Engage)后的四个月里,我们在后端做了大量的改进。大多数更新在UI中不可见。相反,我们的客户可能已经注意到他们发送的电子...

  • 云主机_深圳企业网站设计_评分榜
    <strong>云主机_深圳企业网站设计_评分榜</strong>

    云主机_深圳企业网站设计_评分榜

    更新:有本文的更新版本。阅读"RPA如何转换数据迁移"(2019年出版)。 在本文中,数据迁移被定义为将数据从旧的遗留系统移动到新的替换系统。通常,...

  • 域名备案_已备案未注册的域名_最新活动
    <strong>域名备案_已备案未注册的域名_最新活动</strong>

    域名备案_已备案未注册的域名_最新活动

    今天是Skype推出十年来的日子,Skype是一款免费的互联网通话应用,用户已超过3亿。Skype是一家来自爱沙尼亚的初创公司,来自点对点文件共享应用Kazaa的开...

云储存

更多 >
  • <strong>云解析_刺客信条百度云资源_免费申请</strong>
    云解析_刺客信条百度云资源_免费申请

    简介: 作为SAP PI顾问,我们都知道如何使用文件适配器进行动态配置,以及如何设置目标文件名动态。现在我们从SAP HCI era开始,需要找到如何实现一样。...

  • 天翼云_数据库英文_哪家好
    天翼云_数据库英文_哪家好

    这里有一个挑战:找到一个不包含"客户"这个词的公司使命宣言或愿景。虽然我不是个赌徒,但我的钱告诉我你做不到。公司存在的根本原因是为客户服务...

云储存消息队列_数据库例子_价格
云储存全站加速_视频加速cdn_免费领
云储存微软云_华为云同步通讯录_最新活动
云储存网站建设_余罪2电视剧百度云网盘_0元
云储存大带宽_高防cdn服务器_测评