La búsqueda de un estándar de seguridad de IoT universal

"¿Por qué no existe un estándar de seguridad universal para IoT?" Es una pregunta bastante común que nuestro grupo de soluciones de IoT escuche bastante de los desarrolladores de IoT, los tomadores de decisiones e investigadores expertos por igual, independientemente del nivel de experiencia que tengan sobre el tema. Y es justo, después de todo, existen estándares para casi cualquier entorno tecnológico, así que ¿por qué no IoT?

La respuesta fácil es que IoT es demasiado diverso para tener un estándar establecido. Aunque es cierto, eso no explica adecuadamente el tema con el nivel de detalle sutil que se justifica. Descubrimos que existen al menos tres factores que influyen en los estándares universales de IoT:heterogeneidad de dispositivos, estándares verticales específicos y conceptos arquitectónicos emergentes. Veamos cada uno.

Naturaleza heterogénea de los dispositivos de IoT

Los dispositivos de IoT son diversos. Si bien la mayoría de la gente piensa en un dispositivo de IoT como algo que pueden ver, tocar e interactuar, como un teléfono inteligente, de hecho son mucho más. Muy a menudo, no tienen ninguna interacción humana. Son sensores que interactúan con su entorno para informar la temperatura en entornos controlados, transmiten cuando una puerta está abierta o cerrada en una instalación remota o informan sobre el estado de encendido / apagado de un interruptor de luz en un edificio inteligente. Son puertas de enlace que aseguran las vías de comunicación que transfieren datos desde un punto final a la nube o actuadores que apagan esas luces cuando no hay nadie presente. También son operaciones de infraestructura crítica que impulsan el suministro de energía, mantienen los entornos de fabricación o sirven a los centros de telecomunicaciones.

Existen innumerables tipos de dispositivos de IoT y la forma en que se utiliza cada uno dentro de su entorno, su caso de uso, también es único. Cada uno tiene diferentes capacidades técnicas y potencialmente se puede integrar con varias plataformas de IoT. Los entornos y dispositivos de IoT a veces tienen un ancho de banda limitado o una capacidad de dispositivo limitada (batería, almacenamiento, computación). Las plataformas de dispositivos de IoT también tienen una enorme diversidad en sus plataformas de software, en comparación con la informática de escritorio. En la computación de escritorio, se habla de solo un puñado de sistemas operativos (SO), mientras que en el lado del dispositivo, la cantidad de sistemas integrados es mucho mayor dada la naturaleza personalizada de muchas plataformas.

Encontrar estándares comunes entre tanta diversidad es un desafío y dificulta el desarrollo de estándares universales de IoT.

Líderes de la industria con estándares verticales específicos

A pesar de la gran cantidad de dispositivos y su amplia gama de casos de uso, las verticales de la industria están colaborando para crear estándares de conectividad y seguridad de IoT específicos para casos de uso. Se están proponiendo estándares por ahí.

A veces, esos estándares evolucionan con el tiempo. Podemos ver esa evolución si observamos las implementaciones basadas en PKI dentro de IoT y lo comparamos con la forma en que PKI se ha estandarizado en el mundo de PKI web actual. En web PKI tenemos Autoridades de Certificación (CA) públicas, el Foro de Autoridad de Certificación / Navegador (CA / B) y los navegadores web mismos. Existe una forma de caso de uso tradicional y establecida para proteger los servidores web. Ese es un caso de uso estándar y estándar bien aceptado para PKI donde los requisitos de referencia del CA / B Forum lo guían. La necesidad de un estándar por parte de los navegadores está impulsada por un ecosistema abierto de clientes en el entorno:todos los navegadores web y los usuarios necesitan conectarse a un conjunto amplio y abierto de servidores.

Al considerar PKI para ecosistemas de IoT, algo de eso cambia. Mientras que la PKI web utiliza principalmente modelos de confianza públicos, la PKI para IoT tiende a utilizar ecosistemas privados más cerrados. En los ecosistemas de IoT en este momento, los modelos de confianza en muchos de estos ecosistemas tienen una confianza mucho más cerrada, ya que aún se encuentra en una etapa muy temprana de su implementación. Generalmente, un OEM proporcionará la pila completa desde el dispositivo hasta la nube. Van a ejecutar la nube o, más probablemente, se asociarán con alguien para ejecutar la nube, como Microsoft o Amazon. Estos modelos de confianza del ecosistema están actualmente cerrados y aislados.

Esa configuración aún se está desarrollando. Estamos viendo la evolución de los estándares de identidad y los estándares de identidad de IoT en ecosistemas específicos más verticales. Por ejemplo, vemos estándares emergentes con grupos de los que somos miembros como Wi-SUN Alliance, una organización que impulsa la adopción de Interoperable Smart Ubiquitous Networks, y LXI Consortium (LAN eXtensions for Instrumentation), un grupo de pruebas internacionales de primer nivel. y empresas de medición que colaboran para desarrollar y dirigir el estándar de comunicaciones para la instrumentación de prueba y medición.

Hay muchos otros ejemplos de estos casos de uso específicos de la industria que están impulsando la coherencia dentro de sus propios dominios, como en la industria automotriz o en el hogar del consumidor. Esto es algo que predijimos que sucedería y algo que consideramos cuando comenzamos a ingresar al espacio de IoT. Sabíamos que veríamos una divergencia inicial de dónde se implementan los modelos de identidad en la web hoy. Que se trasladaría a ecosistemas cerrados y luego comenzaría a crecer en ecosistemas semiprivados o semipúblicos, y eventualmente se convertiría en algo más amplio y más equivalente como estándar de autenticación o identidad general para esos ecosistemas. Las verticales de la industria están ayudando a establecer estándares de referencia que probablemente surgirán como estándares más amplios a medida que la IoT madure.

Conceptos arquitectónicos emergentes

Cada caso de uso y vertical de IoT tiene diferentes patrones arquitectónicos. Sin embargo, también estamos viendo que surgen algunos puntos en común, que se han materializado a partir de la especificación IEEE 802.1 AR y están encontrando tracción en los ecosistemas de IoT. Se trata de los componentes conceptuales amplios y generales de un IDevID y LDevID. Estos se aplican en conceptos arquitectónicos que son un poco más agnósticos del caso de uso o agnóstico vertical.

Un IDevID (identidad inicial del dispositivo) suele ser de larga duración, idealmente protegido por hardware seguro y representativo de la identidad central del dispositivo, como un certificado de nacimiento. Un LDevID (identidad de dispositivo local) es un certificado de nivel de acceso de importancia local que tiene una duración más corta y proporciona acceso al entorno, que podría considerarse similar a una licencia de conducir.

Este es uno de los patrones de identidad arquitectónica agnósticos más verticales que hemos utilizado con varios de nuestros clientes existentes. Se necesita una cuidadosa consideración de su cadena de suministro para implementar. Primero, consideramos dónde y cómo los IDevID se aprovisionan de forma segura en ese dispositivo, componente o chipset, en cualquier nivel de la plataforma del dispositivo en el que desee concebirlo, así como en qué etapa del proceso de fabricación. A continuación, consideramos cómo aprovechar potencialmente algunos de esos atributos de confianza de IDevID que idealmente se aprovisionaron de forma segura durante la fabricación en un LDevID operativo localmente significativo que se puede usar para permitir que el dispositivo se conecte y opere en el ecosistema de IoT. Estos LDevID generalmente se rotan con más frecuencia a lo largo del ciclo de vida del dispositivo.

Este patrón IDevID / LDevID es uno de esos modelos de identidad arquitectónica en los que PKI está comenzando a apoyarse en IoT, y estamos utilizando algunos de estos conceptos para proteger los dispositivos y las cadenas de suministro de las amenazas emergentes.

Entonces, la respuesta a la pregunta de "¿Por qué no existe un estándar de seguridad universal para IoT?" es un poco nebuloso y merece más de una respuesta de una línea. IoT no solo es demasiado diverso para tener un solo estándar, aunque esa es una explicación legítima, sino que también está emergiendo, creciendo y encontrando los hilos comunes que eventualmente pueden conducir a algo más homogéneo.