AWS IoT Device Defender 是一項完全托管服務，可幫助您保護 IoT 設備隊列的安全。AWS IoT Device Defender 會不斷審核與設備關(guān)聯(lián)的安全策略，以確保設備始終遵循安全最佳實踐。安全策略是一組技術(shù)控制，設備遵循這些技術(shù)控制，以便在與其他設備和云通信時確保信息安全。AWS IoT Device Defender 使您能夠輕松維護和執(zhí)行安全策略，例如確保設備身份、對設備進行身份驗證和授權(quán)以及加密設備數(shù)據(jù)。AWS IoT Device Defender 會根據(jù)一組預定義的安全最佳實踐來持續(xù)審核您設備上的安全策略。如果您的策略存在任何可能引發(fā)安全風險的漏洞，例如在多個設備間共享身份證書，或身份證書被吊銷的設備試圖連接 AWS IoT Core，那么 AWS IoT Device Defender 會發(fā)送提醒。

借助 AWS IoT Device Defender，您還可以監(jiān)控各個設備，確定它們的行為是否遵循了您所定義的相應行為。如果出現(xiàn)任何異常，AWS IoT Device Defender 就會發(fā)送提醒，以便您及時采取措施修復問題。例如，出站流量激增可能意味著某臺設備參與了 DDoS 攻擊。

AWS IoT Device Defender 可以向 AWS IoT 控制臺、Amazon CloudWatch 和 Amazon SNS 發(fā)送提醒。如果您認為必須針對某條提醒采取措施，可以使用 AWS IoT Device Management 服務采取緩和措施，例如推送安全修補程序。

優(yōu)勢

審核設備配置，檢查安全漏洞

AWS IoT Device Defender 根據(jù)一組預定義的 IoT 安全最佳實踐來審核與您的設備相關(guān)的安全策略，以幫助您確定存在安全漏洞的確切位置。您可以持續(xù)或即時運行審核。AWS IoT Device Defender 提供一系列安全最佳實踐，您可以從中選擇適用的最佳實踐并將其作為審核的一部分運行。例如，您可以創(chuàng)建一項審核，檢查 7 天內(nèi)未激活、已撤銷、已過期或正在等待轉(zhuǎn)移的身份證書。通過審核，您可以在設備配置變化時持續(xù)監(jiān)控安全策略。

持續(xù)監(jiān)控設備行為以發(fā)現(xiàn)異常

AWS IoT Device Defender 通過監(jiān)控傳入的設備指標和數(shù)據(jù)，并將其與您定義的預期設備行為進行比較，來檢測可能表明設備受損的異常行為。例如，借助 AWS IoT Device Defender，您可以定義設備上開放的端口數(shù)量、設備的通信對象、設備的連接來源以及設備發(fā)送或接收的數(shù)據(jù)量。然后，該服務會監(jiān)控設備流量，并在發(fā)生異常 (例如流量從設備傳輸?shù)揭阎獝阂?IP 或未授權(quán)終端節(jié)點) 時向您發(fā)送提醒。

接收提醒并采取措施

當安全策略審核失敗或檢測到行為異常時，AWS IoT Device Defender 會向 AWS IoT 控制臺、Amazon CloudWatch 和 Amazon SNS 發(fā)布安全提醒，以幫助您及時調(diào)查和確定根本原因。例如，AWS IoT Device Defender 會在設備身份長時間未使用或設備身份訪問敏感 API 時向您發(fā)送提醒。在 AWS IoT Device Defender 控制臺中，您還可以查看可用于最大限度降低安全問題影響的一系列建議措施，例如撤銷權(quán)限、重啟設備、重置工廠默認設置或向任何連接設備推送安全修補程序。然后，您可以使用 AWS IoT Device Management 服務來實施必要措施。

工作原理

使用案例

互聯(lián)家居

智能照明、恒溫器和各類鎖具都是黑客的攻擊目標，因為房主通常會使用網(wǎng)絡和家庭自動化應用程序附帶的默認密碼。您可以使用 AWS IoT Device Defender 審核試圖連接互聯(lián)家居設備的連接，如果數(shù)據(jù)來自未授權(quán)的終端節(jié)點，您將會收到提醒。然后，您可以使用 AWS IoT Device Management 阻止互聯(lián)家居設備使用云資源。

健康與健身

消費者和醫(yī)療保健專業(yè)人士通常會使用健康追蹤器、心臟檢測儀和智能手表等互聯(lián)可穿戴設備來改善健康狀況。有時，這些設備的設計初衷是為了便于使用，而不是提供強大的設備安全性。借助 AWS IoT Device Defender，您可以選擇一系列安全最佳實踐，并根據(jù)這些安全最佳實踐審核您的可穿戴設備。舉例來說，審核將報告過于寬松的設備策略，例如允許可穿戴設備訪問過多云資源，或報告長期閑置的可穿戴設備。

石油和天然氣

石油和天然氣行業(yè)使用 IoT 應用程序來預測設備故障、監(jiān)控勘探地點的地震波以及預測特定鉆井地點的產(chǎn)量。通常情況下，該行業(yè)會使用 SCADA 系統(tǒng)發(fā)送和接收有關(guān)環(huán)境條件、工人安全和設備運行狀況的敏感 IoT 數(shù)據(jù)。SCADA 系統(tǒng)的使用壽命為十到十五年，其中有很多系統(tǒng)不符合當前的安全標準，這便增加了這些數(shù)據(jù)落入競爭對手手中的可能性。您可以使用 AWS IoT Device Defender 定義聯(lián)網(wǎng)設備的安全行為，接收意外行為提醒，以及采取措施減輕威脅。例如，您可以定義一組聯(lián)網(wǎng)石油鉆機能夠訪問的特定 IP 地址。如果鉆機試圖將數(shù)據(jù)上傳到未授權(quán)的 IP 地址，您將會收到提醒。這不僅可以防止數(shù)據(jù)丟失或被盜，還有助于確保遵循企業(yè)數(shù)據(jù)安全策略。

零售

零售商會在店里安裝傳感器和信標器，以了解顧客長時間停留的區(qū)域，以及他們通常會拿起哪些商品仔細查看。零售商使用這些數(shù)據(jù)來優(yōu)化商品的擺放位置，以最大限度地提高銷量，同時提供更高效的購物體驗。使用 AWS IoT Device Defender，您可以為不同商品創(chuàng)建行為配置文件，在其中指明商品經(jīng)認可的擺放位置和傳播方式。然后，AWS IoT Device Defender 將監(jiān)控相應策略，并在商品離開指定陳擺放位置或以意料之外的方式進行傳播時向您發(fā)送提醒。

https://amazonaws-china.com/cn/iot-device-defender/