【智慧製造】使用Cloud IoT 保護你的雲端連接設備

而資安不能是事後諸葛，對任何有雲端連接設備、物聯網(IoT) 的企業來說， ... 本文介紹Google Cloud 與Microchip 之合作，並以製造業客戶情境為例 ... × Skiptocontent 維護產品、設備和程式的安全性，是企業的必要需求。

研究人員（或駭客！）每天都會發現新的安全漏洞。

或許，有些公司認為他們的規模並不足以成為駭客的目標，但事實上，若是在分散式阻斷服務攻擊(DDoS)的情況下，駭客會隨機占用主機（數量越多越好）來達到特定目標。

資安不能是事後諸葛，對於任何有雲端連接設備的公司來說，最好的方法就是加強身份識別、安全加密及存取控管。

但在物聯網世界中，這個過程並不像聽起來那樣簡單。

接下來我們會介紹Acme的故事，這是一家假想的公司，它們正計劃推出新一代的雲端連接設備。

以下我們將以該公司為情境案例，探討適當的解決方案。

Acme在這個專案中有多個工作流程規劃：機械設計、PCB設計、供應鏈、韌體開發、網路連接、雲端的後端、行動裝置和網頁應用程式、資料處理分析和支援。

讓我們來看看這些工作流程中有哪些需要做安全的規劃。

情況概要 Acme公司設備的安全保護成本高漲，部署、維護高等級資安所帶來的複雜度也隨之增加。

讓我們做個統整： Acme需要安全憑證。

他們需要最高等級的數位憑證認證機構所發的憑證。

  將安全憑證的金鑰燒入到設備中（並找到合適的ODM廠商）需要一筆花費，而在製造過程中也有憑證洩露的風險，二者之間要取得平衡點。

Acme需要使用傳輸層安全性(TLS)來保護訊息，但現在面對設備內爆量的TLS堆疊已經超乎預期，並會加大記憶體的耗用量。

整合了線上憑證狀態協定（代理OCSP）後，這些資源需求將增加，因為它需要額外耗用記憶體的金鑰，並耗用CPU。

金鑰保存變得非常困難，不可能安全地保存在韌體當中。

如果沒有單獨的安全儲存空間，則可能受到感染的韌體設備，無法透過安全的啟動程序將設備停止運行。

更新金鑰讓雲端解決方案能儲存多個身份，以便具有故障防護的功能。

Google已認真研究了Acme的情況，並提出了良好的解決方案幫助類似Acme這樣需求的公司。

以下，Google與其合作夥伴Microchip將展示主要的解決方案。

步驟1：使用安全元件 「安全元件」是一個可安全儲存金鑰的硬體材料。

它通常具有防篡改的功能，該功能可防止物理攻擊入侵設備、取得金鑰。

所有物聯網設備均應具有安全元件，這是保護儲存私鑰的唯一方法。

所有安全元件將各司其職發揮功能，但是某些安全元件將能做得更多。

舉例來說，MicrochipATECC608A加密共同處理晶片不僅能儲存私鑰，還能驗證韌體，並為設備提供更安全的啟動方式。

MicrochipATECC608A Microchip在美國的專用安全設施中執行加密簽章，隔離的工廠將把客戶的中間憑證機構CertificateAuthority(CA)頒發的金鑰，儲存到一個內嵌於生產線中，高安全等級的伺服器內。

對稱金鑰和憑證，皆透過合法的認證機構生產，從而可對其進行審核，並實現高等級的安全加密。

一旦安全元件生成了對稱金鑰，就會將相應的公鑰發送到客戶的GoogleCloud帳戶，並安全地儲存在CloudIoTCore設備管理器中。

由於每個CloudIoTCore設備最多可以儲存3個公鑰，因此可以在故障保護的情況下執行金鑰輪換，不會有問題。

客戶要做的就是為Microchip批次的設備提供中介CA憑證，他們將會回傳一卷安全元件。

這些安全元件卷可以發送給任何製造商，用高速焊接到最終的PCB，而無需客製化，也沒有被複製的風險並且成本非常低。

步驟2：使用JWT進行身份驗證 TLS非常適合使用於確保設備與雲之間的通訊安全，但是身份驗證堆疊不適用於IoT。

雙向身份驗證堆疊需要大的尺寸，而且有一個缺點：它需要知道金鑰的儲存位置。

TLS堆疊需要知道使用了什麼安全元件，以及如何溝通。

OpenSSL堆疊將假設金鑰存儲在檔案系統中，需要修改才能存取安全元件。

這就要求每次更新堆疊時必須再次進行開發和測試，隨著TLS1.3的到來，這項工作很可能需要重複發生好幾次，對公司來說將是可觀的費用。

該公司可以使用已經與安全元件相容的TLS堆疊（例如WolfSSL），但是涉及授權費用，這會增加設備的成本。

GoogleCloudIoT使用常見的JWT(JSONWebToken)來對設備進行身份驗證，而不是依賴TLS堆疊的雙向身份驗證。

設備將使用TLS與CloudIoTCore(mqtt.googleapis.com)建立全球雲端點的安全連線，但不會觸發雙向身份驗證，而是會生成一個簡單的JWT，使用其私鑰做簽章並將私鑰作為密碼。

MicrochipATECC608提供了一個簡單的介面，可以在避免私鑰被暴露的情況下，對設備採用JWT安全簽署。

JWT由GoogleCloudIoT接收，該設備的公鑰將被用於驗證JWT簽章。

如果有效，則有效率地建立雙向身份驗證。

JWT驗證可以由客戶設置，但不能超過24小時，因此非常短暫。

SecureflowwithMicrochipandCloudIoT’sDeviceManager 這種作法有幾個好處： 設備身份認證和TLS堆疊無關，使得更新TLS堆疊到1.3十分容易。

  設備不需要儲存公鑰和憑證，這將會釋放設備上大部分的記憶體。

設備不需要託管完整的TLS堆疊，這又會釋放應用程式的記憶體。

設備所需記憶體空間不到50KB，這點為那些使用超小型MCU（微控制器）的廠商開啟了一扇門。

透過這兩個步驟，管理安全憑證的複雜度大幅降低，客戶可以更專注於他們的產品和用戶體驗。

想了解更多智慧製造趨勢？歡迎閱讀【工業預測性維護】系列文章！   結論 安全性很複雜，正如我們在引言所提，它不能是事後諸葛。

幸運的是，使用JWT身份驗證方案以及與Microchip在ATECC608的合作關係，安全已變成一個簡單的BOM。

Google和Microchip甚至同意以50美分的折扣出售。

客戶能以不到1美元的價格，提升個人身份、身份驗證和加密安全，同時節省更多儲存空間，讓體積小、價格低廉的MCU在終端設備中運作。

而由於安全元件能透過I2C快速溝通，此晶片能夠整合到現有設計中。

希望您的每個IoT設計中，能將ATECC608考慮在內。

想了解更多諮詢，請查看以下網站： GoogleCloudIoTCore產品頁面 Microchip-Google合作夥伴頁面 GoogleCloudIoTSecurity線上研討會 （本文翻譯改編自GoogleCloud。

） 文章導覽 PreviousPreviouspost:【最佳實踐】4種方法，確保CloudStorage中的資料隱私與安全性NextNextpost:資料洞察的普及化：讓即時分析，加速您的商業決策判斷！ 訂閱電子報 掌握第一手雲端與AI技術資訊，立刻訂閱iKalaCloud電子報！ 立即訂閱 站內搜尋 Searchfor: Search iKalaCloud 近期文章 善用CCAIInsights和ContractDocAI加速人工處理作業 「分散式雲端」來臨！GoogleDistributedCloud將基礎架構擴展至自有資料中心、邊緣位置 想打造出色的串流影音產品？掌握這幾項網路設置重點，優化LIVE影片播送！ 【實用教學】4種方法，將資料傳輸到GoogleCloud 如何透過Anthos簡化混合雲與多雲部署？ 文章分類 AI與機器學習(41) 基礎架構(59) 應用程式現代化(28) 最新消息與洞察(52) 生產力與協作(6) 產業解決方案(54) 資料管理與分析(43) 資訊安全(23) 標籤雲AI Anthos API Apigee APIM AutoML AWS Azure BigQuery Bigtable CloudArmor CloudFunctions CloudMonitoring CloudPub/Sub CloudStorage Dataflow DNS GAE GCE GCP GKE GoogleAnalytics GoogleCloud GoogleKubernetesEngine GoogleMeet GSuite Kubernetes Loadbalancing Migration NetworkIntelligenceCenter Pub/Sub Security Stackdriver Tensorflow VPC 媒體 安全 機房 權限 製造 資料倉儲 資料分析 遊戲 金融 電商 彙整 彙整 選取月份 2021年12月 (2) 2021年11月 (2) 2021年10月 (1) 2021年9月 (3) 2021年8月 (5) 2021年7月 (4) 2021年6月 (5) 2021年5月 (4) 2021年4月 (4) 2021年3月 (5) 2021年2月 (3) 2021年1月 (4) 2020年12月 (4) 2020年11月 (5) 2020年10月 (4) 2020年9月 (5) 2020年8月 (4) 2020年7月 (4) 2020年6月 (8) 2020年5月 (5) 2020年4月 (8) 2020年3月 (6) 2020年2月 (4) 2020年1月 (4) 2019年12月 (7) 2019年11月 (7) 2019年10月 (8) 2019年9月 (6) 2019年8月 (6) 2019年7月 (7) 2019年6月 (6) 2019年5月 (6) 2019年4月 (6) 2019年3月 (6) 2019年2月 (3) 2019年1月 (3) 2018年12月 (1) 2018年11月 (1) 2018年10月 (4) 2018年9月 (5) 2018年8月 (9) 2018年7月 (10) 2018年6月 (7) 2018年5月 (5) 2018年4月 (6) 2018年3月 (7) 2018年2月 (9) 2018年1月 (11) 2017年12月 (8) 2017年11月 (9) 2017年10月 (2) 2017年9月 (2) 2017年7月 (2) 2017年6月 (1) 2017年5月 (3) 2017年4月 (4) 2017年3月 (4) 2017年2月 (3) 2017年1月 (1) 2016年11月 (6) 2016年10月 (5) 2016年9月 (4) 2016年8月 (3) 聯絡我們 如果您有任何問題，可以先參考 FAQ 、寄信至[email protected]或者直接撥打+886287681110，謝謝! 產業類別* 遊戲業 媒體業 數據廣告業 電商與零售業 金融服務業 資訊產業 傳產製造業 高科技產業 教育/公家機構 自由業 其他 企業協作與辦公作業系統(支援遠端工作)：GoogleWorkspace API管理 AI與機器學習 混合式雲端與多雲端 運算/無伺服器運算 資料分析 資料庫與儲存空間 搬遷(資料移轉/VM遷移) 網路(DNS/CDN/VPC) 安全性與身份識別 顧客數據平台 其他： 我已閱讀並同意「隱私權政策」 送出 清除 GCP Email格式不正確。

請填寫所有必填欄位。

謝謝您，表單已送出完成，請靜候我們的回覆！