Amazon IoT Greengrass 中的配置和漏洞分析 - Amazon IoT Greengrass
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

您正在查看Amazon IoT Greengrass Version 1.Amazon IoT Greengrass Version 2是最新的主要版本Amazon IoT Greengrass. 有关使用Amazon IoT Greengrass V2,请参阅Amazon IoT Greengrass Version 2开发人员指南.

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon IoT Greengrass 中的配置和漏洞分析

IoT 环境可能由大量具有不同功能、长期存在且地理位置分散的设备组成。这些特性导致设备设置复杂且容易出错。由于设备的计算能力、内存和存储功能通常有限,因而限制了在设备本身上对加密和其他形式的安全功能的使用。此外,设备经常使用具有已知漏洞的软件。这些因素不仅令 IoT 设备成为吸引黑客的目标,而且导致难以持续保护设备安全。

Amazon IoT Device Defender 提供了识别安全问题和最佳实践偏离情况的工具,从而解决了这些难题。您可以使用 Amazon IoT Device Defender 分析、审计和监控连接设备,以检测异常行为并降低安全风险。Amazon IoT Device Defender 可以审计设备,以确保其遵守安全最佳实践,并检测设备上的异常行为。这使您能够跨多个设备实施一致的安全策略,并且能够在设备遭到破坏时快速响应。在与连接 Amazon IoT Core 、Amazon IoT Greengrass生成可预测的客户端 ID可与一起使用的Amazon IoT Device Defender功能。有关更多信息,请参阅《 Amazon IoT Core 开发人员指南》中的 Amazon IoT Device Defender

在 Amazon IoT Greengrass 环境中,您应注意以下事项:

  • 您有责任保护物理设备、设备上的文件系统和本地网络的安全。

  • Amazon IoT Greengrass不会对用户定义的 Lambda 函数强制实施网络隔离,无论它们是否在Greengrass 容器. 因此,Lambda 函数可以通过网络与系统内外运行的任何其他进程进行通信。

如果您失去了对 Greengrass 核心设备的控制,并且希望阻止连接设备将数据传输到核心,请执行以下操作:

  1. 从 Greengrass 组中移除 Greengrass 核心。

  2. 轮换组 CA 证书。在Amazon IoT控制台,您可以在组的设置页. 在 Amazon IoT Greengrass API 中,您可以使用 CreateGroupCertificateAuthority 操作。

    如果您的核心设备的硬盘驱动器容易被盗,我们还建议使用全磁盘加密。