设备代理的安全最佳实践 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设备代理的安全最佳实践

最低权限

应仅为代理进程授予履行其职责所需的最低权限。

基本机制
  • 代理应该以非根用户身份运行。

  • 代理应该以专用用户身份在其自己的组中运行。

  • 应该为用户/组授予收集和传输指标所需资源的只读权限。

  • 示例:针对代理示例的 /proc /sys 只读权限。

  • 有关如何设置进程从而以较低权限运行的示例,请参阅 Python 示例代理附带的设置说明。

有一些知名的 Linux 机制可帮助您进一步限制或隔离代理进程:

运营弹性

代理进程必须能够灵活应对意外的运营错误和异常,不能崩溃或永久退出。代码需要从容地处理异常,并且作为一项预防措施,它必须配置为在发生意外终止(例如,因为系统重启或未捕获的异常)时自动重启。

最少依赖项

代理在实施中必须使用尽可能少的依赖项(即第三方库)。如果出于任务复杂性(例如,传输层安全)这类正当理由使用了库,只能使用维护良好的依赖项,并建立机制以确保依赖项保持更新。如果添加的依赖项包含代理不使用的功能且默认处于活动状态(例如,打开的端口、域套接字),请在代码中禁用这些功能或通过库的配置文件禁用这些功能。

进程隔离

代理进程只能包含执行设备指标收集和传输所必需的功能。不得利用其它系统进程作为容器,或实施用于使用案例范围之外的功能。此外,代理进程必须避免创建入站通信渠道,如域套接字和网络服务端口,这种渠道将允许本地或远程进程干扰其操作并影响其完整性和隔离。

隐匿性

代理进程不得使用表明其用途和安全价值的关键字(如安全、监控或审核)命名。首选通用代码名或随机名称和 unique-per-device 进程名称。命名代理的二进制文件所在的目录以及进程参数的任何名称和值时,必须遵循相同的原则。

最少信息共享

部署到设备的任何代理项目均不得包含敏感信息,如特权凭证、调试代码和死码,或揭露有关代理收集类指标的服务器端处理详情或有关后端系统的其它相关详情的内联注释或文档文件。

传输层安全

要为数据传输建立 TLS 安全通道,代理进程必须在应用程序级别强制执行所有客户端验证(如果没有默认启用),例如证书链和域名验证。此外,代理必须使用包含受信任机构、不包含属于遭破坏证书发布者的证书的根证书存储区。

安全部署

任何代理部署机制(例如代码推送或同步)以及包含其二进制文件、源代码和任何配置文件(包括受信任的根证书)的存储库,都必须实施访问控制以防止未经授权的代码注入或篡改。如果部署机制依赖于网络通信,则使用加密方法来保护传输中的部署项目的完整性。

阅读更多内容