Header Ads Widget

Ticker

6/recent/ticker-posts

Asegurar el IoT para las próximas décadas


 En 2007, Kevin Kelly dio una charla TED en la que pronosticó cómo se vería la World Wide Web 5000 días en el futuro , profetizando el surgimiento de IoT y AI. Imaginó un planeta más conectado donde todos los productos manufacturados se conectan a una única red global e inteligente.

En ese momento, Internet de las cosas (IoT) era solo una idea incipiente lanzada por futuristas. Ahora, sin embargo, es un mercado potencial caliente, que acelera grandes movimientos corporativos e iniciativas empresariales en todo el mundo. Gartner predice que habrá más de 20 mil millones de dispositivos IoT para 2020 .

Entonces, modelemos el proceso de pensamiento de Kelly y veamos una vez más la perspectiva a largo plazo. ¿Qué traerán los próximos 5,000 días? ¿Cómo será el mundo en 2030 ? Seguramente se avecinan entregas de drones, automóviles autónomos y más innovación, pero también lo son las vulnerabilidades sin precedentes para el usuario. En 2030, la IO sensores y dispositivos de manera cuota de datos debe estar asegurado , o de lo contrario estamos creando nuestro propio día del juicio final.

Según Travis Spencer , fundador de Twobo Technologies , IoT solo puede existir si las verificaciones de identidad se implementan correctamente a nivel de API , ya que cualquier dispositivo de IoT debe saber quién solicita datos y qué se les permite hacer con esos datos.

La creación de una red global orientada a dispositivos solo es posible mediante el uso de API para el diseño de información estándar, así como la adopción de estándares abiertos reconocidos internamente (como OAuth, OpenID Connect, SCIM, etc.) como base para la gestión de identidad que es tan fundamental para proteger la seguridad y los datos del usuario.

Hemos discutido extensamente la necesidad de API estandarizadas dentro de IoT , pero escalar las plataformas de IoT desde una perspectiva de seguridad es otra bestia por completo. En esta publicación, veremos décadas en el futuro para ver cómo se deben unir la seguridad de IoT y API, para que los desarrolladores puedan comenzar a escalar su plataforma y sus medidas de seguridad en consecuencia.

Vea a Travis Spencer, fundador de Twobo Technologies, hablar en la Cumbre de Plataformas de APIs Nórdicas:

Mirando hacia la bola de cristal: el mundo en 2030

El mundo está cambiando rápidamente y la IoT está ganando un verdadero impulso. Para el 2030, veremos la ubicuidad de los autos sin conductor y los drones. Las carreteras ya se están diseñando para automóviles sin conductor , los drones se han expandido más allá del uso de los aficionados a numerosas aplicaciones y los sensores están impulsando el movimiento de la computación en la niebla .

A medida que IoT abandona el ámbito del pasatiempo y se integra en nuestra vida diaria, Spencer ve la ropa conectada, el turismo espacial, la impresión 3D, la atención médica más inteligente y la votación electrónica segura como implementaciones realistas.

“El IoT no es una exageración. Está en todas partes, está en la habitación ".

También habrá una reestructuración importante dentro de nuestra industria y fuerza laboral. Empresas enteras desaparecerán y surgirán otras nuevas. El futurista Thomas Frey predice que para el 2030 desaparecerán del planeta 2 mil millones de puestos de trabajo .

Pero esta transformación también revitalizará la fuerza laboral ; Se ha dicho que para 2030, 1 de cada 5 trabajos requerirá programación como habilidad básica, y la necesidad de programadores está creciendo un 12% más rápido que en otras áreas .

La tecnología actual parecerá absolutamente arcaica en comparación con los dispositivos del futuro, pero la arquitectura del software podría permanecer constante si se adoptan estándares abiertos. Veamos qué significará la evolución de IoT para escalar la arquitectura de seguridad en las próximas décadas ...

La identidad es el impedimento n. ° 1 para las conexiones seguras de IoT

A medida que incorporamos dispositivos en nuestros cuerpos y en nuestro entorno inmediato, Spencer ve cómo los sistemas políticos, religiosos y sociales se reinventan y cuestionan. Pero algo que nunca cambiará es el deseo humano de entablar relaciones . La gente siempre querrá saber con quién o qué está interactuando.

"Dentro de las redes sociales, los macrodatos y todos los diferentes aspectos de la informática que afectan nuestras vidas, necesitamos saber con quién estamos hablando, ¿quién está al otro lado de esa API?"

Sin control de identidad en su lugar, confiar en un dispositivo de IoT representa una seria amenaza. Piense en un esquiador que usa gafas inteligentes que describen las condiciones futuras en la pendiente. Si alguien pirateó esta plataforma y editó el terreno, esto podría provocar un accidente fatal. Para evitar esto, debemos comprender en profundidad quién accede a los dispositivos de IoT.

Mientras que los humanos comprenden íntimamente las relaciones, todo lo que una computadora entiende son 0 y 1. Entonces, ¿cómo entrenamos a los dispositivos de IoT para que reconozcan la identidad ? Spencer ve que la solución radica en incorporar un sistema de administración de identidad basado en estándares abiertos dentro de su estructura de administración de API, utilizando sistemas especializados para autorizar y federar el acceso a través de conexiones API.

Relacionado: Cómo controlar la identidad del usuario dentro de microservicios

Construir sobre estándares abiertos asegurará la identidad futura en el IoT

Los estándares abiertos de los que estamos hablando son especificaciones de comunicación definidas y generalmente acordadas por la comunidad internacional de desarrollo web. Según Spencer, la implementación de estos estándares abiertos reconocidos internacionalmente permitirá la construcción de plataformas IoT / API duraderas.

El Neo-seguridad Pila logra esto, y se basa en las siguientes estándares abiertos:

  • Autenticación : U2F y Web Crypto
  • Aprovisionamiento : SCIM
  • Identidades : JSON Identity Suite
  • Federación : OpenID Connect
  • Acceso delegado : OAuth 2.0
  • Autorización : ALFA

Dentro de la pila Neo-seguridad, estas normas se combinan dentro de los tres subsistemas: Un Sistema de Gestión de Identidad , Sistema de Gestión de la API , y un sistema de gestión de derechos - tres sistemas fundamentales que deben ser reconocibles y soportado dentro de todas las organizaciones de la IO. Todos están inteligentemente impulsados ​​por estándares abiertos para garantizar la longevidad de la plataforma.

Por ejemplo, el objetivo de un sistema de gestión de identidad es responder a la pregunta fundamental de quién llama . Una vez que descubre la identidad, envía esta información a otros subsistemas. Un sistema de gestión de identidad debe estar compuesto por:

  • Un servicio de administración de usuarios para realizar operaciones de creación de lectura, actualización y eliminación (CRUD) en cosas como información de usuario, grupos o conexiones entre usuarios. Utiliza SCIM, la API de identidad estandarizada de IETF.
  • Un servicio de federación que le permite reutilizar las credenciales en otro dominio de confianza. Gestiona credenciales criptográficamente seguras mediante OpenID Connect.
  • Un servicio de token de seguridad que emite un token de credenciales de seguridad, implementando el estándar OAuth .
  • Un servicio de autenticación es otra faceta importante del sistema de gestión de identidad general. Cubre muchas bases: puede iniciar sesión, recopilar credenciales, actuar como un registro de autoservicio y proporcionar capacidades de inicio de sesión único (SSO). También se integra con diferentes directorios como bases de datos SQL, otros proveedores de integración, redes sociales o proveedores de identidad exterior. Un servicio de autenticación a menudo se construye según los requisitos específicos de la organización y, al hacerlo, es posible que deba lidiar con protocolos más antiguos y no estándar.

Reconocimiento: Los estándares abiertos fluctúan

Spencer recomienda que los desarrolladores se basen en nuevos estándares de seguridad que resistirán el paso del tiempo, pero deberían acoplarlos de manera que permitan revisar o agregar nuevos estándares a la pila. Esto se debe a que los estándares y los productos que respaldan evolucionarán inevitablemente:

El mundo está cambiando y cambiando ... si no construimos de una manera débilmente acoplada donde las interfaces entre estos sistemas se rijan por estándares abiertos, entonces será difícil reemplazar esos productos.

Para 2030, es posible que su plataforma API no se reemplace en su totalidad, pero es probable que se reitere y amplíe. Asegurarse de que la plataforma esté abierta desde el principio, basada en estándares que usted mismo puede implementar o encontrar reemplazos, contribuye en gran medida a extender la vida útil. También asegura que la seguridad evolucionará junto con esta evolución.

Los matices de la comunicación basada en IoT

Mucho de lo que hemos discutido hasta ahora ha estado relacionado con la comunicación basada en Internet. En el cual, el sistema de gestión de seguridad API está hablando con API que acceden a Internet a través de HTTP o HTTP 2. Sin embargo, los dispositivos IoT pueden estar trabajando con otros protocolos, como CoAP , un protocolo de acceso web especializado diseñado para el diálogo máquina-máquina.

Normalmente usamos JWT (JSON Web Token) como token estándar, ya que crea una barrera técnica más baja, es más fácil analizar JSON sobre XML y se integra bien con lenguajes de nivel inferior. Con un poco de maniobra, podemos enviar un mensaje OAuth dentro de una transmisión CoAP.

Dado que HTTP 2 rediseñó HTTP como un protocolo binario para la compacidad, tendría sentido usar el mismo formato de mensaje pero como una representación binaria. Para hacerlo, puede utilizar CBOR Web Tokens para crear un perfil compacto del JWT. Esto podría usarse dentro de una configuración de IoT como una forma de optimizar el rendimiento.

Visite también la página de API Security Insight para obtener lecciones conmovedoras sobre seguridad API

5 pasos prácticos para mejorar la seguridad de IoT

Vislumbramos un futuro cercano y lejano y descubrimos un mundo que cambia rápidamente y que se ve muy afectado por la llegada de IoT. En Internet de las cosas, el control de identidad será fundamental para proteger a los usuarios, pero para lograrlo, necesitamos una arquitectura de seguridad API de larga duración basada en estándares abiertos.

Con toda esta información, ¿a dónde vamos desde aquí? Spencer recomienda 5 siguientes pasos sólidos para comenzar a implementar una mejor seguridad de API:

  1. Evaluación del análisis de brechas : ¿podrían sus sistemas beneficiarse de una arquitectura de identidad más segura? ¿Qué importancia tienen los componentes para su negocio?
  2. Calcule el impacto en la plataforma : evalúe cómo un nuevo servicio de seguridad afectará sus bases de datos existentes. ¿Cómo alteraría esto cómo los clientes deben llamar a las API?
  3. Realice pruebas piloto e impleméntelas en pequeños pasos : Reúna una prueba de concepto y pruébela con sus usuarios, evalúe las fortalezas y debilidades, e repita.
  4. ¡Vaya en vivo con HTTP 2! : ¡Todos deberíamos adoptar HTTP 2, ya que hará de Internet un lugar más rápido y feliz!
  5. Investigue protocolos específicos de IoT : para que las transferencias de datos sean realmente compactas, considere CoAP como un protocolo específico de IoT y CBOR para distribuir sus tokens JWT.

Nuestro futuro mundo digital será realmente incomprensible en comparación con el presente, y quizás, en algún lugar de la nube, exista la compañía de Internet más grande del mundo, aún por surgir. Ahora que IoT se ha convertido en una realidad, debemos preparar la plataforma de seguridad API en su núcleo para el futuro. Dado que la identidad será fundamental para comprender las relaciones entre dispositivos, lo mejor que podemos hacer ahora es crear sistemas de gestión de identidad que adopten estándares abiertos que estén preparados para mantenerse, desacoplándolos para que a medida que los productos evolucionen, podamos sinergizarlos con nuevos componentes.

Publicar un comentario

0 Comentarios