问:什么是 Amazon IoT Device Defender?
Amazon IoT Device Defender 是一项完全托管的 IoT 安全服务,可帮助您持续保护您的 IoT 配置的安全。借助 Amazon IoT Device Defender,您可以获得用于识别和应对安全问题的工具。Amazon IoT Device Defender 会审核您的队列以确保其遵循安全最佳实践,持续监控您的设备队列以检测任何异常设备行为,在出现安全问题时向您发出提醒,并就这些安全问题提供内置缓解措施。
问:Amazon IoT Device Defender 有哪些主要功能?
审核 Amazon IoT Device Defender 会根据 Amazon IoT 安全最佳实践(例如,每台设备的最低权限或唯一身份原则)审核您的设备相关资源(例如,X.509 证书、IoT 策略和客户端 ID)。Amazon IoT Device Defender 会报告不符合安全最佳实践的配置,例如,使用相同身份的多台设备,或者使用允许一台设备读取和更新多台其他设备数据的过于宽松的策略。
规则检测 Amazon IoT Device Defender 通过持续监控设备和 Amazon IoT Core 的高价值安全指标(例如,设备上侦听 TCP 端口的数量或授权失败计数),检测可能表明存在损害的异常设备行为。您可以通过为这些指标设置行为(规则)来为一组设备指定正常设备行为。Amazon IoT Device Defender 可根据用户定义的行为(规则)监控和评估为这些指标报告的每个数据点,并在检测到异常时向您发出提醒。
ML 检测 Amazon IoT Device Defender 可通过机器学习 (ML) 模型,使用最近 14 天内六个云端指标(例如授权失败次数、发送的消息次数)数据和七个设备端指标(例如数据包数量、监听 TCP 端口计数)数据自动为您设置设备行为。然后,它每天重新训练模型,在初始模型构建后根据最近 14 天内的数据来刷新设备行为。Amazon IoT Device Defender 通过 ML 模型监控和识别这些指标的异常数据点,并在检测到异常时触发警报。与规则检测功能相比,该功能的主要优势是:它可以自动检测队列设备的操作和安全异常便于使用,它还可以根据新的数据趋势动态地更新设备预期行为,以降低误报率。
提醒 Amazon IoT Device Defender 会向 Amazon IoT 控制台、Amazon CloudWatch 和 Amazon SNS 发出警告。
缓解 Amazon IoT Device Defender 可以提供有关设备的上下文和历史信息(例如设备元数据、设备统计数据和针对该设备的历史提醒),帮助您调查问题。您还可以使用 Amazon IoT Device Defender 内置的缓解措施针对审核和检测警报采取缓解措施,例如向事物组添加内容、替换默认策略版本和更新设备证书。
问:客户如何使用 Amazon IoT 保护设备?Amazon IoT Device Defender 如何提供帮助?
Amazon IoT Core 可以为您提供安全构建块,以便将设备安全地连接到云和其他设备。这些构建块支持您基于配置实施各种严格程度的安全控制,例如身份验证、授权、审核日志记录和端到端加密。在亚马逊云科技责任共担模型下,您可以根据业务要求定期使用自己的基准安全配置。但是,人为或系统错误以及具有不良意图的授权人员可能会引入对安全造成不利影响的配置。
Amazon IoT Device Defender 可以帮助您持续审核安全配置,以确保符合安全性最佳实践和您自己的组织安全策略。持续审核至关重要,因为配置错误可能会在任何时间点发生。此外,随着时间推移,安全配置可能会受到影响,新的威胁会不断产生。例如,之前为设备证书提供安全数字签名的强大加密算法可能会随着计算和密码分析方法的进步而不断削弱。
Amazon IoT Device Defender 可识别有效使用 Amazon IoT 安全控制的机会。但是,如果未修复安全配置错误或在修复设备之前公开披露了新的攻击媒介,则互联设备的安全性可能会受到损害。Amazon IoT Device Defender 可以帮助您识别已经受损的设备,并启动控制与其他纠正措施,作为对 Amazon IoT 中的预防性安全控制的补充。
问:是否需要更改设备端代码才能使用 Amazon IoT Device Defender?
不需要。您只需在控制台中单击几下,即可审核您的 IoT 配置以及监控所有云端指标。如果您还想通过规则检测功能监控设备端指标,则需要对设备代码进行一些更改,以将设备端指标发布到 Amazon IoT Device Defender。您可在此处找到代理示范代码作为实施参考。 Amazon IoT Greengrass 和 FreeRTOS 与 Amazon IoT Device Defender 是完全集成的,可同时用于设备端和云端指标检测。
如果您的设备平台拥有能够支持可信执行环境的专用硬件,我们强烈建议您将设备代理安装在可信的环境中运行。有关如何实施此类设计的具体指导,请咨询您的硬件安全解决方案供应商。
问:我是否可以使用 Amazon IoT Device Defender 监控我自己定义的非标准指标?
可以,您可以创建自定义指标使用 Device Defender 来进行监控。有关如何开始监控您已定义的设备端指标,请参阅文档。
问:Amazon IoT Device Defender 的工作原理是什么?
借助 Amazon IoT Device Defender,您可以安排审核任务、监控设备活动,并接收有关审核发现和异常设备行为的通知。
审核任务会对您的 Amazon IoT 配置进行评估。您可以按需或按计划启动审核任务。为了提高审核检查的准确性并最大限度减少误报,Amazon IoT Device Defender 整合了与 Amazon IoT Core 交互的设备的上下文。
Amazon IoT Device Defender 可以提取并分析从互联设备及其与 Amazon IoT Core 的交互中收集的高价值安全指标,以持续监控设备活动并检测异常设备行为。使用规则检测时,将根据用户定义的行为持续评估指标数据;使用 ML 检测时,自动构建的机器学习模型将持续评估指标数据,以识别异常。设备指标的收集和发送并非强制性的,但我们强烈建议您这么做。Amazon IoT Device Defender 可以为负责收集和发送设备端指标的设备代理提供参考实施和文档。
计划审核任务的结果和检测到的任何设备活动异常都会发布到 Amazon IoT 和 Amazon IoT Device Defender API 。此外,您还可以设置将 Amazon IoT Device Defender 的结果发送到 Amazon SNS 主题,以便与安全仪表板集成或触发自动修复工作流程。
问:Amazon IoT Device Defender ML 检测模型训练的工作原理是什么?
Amazon IoT Device Defender 使用机器学习模型来监控和识别 ML 检测中设备行为指标的异常数据点。虽然 Amazon IoT Device Defender 正在构建其初始 ML 模型,但生成模型需要 14 天时间,并且每个指标至少需要 25000 个指标数据点。之后,只要满足每个指标至少 25000 个指标数据点,它就会每天更新模型。如果未满足最低数据点要求,Amazon IoT Device Defender 将在第二天尝试构建模型。它将每天重试并持续 30 天,然后停止该模型更新。
问:使用 Amazon IoT Device Defender ML 检测时,如何解决已经过训练的模型发出的误报警问题?
我们设计了一套措施来解决 ML 模型的误报警问题,这些措施基于您使用 Amazon IoT Device Defender ML 检测时的业务使用案例,以便您拥有控制收到的警报的工具:
1.更改触发警报所需的连续数据点数:如果您经常因指标数据峰值而收到误报警,则可以使用此设置要求出现多个连续的数据点才能被认定为异常以向您发送警报。
2.更改 ML 检测功能置信度:对于慢性误报警情况,您只需将警报检测调整至更高的置信度即可。我们提供低、中、高置信度水平供您选择。高置信度表示较低警报敏感度/量、中等置信度表示中等警报敏感度/量,低置信度则表示高警报敏感度/量。
3.抑制警报对于一次性情况,如果您知道自己的某些操作可能会导致误报(例如 OTA 作业),您可以更新相关的 ML 检测行为以抑制警报。此外,除非您选择更改默认配置,否则 Amazon IoT Device Defender 在初始 ML 检测安全配置文件设置中会将警报默认设置为“禁止”。
问:哪些亚马逊云科技区域提供 Amazon IoT Device Defender?
请参阅亚马逊云科技区域表,了解 Amazon IoT Device Defender 当前支持的区域列表。
无论您身处哪个地理位置,只要您能够访问上述任何一个亚马逊云科技区域,就可以使用 Amazon IoT Device Defender。
问:Amazon IoT Device Defender 是否包含在亚马逊云科技中国区域的免费套餐中?
Amazon IoT Device Defender 免费套餐现已在由光环新网运营的亚马逊云科技中国(北京)区域提供。
问:Amazon IoT Device Defender 的费用是多少?
您可以灵活地独立使用审核、规则检测或 ML 检测功能,因为它们都是单独收费的。有关更多信息,请访问 Amazon IoT Device Defender 定价页面。
问:在使用 Amazon IoT Device Defender 时,我是否需要为用于报告检测指标的 Amazon IoT Core 消息付费?
不需要。您不需要为用于向 Amazon IoT Device Defender 报告设备端检测指标的消息付费。
问:在使用 Amazon IoT Device Defender 时,我是否需要为用于报告检测指标的 Amazon IoT Core 连接付费?
需要。如果您仅与 Amazon IoT Core 连接以向 Amazon IoT Device Defender 报告设备端检测指标,则需要为连接付费。有关更多信息,请访问 Amazon IoT Core 定价页面。
问: 我如何知道是否在 Amazon IoT Device Defender 中为我的设备的预期行为设置了正确的值?
当您使用规则检测时,首先创建具有预期限制性行为(例如低阈值)的安全配置文件,然后将其附加到具有代表性设备集的事物组。Amazon IoT Device Defender 将通过设备报告的指标数据点来提醒您存在违规行为。您可以微调设备行为阈值,以便随着时间的推移与您的使用案例匹配。
当您使用 ML 检测功能时,该功能会通过机器学习自动设置设备行为,以监控设备活动。当 ML 模型将数据点标记为异常时,Amazon IoT Device Defender 将通过设备报告的指标数据点来提醒您该异常。因此您无需定义设备的准确行为,可帮助您更快、更轻松地开始监控。