发布于: May 8, 2023
亚马逊云科技推出 Matter 公钥基础设施(Public Key Infrastructure,PKI)合规指导手册,帮助客户使用 Amazon Private Certificate Authority (Amazon Private CA) 证书服务构建符合 Matter 要求的 PKI 证书体系,加快客户 Matter 认证产品的推出。Matter 是 CSA 国际组织连接标准联盟以及成员发布的设备连接标准协议,具有 Matter 认证的 IoT 设备可实现跨品牌的互联互通,目前已成为全球 IoT 物联网领域关注的焦点。
Matter 是连接标准联盟(CSA 联盟)创建的一种新协议,允许不同供应商的智能家居设备互联工作,依托名为设备认证证书(DAC)的数字证书,来验证智能家居网络中的设备是否已通过 Matter 认证。对于创建符合 Matter 标准的证书颁发机构(CA)并签发 DAC 证书的任何人,CSA 联盟都有特殊要求。
CSA 联盟允许使用授权服务提供商(DSP)为客户提供公钥基础设施(PKI)服务,以此来创建客户符合 Matter 标准的 CA。客户可使用 Amazon Private Certificate Authority 作为 DSP 来创建符合 Matter 标准的 CA,并签发 DAC 证书。本指南旨在为客户提供信息以帮助客户规划 Matter CA 并证明该 CA 对于 CSA 联盟 Matter PKI 证书策略(CP)的合规性,其中包括了可帮助客户满足 Matter PKI CP 合规性的控制责任、制定证据收集计划以满足 Matter PKI 评估测试流程、以及向 CSA 联盟说明控制的实施方法。
当客户使用 Amazon Private CA 提供的 CA 基础设施服务来签发 Matter 证书时,应详细制定实施计划,并证明其符合 CSA 联盟对于 Matter PKI CP 的要求。Matter PKI CP 不仅仅是个技术标准,它涵盖了人员、流程和技术。
Amazon Private CA 是个 DSP,为客户创建 Matter CA 提供 CA 基础设施服务。Amazon Private CA 已获得国际标准化组织(ISO)27001 认证和系统和组织控制 2(SOC2)II 类认证,这满足 CSA 联盟的要求。客户可以使用 Amazon Private CA 来创建符合 Matter PKI CP 要求的 CA,并签发具备适当配置的 DAC 证书。作为 DSP,Amazon Private CA 对 CSA 联盟 Matter PKI CP 中的部分要求负责,但这并不意味着使用 Amazon Private CA 便会自动具备合规性,因此客户有责任确保自己遵守 Matter PKI CP 的要求,包括针对所使用的必要或适用服务实施安全控制措施。
客户可进一步使用亚马逊云科技的安全性、身份认证和合规性服务,包括 Amazon Identity and Access Management (IAM)、Amazon CloudWatch、Amazon CloudTrail 和 Amazon Time Sync Service 等,来使客户的 Matter CA 满足 Matter PKI CP 的合规性要求。此外,Amazon Private CA 还提供示例 Amazon Cloud Development Kit (CDK) 脚本和示例 Amazon CloudFormation 堆栈模板,来帮助客户搭建满足 2022 年 12 月 19 日发布的 Matter PKI CP 要求的 Matter CA。
确保 CSA 联盟 Matter PKI 的安全性是客户和 Amazon Private CA 的共同责任。这种责任共担模型有助于减轻客户的运营负担,这是因为亚马逊云科技运营、管理和控制从 Amazon Private CA 服务自身到该服务运行所依托设备的物理安全性的各个环节,所以客户仅需承担使用 Amazon Private CA 的相关责任和管理工作,如逻辑访问控制和其他技术设置(比如加密、日志、日志数据备份)等。
该责任共担模型也扩展到了信息技术(IT)控制措施上。正如 IT 环境的运营责任由客户和 Amazon Private CA 共同承担,IT 控制措施的管理、运营和验证的责任也是由双方共同承担。例如,Amazon Private CA 服务可以帮助客户减轻物理基础设施相关的运营控制负担,这是因为 Amazon Private CA 部署于亚马逊云科技的物理环境中,该物理基础设施环境并不由客户进行管理。客户可以使用亚马逊云科技的控制和合规性文件,如亚马逊云科技 SOC 2 Type 2 报告等,来执行相关的控制评估和验证流程。
客户必须理解 CSA 联盟的 Matter PKI CP 中的要求,这一点至关重要。维护 Amazon Private CA 之上的 Matter CA 环境并能证明其符合 Matter 要求是客户的责任,包括那些未在亚马逊云科技上托管的 CA 系统组件,例如用于远程连接到 Amazon Private CA 的工作站等。客户应准备一份完整而准确的说明,说明各个 CA 及其关系,以及确定 CA 结构的理由,来帮助规划和证明 Matter PKI CP 的合规性。例如,Matter PKI CP 合规性的评估要求会根据客户的 CA 是供应商 ID(VID)—Scoped 的产品认证机构(PAA)还是非 VID-Scoped 的 PAA 而变化。图 1 展示了客户如何使用 Amazon Private CA 并配合客户自身的控制措施来满足 Matter PKI CP 的要求。
图 1:Matter PKI CP 要求的共担责任
客户使用 Amazon Private CA 服务可按需付费,大幅降低获得 Matter 认证的成本,每张证书价格最低仅不到 0.01 元人民币。同时,Amazon Private CA 服务可减少客户在搭建和运营符合 Matter 标准的 CA 系统上的工作量。此外,该服务提供安全的证书管理能力,为托管于其中的 CA 证书提供强大的安全性,如使用 Fips 140-2 硬件设备来保护 CA 证书的私钥,使用 Amazon IAM 进行细粒度的访问控制以及使用 Amazon Cloudtrail 对 Amazon Private CA 的操作进行详细的审计等。