本章主要介绍Link IoT Edge中的安全服务功能。详细介绍边缘安全服务主要功能、在Link IoT Edge中使用边缘安全服务的方法以及边缘安全服务的基本结构。
概述
边缘安全服务,即Link IoT Edge在边缘端集成了设备保护服务(Device Protection Service),简称DPS服务。该服务将边缘连接到物联网安全运营中心Link SOC(Security Operations Center),帮助管理员识别和消除边缘系统潜在的安全风险,保障边缘系统运行过程中的安全。更多Link SOC信息请参见Link SOC文档。
名词解释
| 名词 | 说明 |
|---|---|
| 安全基线 | 即系统安全范围,超出此范围则被认定为安全性异常。其数据主要来自于取证和行为规则。 |
| 取证 | 对边缘系统的数据完整性进行检测,用于发现数据的异常变化。主要用于检测“系统对象异常”情况。 |
| 行为规则 | 对边缘系统的程序行为进行检测,用于发现程序的异常行为。主要用于检测“进程异常行为”和“网络异常行为”。 |
| 基线发布 | 将安全基线同步到边缘端,作为边缘端基本参照,用于发现异常。 |
| 安全策略 | 边缘端的安全基线,用于判断系统行为和取证信息是否异常。 |
| 组件漏洞 | 边缘端第三方组件(可执行文件、动态库等)的安全漏洞。 |
功能介绍
边缘安全服务主要功能如下所示。
- 安全基线制定:自动构建边缘系统的安全基线。
- 评估安全等级:根据系统多维度信息评估当前设备的安全等级。
- 安全风险识别:识别和阻断安全基线之外的异常行为,异常行为包括如下。
- 系统对象异常:系统中异常的应用加载执行或对象的未知改动,例如篡改可执行文件。
- 进程异常行为:应用中异常的执行行为,例如访问重要文件。
- 网络异常行为:设备异常的网络通信行为,例如对未知目标发送数据。
- 漏洞修复:修复存在的组件漏洞,防止威胁入侵。
安全服务架构图如下所示。
- 边缘安全服务将采集的取证和行为规则信息上报云端,形成安全基线。
- 用户安全基线发布,则将云端安全基线同步到所有适配的边缘端产品中形成安全策略。
- 边缘端通过运行时(Runtime)搜集的取证和行为信息,会根据安全策略判断异常事件,并上报到Link SOC。
- 组件漏洞在边缘端检查可执行文件和依赖库的版本漏洞并上报到云端,用户可以选择进行修复。云端下发补丁版本,边缘安全服务通过热升级进行版本替换。
- 用户设置通知策略,异常事件和组件漏洞的上报消息会以邮件的方式通知到用户。
- 安全日志在边缘端搜集安全操作历史记录并上报到云端,方便用户查看。
操作步骤
- 启用边缘安全服务
- 停止边缘安全服务
- 执行以下命令停止边缘安全服务。
/linkedge/gateway/build/bin/lectl config set gw_dps_switch 0 - 执行以下命令判断是否停止成功。
/linkedge/gateway/build/bin/dps/script/statusDPS.sh系统显示如下信息,表示停止成功。
- 执行以下命令停止边缘安全服务。
