SSL یا IPsec: کدام یک برای امنیت شبکه IoT مناسب است؟

IPsec ممکن است یک انتخاب بهتر از SSL به عنوان پروتکل امنیتی برای دروازه های IoT باشد ، زیرا این دروازه ها برای تبدیل داده های غیر IP به IP استفاده می شوند. در نتیجه ، آنها می توانند اولین نقطه اتصال IP در شبکه باشند. از این دروازه ها برای ارتباط با انواع مختلف دستگاه ها و به اشتراک گذاری داده های حسگر از جمله نظارت تصویری ، روشنایی ، دما و سیستم های کنترل صنعتی استفاده می شود. از آنجا که بیشتر سنسورهای کم مصرف از رمزگذاری پشتیبانی نمی کنند (یعنی لامپ های لامپ) ، اولین روتر هاپ ممکن است اولین نقطه رمزگذاری در شبکه باشد.

با توجه به تقسیم بندی انواع مختلف داده ها ، زیرساخت های IoT به رمزگذاری مناسب سایت به سایت نیاز دارند. IPsec مزایای دسترسی از راه دور و اتصالات سایت به سایت را فراهم می کند. از آنجا که تقسیم شبکه برای IoT لازم است ، IPsec را می توان در صفحه داده در نقاط معین رمزگشایی کرد همانطور که در شکل 1 در زیر نشان داده شده است تا فقط به بخشهای اختصاصی VPN در قسمتهای خاصی از شبکه وصل شود.

استفاده از IPsec در اجرای سنتی آن ، که در آن هم کنترل های IKE و هم هواپیماهای داده IPsec در هم ادغام شده اند ، هیچ مزیت قابل توجهی برای SSL ایجاد نمی کند. با این حال ، با استفاده از تکنیک های شبکه (SDN) تعریف شده نرم افزاری ، IPsec را می توان برای ارائه تفکیک هواپیما کنترل داده با استفاده از تبادل کلید اینترنت (IKE) به عنوان کانال کنترل / مدیریت و IPsec به عنوان کانال داده فراهم کرد.

SSL فاقد انعطاف پذیری است

SSL نمی تواند این انعطاف پذیری را ارائه دهد زیرا این پروتکل لایه حمل و نقل است که نیاز به اتصال در همان دستگاه را دارد. یكی از مهمترین مزایای ارتباط با SDN ، قابلیت انتقال هر دو هواپیمای كنترل و داده از دستگاه توسط مقیاس عمودی دستگاه به مقیاس افقی توزیع شده است.

این امر به ویژه در محیط های IoT حائز اهمیت است ، زیرا استفاده از تقسیم شبکه اهمیت تخصیص منابع را افزایش می دهد. به عنوان مثال ، ترافیک با اولویت پایین از برنامه های نظارت تصویری هرگز نباید روی منابع شبکه با اولویت بالا مانند ترافیک PLC از بخش های تولید تأثیر بگذارد.

علاوه بر این ، توزیع افقی هواپیماهای کنترل و داده ها باعث بازرسی از ترافیک انعطاف پذیر می شود ، و این امکان را فراهم می کند تا خدماتی مانند IPS IDS به عنوان یک زنجیره خدمات به منظور مدیریت بهتر ظرفیت فراهم شود. امکان جابجایی نقطه رمزگشایی بر اساس بخشها و ظرفیت ، قابلیت انعطاف پذیری بیشتر زنجیره ای سرویس را فراهم می کند زیرا به هیچ یک از دستگاه های متصل نیست و می تواند به صورت افقی به همراه مجازی سازی عملکرد شبکه منتقل شود. در حالی که ترافیک همیشه باید در منبع رمزگذاری شود ، در حالت ایده آل باید در هر نقطه از شبکه براساس ظرفیت و نیازهای امنیتی توانایی رمزگشایی آن را داشته باشیم. این همچنین تضمین می کند که هیچ خرابی دستگاه نمی تواند در دسترس بودن شبکه تأثیر بگذارد.

شکل 1 در زیر بخش های مختلفی از دستگاه های IoT را ارائه می دهد که به بخش های مختلف خدمات ارائه می دهند. بخش اول یک سیستم روشنایی است. دوم سیستم نظارت تصویری است. توجه کنید که بین کنترل کننده های متمرکز یک اتصال کنترلی وجود دارد که می توان با استفاده از IKE یا هر روش توزیع کلید IPsec دیگر به دست آورد. در ضمن ، هیچ ارتباط کنترلی بین روترهای R1 تا R8 وجود ندارد به جز اتصال آنها با کنترل کننده های مرکزی. اینها می توانند به طور مستقل مقیاس بندی کنند. بزرگترین فایده این معماری هیچ خرابی دستگاه نمی تواند بر برقراری مجدد اتصالات کنترلی بین دروازه IPsec هواپیمای داده تأثیر بگذارد.

برای نشان دادن این نکته ، این برنامه ریزی ظرفیت و سناریوی شکست را با استفاده از IPsec در نظر بگیرید. نظارت تصویری از یک شعبه از راه دور دارای اتصالات هواپیمای داده IPsec با روتر R4 و R5 است و به دلایل خط مشی ، تمام ترافیک از طریق R4 جریان می یابد. در صورت عدم موفقیت R4 ، تمام ترافیک R1 از طریق R5 بدون نیاز به برقراری مجدد اتصالات از طریق R5 مجدداً مورد استفاده قرار می گیرد. اگر R4 غرق شود ، یک تغییر سیاست ساده گروهی می تواند سایت ها را به R5 برگرداند و مسیریاب دیگری نیز برای عدم موفقیت اضافه می شود.

این مدل رمزگشایی پویا ، که هواپیمای کنترل در هر گره را از بین می برد ، می تواند به دلایل امنیتی و برنامه ریزی ظرفیت با زنجیره خدمات درخواستی سازگار شود. علاوه بر این ، می تواند برای در دسترس بودن زیاد بهتر از یک دروازه SSL عمودی که خاتمه تعداد زیادی از اتصالات را به صورت افقی مقیاس می کند ، که در صورت خرابی نیاز به برقراری مجدد اتصال به دروازه SSL دیگری دارد.

Viptela

شکل 1