La infraestructura de clave pública (PKI) es una herramienta esencial para proteger los dispositivos, especialmente dentro de las redes IoT. PKI funciona porque utiliza certificados digitales para verificar las claves privadas de extremo a extremo. Este modelo de autenticación respaldado por certificados digitales garantiza la seguridad del dispositivo y una identidad verificable.
Lo más habitual es que los dispositivos IoT protegidos mediante PKI utilicen certificados X.509, que tienen un historial de protección de TLS, la base de https y otras aplicaciones como firmas digitales, firma de código y sellado de tiempo. El certificado X.509 tiene un uso tan prolífico por su fiabilidad, por ser seguro y flexible y por permitir la personalización de perfiles y plantillas de certificado que pueden adaptarse a una gran variedad de casos de uso de IoT, y es un componente básico de las plataformas de gestión de IoT y las soluciones de automatización.
Sin embargo, incluso con el uso de certificados X.509, los dispositivos IoT son un objetivo frecuente de la ciberdelincuencia, y es fácil ver por qué. El gran volumen de dispositivos en el mercado significa que una posible brecha podría tener un valor inmenso para los malos actores, y como tal, los dispositivos IoT deben ser más seguros que nunca.
Proteger las cadenas de suministro con la identidad de los dispositivos
El uso de identidades digitales mantiene la seguridad de IoT y ofrece una sólida línea de defensa, especialmente cuando se incluyen durante la producción por parte de un servicio de fabricación electrónica (EMS). Sin identidades digitales garantizadas, los dispositivos IoT podrían ser objeto de accesos no autorizados a la red. También significa que si los dispositivos IoT son robados, por ejemplo un envío durante el transporte, los certificados pueden ser revocados, lo que significa que el dispositivo sería inútil para cualquier revendedor o usuario ilegítimo.
Esto también beneficia a las propias empresas EMS. Al fabricar los mismos dispositivos para varios clientes, disponer de identidades asignadas a cada uno de ellos, de forma que puedan rastrearse y autenticarse, les proporciona una ventaja competitiva. Garantiza a los clientes que sus dispositivos IoT están seguros desde el momento en que salen de producción, hasta que llegan a su puerta, al tiempo que proporciona una opción de baja fricción para que los dispositivos se incorporen a una plataforma más adelante en la cadena de suministro.
Los nuevos modelos de identidad de dispositivos mejoran la seguridad y la flexibilidad
A medida que evoluciona el panorama digital, también lo hacen las amenazas a nuestros dispositivos IoT y cadenas de suministro. Para mantenernos a la vanguardia, necesitamos medidas de seguridad avanzadas que sean a la vez sólidas y flexibles. Una de ellas es el uso de arquitecturas DevID (Device Identity), que mejoran la criptoagilidad y protegen contra las amenazas a la cadena de suministro.
Certificados DevID
Además de utilizar certificados X.509, también aprovechamos la norma IEEE 802.1AR, que incluye dos tipos de identificadores de dispositivo seguros (DevID): Identificador de dispositivo inicial (IDevID) e Identificador de dispositivo localmente significativo (LDevID).
- IDevID: Es como el certificado de nacimiento del dispositivo. Es un certificado que no caduca, idealmente protegido por hardware seguro, que representa la identidad principal del dispositivo.
- LDevID: es más parecido a una licencia de conducción. Es un certificado de acceso a corto plazo que permite al dispositivo operar en un entorno específico.
Este sistema de doble certificado es especialmente eficaz para la incorporación segura de dispositivos IoT. La flexibilidad de los LDevID permite a los operadores adaptarse a las amenazas de la red y a los nuevos retos criptográficos, como los que plantea la computación cuántica.
Ventajas de la arquitectura DevID
La arquitectura DevID aporta varias ventajas a las empresas que buscan proteger sus cadenas de suministro IoT, como por ejemplo
- Mayor seguridad: Mediante el uso de IDevIDs y LDevIDs, puedes asegurarte de que tus dispositivos tienen un marco de identidad robusto. Esto hace que sea más difícil para los actores maliciosos poner en peligro tus dispositivos y tu cadena de suministro.
- Flexibilidad y agilidad: La capacidad de rotar con frecuencia los LDevID significa que puedes responder rápidamente a las nuevas amenazas. Esto es crucial en un entorno en el que las amenazas evolucionan constantemente.
- Incorporación simplificada: Las arquitecturas DevID agilizan el proceso de incorporación segura de nuevos dispositivos, reduciendo la complejidad y el tiempo necesarios para integrar nuevos dispositivos en tu ecosistema.
- A prueba de futuro: Con el auge de la informática cuántica, los métodos criptográficos tradicionales pueden quedar obsoletos. Los modelos DevID proporcionan la flexibilidad necesaria para adaptarse a estos retos futuros.
Implementación de DevID en ecosistemas IoT
La especificación 802.1AR se está popularizando en entornos IoT que requieren respuestas seguras y flexibles a las amenazas. Este patrón de identidad puede utilizarse en diferentes sectores y ha tenido éxito en muchas empresas en el pasado. Su aplicación, sin embargo, requiere una cuidadosa planificación de la cadena de suministro.
En primer lugar, tenemos en cuenta dónde y cómo se introducen de forma segura los IDevID en ese dispositivo, componente o chipset, así como en qué fase del proceso de fabricación.
Next, we consider how to potentially leverage some of those IDevID trust attributes that were ideally provisioned securely during the manufacturing into a locally significant, operational LDevID that can be used for allowing the device to connect and operate into the IoT ecosystem. These LDevIDs are generally rotated more frequently through the device lifecycle, enabling adjustable access policies throughout the device’s operation.
Utilización de la infraestructura DevID para salvaguardar tus cadenas de suministro
La arquitectura IDevID/LDevID permite a las organizaciones adaptarse a las nuevas amenazas cambiando algoritmos, cadenas de confianza y supuestos de seguridad a lo largo del ciclo de vida de los dispositivos. Esta respuesta automatizada garantiza que los dispositivos sigan siendo seguros incluso cuando las amenazas evolucionan.
Al adoptar esta arquitectura de identidad flexible y segura, las empresas pueden proteger sus dispositivos IoT y sus cadenas de suministro de las amenazas emergentes, garantizando un entorno digital más seguro y resistente. La implementación de modelos DevID no sólo mejora la seguridad, sino que también proporciona la agilidad necesaria para mantenerse a la vanguardia en un panorama tecnológico que cambia rápidamente.
