Imagina las funciones operativas de una empresa de logística moderna. Dispone de una flota de vehículos rastreados mediante dispositivos IoT. Tiene almacenes con seguimiento de existencias y líneas de producción operadas por máquinas que crean los productos, que se empaquetan y transportan a las tiendas de todo el mundo. En la línea de producción, los dispositivos y sensores IoT miden el rendimiento de la producción y de las máquinas. Hay dispositivos y sensores IoT que miden las existencias e indican a la línea de producción la velocidad a la que debe avanzar en función de estos datos. Incluso hay dispositivos IoT que envían señales a los conductores para avisarles de cuándo hay que hacer una recogida y sólo avisan a los coches que están más cerca del almacén en ese momento.
En este escenario ocurren muchas cosas que no se pueden ver a simple vista: dispositivos que se comunican entre sí utilizando varios protocolos a través de diversas redes como Wi-Fi, Ethernet, Z-Wave o ZigBee, dispositivos y sensores que se comunican con la nube e incluso la nube que se comunica con sistemas críticos. Todo resulta un poco abrumador y las pasarelas IoT resuelven una serie de problemas que presenta este modelo anticuado.
¿Qué es un dispositivo de pasarela IoT?
Un dispositivo de pasarela IoT tiende un puente de comunicación entre dispositivos IoT, sensores, equipos, sistemas y la nube. Al conectar sistemáticamente el campo y la nube, los dispositivos de pasarela IoT ofrecen soluciones locales de procesamiento y almacenamiento, así como la capacidad de controlar de forma autónoma los dispositivos de campo basándose en los datos introducidos por los sensore
Una pasarela de borde se sitúa en la intersección de los sistemas de borde, entre la Internet externa y la intranet local que utilizan los demás dispositivos del ecosistema. Por tanto, es el punto de acceso clave para la conectividad de red, tanto dentro como fuera del ecosistema de dispositivos.
Figura 1 http://www.alleantia.com/en/iot-gateway/
¿Cómo funciona un dispositivo pasarela IoT?
A medida que proliferan las capacidades y necesidades de los dispositivos, a menudo no es posible que se comuniquen directamente con los sistemas. Algunos sensores y controladores no son compatibles con protocolos que consumen mucha energía, como Wi-Fi o Bluetooth. Algunos dispositivos agregan datos de modo que resultan abrumadores e inestimables en su forma bruta, y todos ellos se conectan a diversas redes públicas y privadas.
Una pasarela IoT realiza varias funciones críticas, desde traducir protocolos a cifrar, procesar, gestionar y filtrar datos. Si imaginamos un ecosistema IoT, una pasarela se sitúa entre los dispositivos y los sensores para comunicarse con la nube.
Figura 2 http://internetofthingsagenda.techtarget.com/feature/Using-an-IoT-gateway-to-connect-the-Things-to-the-cloud
¿Por qué utilizar un dispositivo de pasarela IoT?
Reducir la brecha entre OT e IT
Las pasarelas IoT ayudan a reducir la distancia entre las operaciones y la infraestructura de TI dentro de una empresa. Lo hacen optimizando el rendimiento del sistema a través de los datos operativos que recopilan y procesan en tiempo real sobre el terreno o en el extremo de la red.
Las pasarelas IoT pueden realizar una serie de mejoras en los silos OT e IT :
- Alta escalabilidad - son capaces de tomar datos inteligentes del centro de datos o la nube y empujarlos al campo o al borde de la red.
- Reducción de costos: los dispositivos de punto final no necesitan tener tanta potencia de procesamiento, memoria o almacenamiento, ya que la pasarela lo hace todo por ellos.
- Producción más rápida: una línea de producción acelerada y más avanzada puede reducir significativamente el tiempo de comercialización.
- Reducción de los costos de telecomunicaciones: una menor comunicación M2M se traduce en un menor tráfico de red y (WAN).
- Mitigación de riesgos: las pasarelas pueden aislar dispositivos y sensores que no funcionan correctamente antes de que causen problemas mayores en la línea de producción.Añadir una capa de seguridad
Añadir una capa de seguridad
A medida que crece el número de dispositivos y sensores, también lo hace el número de comunicaciones que tendrán lugar a través de una combinación de redes públicas y privadas. Por tanto, las comunicaciones entre las "cosas", la pasarela y la nube deben ser seguras para evitar la manipulación de datos o el acceso sin restricciones.
Esto suele hacerse a través de una infraestructura PKI, por la que cada "cosa" que se comunica recibe una identidad, es decir, un par de claves criptográficas (o certificado digital) que permiten cifrar la comunicación. Esto puede ser bastante complicado de gestionar sin la ayuda de una pasarela IoT.
Suponiendo que dispongas de una herramienta que gestione todos los certificados de tus dispositivos, necesitarás la pasarela para ayudar a mediar en la incorporación de los dispositivos (instalación de certificados y provisión de identidad). Más detalles al final de este artículo.
Actualizaciones en tiempo real sobre el terreno
Imagina que detectas una vulnerabilidad en tus dispositivos o que uno de los sensores te indica que el almacén está demasiado caliente. Sin un dispositivo de pasarela, tendrías que hacer correcciones manuales porque tus dispositivos y sensores tienen una potencia de cálculo demasiado pequeña para realizar esas tareas por sí mismos.
Con una pasarela, los datos se envían a la pasarela y ésta se configura para enviar actualizaciones de firmware a todos los dispositivos (por ejemplo, compuertas de ventilación inteligentes) cuando los datos indican que el almacén está demasiado caliente.
Qué buscar en los fabricantes de pasarelas IoT
Ahora que ya sabes lo que es una pasarela IoT, probablemente estés tan convencido como yo de tu aplicación en tu propio ecosistema IoT.
Una vez que hayas conseguido convencer a las personas adecuadas de tu empresa de las ventajas de una pasarela IoT, el siguiente paso es comprar una.
Seguridad de la red
Se debe proporcionar una fuerte seguridad al canal de comunicación y cifrado para la transmisión de la carga útil de IoT.
Tiempo de inactividad
Debe haber un plan para cuando la velocidad de conexión a la red sea baja o se cobre por la cantidad de datos que pasan de la pasarela a la nube. Prokarma aconseja el uso de protocolos como CoAP, MQTT o UDP sobre TCP.
Problemas de conectividad
¿Qué ocurre cuando no se dispone de conexión a Internet? Nunca puedes estar seguro de que siempre vas a tener un funcionamiento sin problemas. El software de tu pasarela debe mitigar esta situación funcionando sin conectividad. También debes utilizar el almacenamiento en caché y la puesta en cola de datos en caso de que esta falta de conexión se produzca durante un período de tiempo prolongado.
Actualizaciones remotas
Tu pasarela IoT requerirá inevitablemente actualizaciones por aire (OTA), por lo que necesitarás un sistema operativo (como Linux, entre otros) que lo admita.
Alimentación
Una pasarela debe sobrevivir a ciclos de alimentación impredecibles, como sobrecargas o cortes de corriente. Como mínimo, en estos estados debe ser capaz de proporcionar una funcionalidad mínima y seguir hablando con la nube para poder restablecerse.
Cómo proteger una pasarela IoT
Existen tres principios básicos de seguridad: confidencialidad, integridad y autenticación. Tendrás que asegurarte de que todas las comunicaciones entre la pasarela y los dispositivos cumplen cada uno de los tres principios mientras se produce la comunicación en las redes internas y externas.
También hay que tener en cuenta que la pasarela suele ser la primera en ser atacada por dos motivos:
- Tiene una mayor potencia de procesamiento, que puede utilizar para ejecutar aplicaciones más intensivas. Más potencia significa mejor software, pero mejor software significa más vulnerabilidades que un hacker puede explotar.
- Debido a su ubicación como dispositivo Edge entre Internet y la intranet, la puerta de enlace es el punto de entrada para cualquier vector de amenaza (así como la primera línea de defensa de un sistema).
Mis recomendaciones para proteger una puerta de enlace IoT constan de tres pasos.
Paso 1: Identidad para el dispositivo de puerta de enlace
El primer paso sería dotar a tu dispositivo pasarela de una identidad (utilizando un Certificado Digital X.509). Cualquier entidad externa que se conecte a la pasarela podrá ahora verificar la identidad de la pasarela, que ahora habilita los protocolos HTTPs o NTLS. Los comandos que se emitan a los dispositivos o sensores sobre el terreno procederán ahora de un dispositivo de confianza.
Paso 2: Habilitar identidad "fuerte" para el dispositivo de puerta de enlace
Dado que tu dispositivo de puerta de enlace es vulnerable a la manipulación física, las claves privadas pueden ser extraídas y clonadas, lo que deja a tu dispositivo de puerta de enlace vulnerable a la suplantación de identidad o incluso a ataques del tipo "man in the middle" (MITM).
Para evitarlo, tendrías que utilizar medidas de seguridad adicionales, como incrustar un dispositivo Trusted Platform Module (TPM) entsu puerta de enlace, utilizando una PUF (Physical Unclonable Function). Esto almacenará de forma segura las claves privadas de todos los certificados digitales, asegurándose de que nunca salgan de la pasarela.
Paso 3: Utiliza la pasarela para proporcionar identidad a tu ecosistema
Ahora que has habilitado una identidad fuerte en tu dispositivo de puerta de enlace, necesitas pensar en tener una identidad fuerte para los dispositivos y sensores sobre el terreno. Dado que es probable que algunos de ellos no puedan conectarse a Internet, será difícil proporcionar identidades a través de un servicio de gestión de certificados sin una puerta de enlace.
En su lugar, podemos utilizar la pasarela como mecanismo de seguridad de confianza para proteger cualquier cosa que esté conectada a la pasarela (en la intranet). La pasarela actúa como proxy entre la plataforma (CA Services) y los dispositivos sobre el terreno. Al igual que con el propio dispositivo, es de esperar que esto ocurra utilizando la infraestructura PKI estándar, es decir, un certificado X.509 a través de una jerarquía privada.
Ahora la pasarela y los dispositivos son seguros y, por lo tanto, toda la comunicación en tu intranet es segura. Así que tienes seguridad, confidencialidad y autenticación, lo que permite que tu ecosistema IoT sea seguro de extremo a extremo utilizando una infraestructura PKI.
El IoT está en auge y, antes de que nos demos cuenta, tendremos ecosistemas IoT en todas las empresas. Ahora es el momento de pensar en la seguridad por encima de la comodidad. Recomendamos gestionar las identidades y la seguridad de los dispositivos mediante la infraestructura de clave pública y las soluciones de gestión de identidades y accesos de GlobalSign.
