使用 亚马逊云科技 IoT Device Defender 使用已吊销的中间 CA 识别物联网设备证书

简介

动态可验证的设备身份是零信任架构 (ZTA) 的基础组件 。对身份和信任的持续动态评估需要全面而及时地了解该身份的相关组成部分。被吊销的中间证书颁发机构 (CA) 颁发的活跃设备证书可能会构成安全威胁，因为中间 CA 可能会遭到破坏。以前，没有现成的解决方案可以识别被吊销的中间 CA 颁发的有效设备证书。

背景

图 1。分层公钥基础设施 (PKI) 链，包括由中间 CA 颁发的根 CA、中间 CA 和物联网设备证书。

亚马逊云科技 IoT Cor e 客户可以使用 X.509 证书 对客户端和设备连接进行身份验证。这些证书可以由 亚马逊云科技 IoT 生成，也可以由 CA 签署，无论 CA 是否已在 亚马逊云科技 IoT 中注册。

在大多数实际应用中，中间 CA 会颁发设备证书，因为这种方法 提供了额外的安全层 并有助于优雅地管理安全事件。例如，如果某台设备或一组设备发生疑似安全事件，则只能吊销中间 CA，而不是吊销根证书。当中间 CA 被吊销时，与被吊销的中间 CA 位于同一链中的所有设备证书都将自动吊销。这种方法限制了安全事件的成本和影响。

以前， 自 带由外部多级公钥基础设施 (PKI) 层次结构 支持的设备证书 的 亚马逊云科技 IoT Core 客户没有现成的解决方案来识别被撤销的中间 CA 颁发的有效 亚马逊云科技 IoT Core 证书。这些客户需要构建自定义解决方案以获得所需的可见性，否则他们就有可能面临潜在威胁，这些威胁源于不受监控地使用可能被泄露的设备凭证。

解决方案

使用自己的设备证书的客户需要一种自动化机制来识别被吊销的中间 CA 的证书。通过新的 加州链审计检查 ， 亚马逊云科技 IoT Device Defender 弥合了这一差距。亚马逊云科技 IoT Device Defender 是一项完全托管的服务，用于审计和监控连接到 亚马逊云科技 IoT 的设备，支持检查已撤销的中间 CA 颁发的有效证书。当可能受损的中间 CA 被吊销时，该中间 CA 颁发的所有有效证书都被识别为不合规，未通过相关的审核检查。

新的检查使客户能够更轻松地使用相关的 X.509 证书扩展声明和 标准证书撤销方法 （例如证书撤销 列表 (CRL) 和在线证书状态协议 (OCSP)）来识别受影响的证书。您可以将新的审计检查作为更广泛 的 亚马逊云科技 IoT Device Defender 和 亚马逊云科技 Security Hub 架构 的一部分，根据 ZTA 的核心原则持续审计、监控和修复您的物联网 (IoT) 设备。

如何使用已吊销的中间 CA 识别活动设备证书

新的审计检查利用了标准的撤销检查方法，同时能够遍历公钥基础设施 (PKI) 层次结构。它依靠通过相关 X.509 证书扩展提供的信息来发现 PKI CA 层次结构并执行相关的证书撤销检查。

在图 2 所示的示例场景中，此审计检查按以下顺序进行：

1. 根 CA 或中间 CA 吊销目标中间 CA 证书，其中中间 CA 是与 亚马逊云科技 IoT Core 交互的 IoT 设备积极使用的证书的颁发者。
2. 客户启动 亚马逊云科技 IoT Device Defender 审计，其中包括已撤销的中间 CA 审计支票。
3. 亚马逊云科技 IoT Device Defender 根据相关 PKI 的层次结构，使用可用的撤销检查方法执行撤销检查。
4. 如果发现已吊销的中间 CA，则审计会生成不合规的 “已吊销活动设备证书的中间 CA” 调查结果。

图 2。亚马逊云科技 IoT Device Defender 撤销了中间 CA 审计检查流程。

要使用此功能，您可以访问 亚马逊云科技 控制台中的 Device Defender 审核部分 并启用新的审计检查。如果您尚未启用 Device Defender 审计，则可以在 Device Defender 上 使用自动物联网安全审计， 一键 完成此操作，以帮助保护您的物联网设备。

图 3。亚马逊云科技 IoT Device Defender 审计部分。

该支票处理在相关 X.509 扩展中声明了颁发者端点的设备证书，并报告由已撤销的中间 CA 颁发的有效证书。您可以使用预先构建的缓解措施禁用受损设备证书，也可以通过 亚马逊云科技 Lambda 函数启动定制缓解措施。有关 亚马逊云科技 IoT Device Defender 中级 CA 审计检查的更多文档可以 在这里 找到 。

用于 亚马逊云科技 IoT Core 的客户设备证书需要包含执行底层 CA 撤销检查所需的必要授权信息访问 (AIA) 详情：

图 4。显示证书颁发机构信息访问 (AIA) 和 CRL 端点详细信息的 X.509 证书扩展声明。

随后， 因主动设备证书而被吊销的 中间 CA 审核检查 可用于识别被吊销的中间 CA 颁发的任何活动设备证书。

图 5。作为新审计创建过程的一部分，选择已撤销活动设备证书审核检查的中间 CA。

该支票可以利用 AIA 详细信息和已发布的证书吊销信息，同时遍历关联的 PKI 层次结构来确定中间 CA 吊销状态。在此测试示例中，我们可以看到用于颁发设备证书的中间 CA 已被根 CA 吊销：

。

图 6。证书吊销列表 (CRL) 条目示例，显示与中间 CA 对应的已吊销证书。

撤销后，先前合规的审计检查将失败，因为 亚马逊云科技 IoT Device Defender 会识别被撤销的中间 CA。

图 7。亚马逊云科技 IoT Device Defender 审计结果显示了不合规的审计结果。

相关发现提供了有关受影响设备证书的更多信息，以及在 亚马逊云科技 IoT Core 中注册的受影响颁发者标识符。

图 8。作为相关中间 CA 的一部分提供的其他信息因主动设备证书审计结果而被撤销。

现在，您可以通过定期审计自动识别在 CA 链中撤销其颁发证书的客户证书或设备证书，或者根据需要手动启动临时的 亚马逊云科技 IoT Device Defender 审计报告。

如果发现不合规证书，则可以启动预先构建的缓解措施，例如禁用受影响的设备证书或通过 Lambda 函数启动自定义缓解操作。

结论

使用已撤销的中间 CA 颁发的设备证书的 IoT 设备可能会对您的 IoT 解决方案构成安全威胁。亚马逊云科技 建议识别由已撤销的中间 CA 颁发的活跃设备，并采取诸如禁用或替换这些设备证书之类的措施。

该建议符合ZTA的核心原则之一，即持续监控和衡量您的物联网设备的完整性和安全状态，并持续验证设备信任度。

使用新的 亚马逊云科技 IoT Device Defender 审计检查功能，客户可以持续审计、监控和修复受影响的设备身份，例如：

1. 为受影响的设备提供由不同 CA 签名的新证书。
2. 验证新证书是否有效，以及设备是否可以使用它们进行连接。
3. 如果需要，通过 Lambda 函数启动内置的 亚马逊云科技 IoT Device Defen der 缓解 措施 或自定义缓解措施。客户可以通过 直接调用 亚马逊云科技 IoT Device Defender API 或 亚马逊云科技 CLI 来执行这些缓解措施。

新的审计检查使客户更容易识别受影响的证书，有助于改善物联网解决方案的整体安全状况。

作者

Ryan Dsouza 是 A WS 物联网的首席解决方案架构师。Ryan 总部位于纽约市，利用 亚马逊云科技 能力的广度和深度，帮助客户设计、开发和运营更安全、更具扩展性和创新的解决方案，以实现可衡量的业务成果。Ryan 在不同行业的数字平台、智能制造、能源管理、建筑和工业自动化以及 OT/IIoT 安全方面拥有超过 25 年的经验。在加入 亚马逊云科技 之前，Ryan 曾在埃森哲、西门子、通用电气、IBM 和 AECOM 工作，为客户的数字化转型计划提供服务。

Maxim Chernyshev 是一名高级解决方案架构师，在 亚马逊云科技 为矿业、能源和公用事业客户工作。Maxim 总部位于西澳大利亚州珀斯，使用各种适用的 亚马逊云科技 服务和功能帮助客户设计复杂和新颖问题的解决方案。Maxim 对物联网、IT/OT 融合和网络安全充满热情。

Chels ea Pan 是亚马逊网络服务的高级产品经理，现居西雅图。Chelsea 负责监督 亚马逊云科技 IoT Device Management 在产品战略、路线图规划、业务分析和洞察、客户参与以及其他产品管理领域提供的服务。切尔西在她的职业生涯中领导了几款快速增长的安全产品的推出。