Ein Leben ohne Smartphones erscheint heute schwer vorstellbar. Während Computer früher meist stationär waren und oft von mehreren Menschen genutzt wurden, ist mit dem Aufkommen von Smartphones jeder Mensch auf der Welt zu einem dauerhaft bestehenden, mobilen Internet-Knoten geworden. Heute gibt es rund um den Globus etwa 6,5 Milliarden Smartphones.
Das zeugt zwar von einer explosionsartigen Zunahme von Geräten im Web, wird aber durch die nächste Entwicklungsstufe des Internets noch in den Schatten gestellt: die Vernetzung von Geräten, um diese „smart“ zu machen. Schon jetzt sind ungefähr doppelt so viele IoT-Geräte wie Smartphones mit dem Internet verbunden. Und im Gegensatz zu Mobiltelefonen wird die Zahl anderer smarter Geräte voraussichtlich auch weiter stark steigen, da sie nicht an die Zahl der Menschen gebunden sind, die sie mit sich herumtragen können.
Doch mit dem exponentiellen Wachstum, das bei der Verbreitung solcher Geräte verzeichnet wird, geht auch ein explosionsartiger Anstieg der Risiken einher. Wir bekämpfen schon seit Jahren DDoS-Angriffe von IoT-basierten Botnetzen wie Mirai und Meris. Diese nehmen weiter zu, denn der Schutz von IoT-Geräten stellt nach wie vor eine Herausforderung dar und für die Hersteller besteht dafür oft kein Anreiz. Dies hat die US-Behörde NIST (National Institute of Standards and Technology) dazu veranlasst, aktiv Anforderungen zu definieren, um die Sicherheitsmängel von IoT-Geräten zu beheben. In der Europäischen Union ist man von einem ähnlichen Schritt nicht mehr weit entfernt.
Genau diese Art von Problemen kann Cloudflare am besten lösen.
Zu diesem Zweck möchten wir heute unsere Plattform für das Internet der Dinge ankündigen. Diese soll Ihnen einen Überblick über Ihre IoT-Geräte mittels einer einzigen Konsole bieten, die Anbindung neuer Geräte ermöglichen und vor allem jedes Gerät von dem Moment an schützen, in dem es eingeschaltet wird.
Mehr als Glühbirnen
Bei dem Begriff „IoT“ denkt man häufig sofort an Glühbirnen oder einfache Bewegungssensoren. Doch das liegt daran, dass wir die Geräte, mit denen wir täglich interagieren, oft nicht als IoT-Geräte betrachten.
Man denke nur an:
- Fast alle Zahlungsterminals
- Jedes moderne Auto mit einem Infotainment- oder GPS-System
- Millionen solcher Geräte werden für Logistikdienste, industrielle Prozesse und von Fertigungsbetrieben verwendet und sind für diese von maßgeblicher Bedeutung.
Vor allem ist Ihnen vielleicht nicht bewusst, dass fast jedes dieser Geräte über eine SIM-Karte verfügt und sich über ein Mobilfunknetz verbindet.
Mobilfunkverbindungen sind zunehmend allgegenwärtig und wenn das Gerät unabhängig von der Konfiguration des Wlan-Netzwerks eine Verbindung herstellen kann (und sofort funktioniert), werden eine ganze Reihe von Problemen beim betrieblichen Support vermieden. Sollten Sie gerade unsere frühere Ankündigung bezüglich der Zero Trust-SIM gelesen haben, wissen Sie wahrscheinlich schon, worauf wir hinauswollen.
Hunderttausende von IoT-Geräten verbinden sich bereits heute sicher mit unserem Netzwerk, indem sie mutual TLS und unser Produkt API Shield nutzen. Große Gerätehersteller greifen auf Workers und unsere Entwicklungsplattform zurück, um die Authentifizierungs- und Datenverarbeitungsprozesse auszulagern und – was am wichtigsten ist – den Umfang der auf dem Gerät selbst erforderlichen Datenverarbeitung zu reduzieren. Ein weiterer Baustein ist unser programmierbarer MQTT-basierter Messengerdienst Cloudflare Pub/Sub.
Uns ist jedoch klargeworden, dass noch bestimmte Dinge fehlten: Gerätemanagement, Analyse und Anomalieerkennung. Zwar herrscht an „IOT-SIM“-Anbietern kein Mangel, aber die Mehrheit von ihnen konzentriert sich eindeutig auf die Bereitstellung von SIM-Karten in großem Maßstab (großartig!) und weniger auf die Sicherheit (nicht ganz so großartig) oder die Entwicklerperspektive (ebenfalls nicht großartig). Von Kunden hören wir, dass sie sich eine Möglichkeit wünschen, ihre IoT-Geräte ebenso leicht zu schützen, wie sie dies im Fall ihrer Mitarbeitenden mit unserer Zero Trust-Plattform tun können.
In die IoT-Plattform von Cloudflare ist der Support für die Bereitstellung von Mobilfunkverbindungen in großem Umfang integriert: Wir unterstützen die Bestellung, Bereitstellung und Verwaltung von Mobilfunkverbindungen für Ihre Geräte. Jedes von einem beliebigen IoT-Gerät ausgehende Datenpaket kann anhand der von Ihnen erstellten Richtlinien geprüft, genehmigt oder abgelehnt werden, bevor es das Internet, Ihre Cloud-Infrastruktur oder Ihre anderen Geräte erreicht.
Neue Standards wie IoT SAFE werden es uns außerdem ermöglichen, die SIM-Karte als „Root of Trust“ (Wurzel des Vertrauens) zu verwenden, um Gerätegeheimnisse (und API-Schlüssel) sicher auf dem Gerät zu speichern und gleichzeitig die Hürde für eine Kompromittierung zu erhöhen.
Das bedeutet aber nicht den Abschied von mutual TLS: Uns ist bewusst, dass eine ausschließliche Verbindung über ein Mobilfunknetz nicht für jedes Gerät sinnvoll ist – sei es aufgrund der pro Gerät anfallenden Kosten, mangelnder Abdeckung oder der Notwendigkeit, eine bestehende Implementierung zu unterstützen, die nicht einfach neu bereitgestellt werden kann.
Zero Trust-Sicherheit für das IoT
Während Menschen in der Lage sein müssen, auf eine potenziell unbegrenzte Anzahl von Zielen (Websites) zuzugreifen, ist die Zahl der Endpunkte, mit denen ein IoT-Gerät kommunizieren muss, in der Regel deutlich überschaubarer. In der Praxis gibt es allerdings oft nur wenige Kontrollmöglichkeiten, mit denen sichergestellt werden könnte, dass ein Gerät nur mit Ihrem API-Backend, Ihrem Speicher-Bucket und/oder Ihrem Telemetrie-Endpunkt kommuniziert.
Dieses Problem lässt sich jedoch mit unserer Zero-Trust-Plattform Cloudflare Gateway lösen. Damit können DNS-, Netzwerk- oder HTTP-Richtlinien erstellt werden. Außerdem lässt sich damit Datenverkehr nicht nur auf Grundlage seines Ursprungs oder Ziels, sondern auch auf Basis umfassenderer identitäts- und standortbasierter Vorgaben freigeben oder sperren. Es bot sich an, diese Funktionen auch auf IoT-Geräte zu übertragen und es den Entwicklern zu ermöglichen, besser einzuschränken und zu kontrollieren, mit welchen Endpunkten ihre Geräte kommunizieren (damit diese nicht in ein Botnetz eingebunden werden).
Gleichzeitig haben wir Möglichkeiten gefunden, Gateway so zu erweitern, dass die Plattform die Besonderheiten von IoT-Geräten berücksichtigen kann. Nehmen wir zum Beispiel an, dass Sie 5.000 IoT-Geräte in Betrieb genommen haben, die alle über Mobilfunk direkt mit dem Netzwerk von Cloudflare verbunden sind. Sie können diese Geräte dann an einen bestimmten Ort binden, wenn sie nicht „mobil“ sein sollen. Außerdem lässt sich sicherstellen, dass sie nur mit Ihrem API-Backend und/oder Ihrem Metrikanbieter kommunizieren können. Durch Bindung an die IMEI (die Seriennummer des Modems) kann sogar festgelegt werden, dass die SIM-Karte nicht mehr funktioniert, wenn sie aus dem Gerät entnommen wird.
Die Ansiedlung dieser Kontrollen auf Vermittlungsschicht legt die Messlatte für die Sicherheit von IoT-Geräten höher und verringert das Risiko, dass Ihre Geräte zum Werkzeug von Kriminellen wird.
Das Gerät von der Datenverarbeitungslast befreien
Bislang haben wir vor allem über Sicherheit gesprochen, doch wie sieht es mit Datenverarbeitung und Speicherplatz aus? Ein Gerät ist unter Umständen ausgesprochen sicher, wenn es keine Aufgaben übernimmt und nicht nach außen kommunizieren muss, aber praktisch ist das natürlich nicht.
Auf der anderen Seite bringt die Verarbeitung einer nicht unerheblichen Datenmenge „auf dem Gerät“ eine Reihe großer Herausforderungen mit sich.
- So erfordert sie ein leistungsfähigeres (und damit teureres) Gerät. Geräte mit mäßig starker Rechenleistung (die beispielsweise auf ARMv8 basieren) und ein paar Gigabyte Arbeitsspeicher sind zwar zunehmend erschwinglicher, werden aber auch in Zukunft teurer bleiben als Geräte mit geringerer Leistung. Im IoT-Maßstab summiert sich das schnell.
- Sie können nicht garantieren (oder davon ausgehen), dass Ihr Gerätepark homogen arbeitet: Geräte, die Sie vor drei Jahren eingeweiht haben, können leicht um ein Vielfaches langsamer sein als diejenigen, die Sie heute in Betrieb nehmen. Trennen Sie sich von diesen weniger leistungsfähigen Geräten?
- Je mehr Anwendungslogik sich auf dem Gerät befindet, desto größer das Risiko beim Betrieb und bei der Bereitstellung. Der Verwaltung von Änderungen kommt dann eine maßgebliche Rolle zu. Außerdem ist die Gefahr immer gegeben, dass ein Gerät in einer Weise beschädigt wird, die eine Fernreparatur unmöglich macht. Iterationen und das Hinzufügen neuer Funktionen werden schwieriger, wenn sich das Zielgerät am anderen Ende der Welt befindet.
- Die Gewährleistung der Sicherheit ist nach wie vor ein Problem: Soll ein Gerät mit externen APIs kommunizieren können, müssen die verwendeten Anmeldedaten explizit zugeordnet werden, damit sie nicht aus dem Gerät ausgeschleust und in unerwarteter Weise verwendet werden.
Bei anderen Plattformen ist manchmal die Rede von „Edge Compute“. Aber in der Praxis ist damit gemeint, dass die Datenverarbeitung entweder auf dem Gerät oder in einer kleinen Handvoll Cloud-Regionen ausgeführt (was die Latenz erhöht). Mit keiner der beiden Lösungen lassen sich die genannten Probleme vollständig beheben.
Stattdessen können IoT-Entwickler dem Gerät die Datenverarbeitung abnehmen, indem sie den sicheren Zugriff auf Cloudflare Workers für die Rechenleistung, auf die Analytics Engine für die Telemetriedaten des Geräts, auf D1 als SQL-Datenbank und auf Pub/Sub für eine hochgradig skalierbare Nachrichtenübermittlung freischalten. Trotzdem werden die Daten aber weiterhin in geringer Entfernung vom Gerät verarbeitet. Möglich wird dies durch unser weltumspannendes Netzwerk mit mehr als 275 Städten (Tendenz steigend).
Darüber hinaus erlauben moderne Tools wie Wrangler Entwicklern schnellere Iterationen und eine sicherere Softwarebereitstellung. Die Gefahr, dass ein Teil der IoT-Geräte unbrauchbar wird, besteht dann nicht mehr.
Wo kann ich mich registrieren?
Sie haben Interesse an unserer IoT-Plattform? Dann lassen Sie es uns wissen. Wir werden uns in diesem Fall in den nächsten Wochen bei Ihnen melden, um uns einen besseren Überblick über die Probleme zu verschaffen, mit denen verschiedene Teams konfrontiert sind. In den folgenden Monaten werden wir uns bemühen, interessierten Kunden die Closed Beta-Version bereitzustellen. Besonders großes Interesse haben wir unabhängig vom konkreten Anwendungsfall an Teams, die sich gerade mit der Bereitstellung neuer IoT-Geräte bzw. mit der Erweiterung eines bestehenden Geräteparks beschäftigen.
Wenn Sie sofort damit beginnen müssen, für den Schutz Ihrer IoT-Geräte zu sorgen, können Sie in der Zwischenzeit auf API Shield und Pub/Sub (MQTT) zurückgreifen.