Es difícil imaginar la vida sin nuestros teléfonos inteligentes. Mientras que los ordenadores están casi siempre en un sitio fijo y se suelen compartir, los teléfonos inteligentes han hecho que cada persona sea un nodo permanente y móvil en Internet, y hay unos 6500 millones de teléfonos inteligentes en el planeta en este momento.
Aunque esto supone una explosión del número de dispositivos en Internet, todo lo eclipsará la siguiente etapa de la evolución de Internet: conectar dispositivos para dotarlos de inteligencia. Los dispositivos de Internet de las cosas (IoT) ya duplican en número a los teléfonos inteligentes conectados a Internet en la actualidad y, a diferencia de estos últimos, se espera que este número siga creciendo de forma considerable, ya que no tienen el factor limitante de que tienen que llevarlo personas.
Pero el crecimiento exponencial del número de dispositivos lleva consigo un aumento de los riesgos. Llevamos años defendiéndonos de ataques DDoS de botnets basados en Internet de las cosas (IoT), como Mirai y Meris. Estas siguen aumentando porque sigue siendo todo un desafío proteger los dispositivos IoT, y los fabricantes no suelen tener incentivos para ello. Esto ha llevado al NIST (National Institute of Standards and Technology de EE. UU.) a definir activamente los requisitos para abordar la (falta de) seguridad de los dispositivos IoT, y la UE no se está quedando atrás.
También es el tipo de problema que mejor sabe resolver Cloudflare.
Nos complace anunciar hoy nuestra plataforma de Internet de las cosas con el objetivo de ofrecer una visión única de tus dispositivos IoT, proporcionar conectividad a nuevos dispositivos y, sobre todo, proteger cada dispositivo desde el mismo momento en que se enciende.
No son solo bombillas
Cuando se lee "IoT", es habitual pensar inmediatamente en bombillas o en simples sensores de movimiento, pero eso se debe a que no solemos considerar muchos de los dispositivos con los que interactuamos a diario como un dispositivo IoT.
Piensa en:
Casi todas las terminales de pago.
Cualquier coche moderno con sistema de información de ocio o GPS.
Millones de dispositivos industriales que hacen posible, y de forma fundamental, los servicios logísticos, los procesos industriales y los negocios de fabricación.
Sobre todo, puede que no te des cuenta de que casi todos estos dispositivos tienen una tarjeta SIM, y que se conectan a través de una red móvil.
La conectividad móvil se ha vuelto cada vez más omnipresente, y si el dispositivo puede conectarse independientemente de la configuración de la red wifi (y funcionar desde el primer momento), habrás evitado inmediatamente toda una clase de problemas de soporte operativo. Si acabas de leer nuestro anterior anuncio sobre la SIM Zero Trust, probablemente ya estés viendo hacia dónde nos dirigimos.
Cientos de miles de dispositivos IoT ya se conectan hoy de forma segura a nuestra red mediante el uso TLS mutuo y nuestro producto API Shield. Los principales fabricantes de dispositivos utilizan Workers y nuestra plataforma para desarrolladores para transferir la autenticación, los procesos y, lo que es más importante, reducir los procesos necesarios en el propio dispositivo. Cloudflare Pub/Sub, nuestro servicio de mensajería programable basado en MQTT, es otro elemento básico.
Pero nos dimos cuenta de que aún faltaban algunas piezas: gestión de dispositivos, análisis y detección de anomalías. Hay muchos proveedores de "SIM de IoT", pero la clara mayoría se centra en el envío de tarjetas SIM a escala (lo cual es genial) y apenas presta atención a la seguridad (no tan genial) o a los desarrolladores (tampoco tan genial). Los clientes nos comentaron que querían una forma de proteger con facilidad sus dispositivos IoT, de la misma forma que protegen a sus empleados con nuestra plataforma Zero Trust.
La plataforma IoT de Cloudflare incorporará soporte para el aprovisionamiento de conectividad móvil a escala. Daremos soporte a los pedidos, el aprovisionamiento y la gestión de la conectividad móvil para tus dispositivos. Cada paquete que sale de cada dispositivo IoT se puede inspeccionar, aprobar o rechazar a través de las políticas que hayas creado antes de que llegue a Internet, a tu infraestructura en la nube o a tus otros dispositivos.
Estándares emergentes como IoT SAFE también nos permitirán utilizar la tarjeta SIM como raíz de confianza, almacenando los secretos del dispositivo (y las claves de la API) de forma segura en el dispositivo, a la vez que se eleva el nivel de protección.
Esto tampoco significa que dejemos atrás el TLS mutuo. Somos conscientes de que no tiene sentido que todos los dispositivos se conecten únicamente a través de una red móvil, ya sea por los costes por dispositivo, por la falta de cobertura o por la necesidad de dar soporte a una implementación existente que no puede volver a realizarse.
Incorporar la seguridad Zero Trust a IoT
A diferencia de las personas, que necesitan poder acceder a un número potencialmente ilimitado de destinos (sitios web), el número de puntos finales con los que necesita contactar un dispositivo IoT es mucho más limitado. Pero en la práctica, suele haber pocos controles en vigor (o disponibles) para garantizar que un dispositivo solo se comunique con tu backend de la API, tu bucket de almacenamiento o tu punto final de telemetría.
No obstante, nuestra plataforma Zero Trust tiene una solución para esto: Cloudflare Gateway. Puedes crear políticas de DNS, red o HTTP, y permitir o denegar el tráfico en base no solo al origen o al destino, sino a mejores controles basados en la identidad y la ubicación. Parecía obvio que podíamos llevar estas mismas funciones a los dispositivos IoT, y permitir a los desarrolladores restringir y controlar mejor con qué puntos finales se comunican sus dispositivos (para que no formen parte de una botnet).
Al mismo tiempo, también identificamos formas de ampliar Gateway para que tenga en cuenta las especificidades de los dispositivos IoT. Por ejemplo, imaginemos que has configurado 5000 dispositivos IoT, todos ellos conectados por la red móvil directamente a la red de Cloudflare. Puedes optar por bloquear estos dispositivos a una geografía específica, si no hay necesidad de que "viajen", asegurar que solo se puedan comunicar con tu backend de la API o con tu proveedor de métricas, e incluso asegurar que si se saca la SIM del dispositivo ya no funcione al bloquear el IMEI (el número de serie del módem).
Crear estos controles en la capa de red eleva el nivel de protección de los dispositivos IoT y reduce el riesgo de que un agente malicioso utilice tu conjunto de dispositivos.
Saca los procesos del dispositivo
Hemos hablado mucho de seguridad, pero ¿qué pasa con los procesos y el almacenamiento? Un dispositivo puede ser extremadamente seguro si no tiene que hacer nada ni comunicarse con ninguna parte, pero evidentemente eso no es muy práctico.
Al mismo tiempo, realizar cantidades no triviales de procesos "en el dispositivo" implica una serie de desafíos importantes:
Requiere un dispositivo más potente (y, por tanto, más caro). Ligeramente potente (por ejemplo, los dispositivos basados en ARMv8) con unos cuantos gigabytes de RAM pueden ser cada vez más baratos, pero siempre van a ser más caros que un dispositivo de menor potencia, y eso se añade rápidamente a escala que tiene el IoT.
No puedes garantizar (ni esperar) que tu conjunto de dispositivos sea homogéneo. Los dispositivos que implementaste hace tres años seguramente sean hoy mucho más lentos que los que estás implementando hoy. ¿Olvidas esos dispositivos?
Cuanta más lógica empresarial tengas en el dispositivo, mayor será el riesgo operativo y de implementación. La gestión de los cambios se vuelve fundamental, y el riesgo de "bricking", es decir, el hecho de que un dispositivo quede inutilizado de forma que no se pueda arreglar a distancia, nunca es nulo. Resulta más difícil iterar y añadir nuevas funciones cuando estás implementando en un dispositivo al otro lado del mundo.
La seguridad sigue siendo una preocupación. Si tu dispositivo necesita comunicarse con API externas, tienes que asegurarte de que has delimitado explícitamente las credenciales que utilizan para evitar que las saquen del dispositivo y las usen de una forma que no esperas.
Hemos oído a otras plataformas hablar de "proceso perimetral", pero en la práctica quieren decir "ejecutar el proceso en el dispositivo" o "en unas pocas de regiones de la nube", (lo cual añade latencia). Ninguna de ellas aborda de verdad los problemas señalados anteriormente.
En cambio, al permitir el acceso seguro a Cloudflare Workers para el proceso, Analytics Engine para la telemetría de dispositivos, D1 como base de datos SQL, y Pub/Sub para la mensajería escalable de forma masiva, los desarrolladores de IoT pueden mantener el proceso fuera del dispositivo, pero también cerca del mismo, gracias a nuestra red global (más de 275 ciudades y en aumento).
Además, los desarrolladores pueden utilizar herramientas modernas como Wrangler, para iterar más rápidamente e implementar el software de forma más segura, evitando el riesgo de "bricking" o que deje de funcionar parte de tu conjunto de IoT.
¿Dónde me registro?
Puedes registrarte en nuestra plataforma IoT hoy mismo. Nos pondremos en contacto contigo en las próximas semanas para entender mejor los problemas a los que se enfrentan los equipos, y trabajaremos para que nuestra versión beta cerrada llegue a manos de los clientes en los próximos meses. Nos interesan especialmente los equipos que están intentando averiguar cómo implementar un nuevo conjunto de dispositivos IoT o ampliar un conjunto ya existente, sea cual sea el caso de uso.
Mientras tanto, puedes empezar a desarrollar en API Shield y Pub/Sub (MQTT) si necesitas empezar hoy mismo a proteger los dispositivos de IoT.