Para cumprir com diferentes regulamentações industriais, redes privadas podem ajudar provedores de serviços de IoT a implementar uma solução que ofereça privacidade de dados críticos e encapsulamento de segurança. Esta postagem de weblog discute um caso de uso de provedores de serviços de Web das Coisas (IoT) que usam serviços da AWS para aprimorar suas redes privadas para transmissão de mensagens MQTT e proteger a transmissão de dados.
Discutiremos como criar uma solução de IoT na AWS que possa implementar uma sequência de transmissão MQTT de cadeia completa entre dispositivos de IoT e serviços de nuvem da AWS em uma estrutura de rede privada.
Introdução
Redes privadas permitem que você mantenha maior controle sobre dados de IoT industrial (IIoT). Isso oferece um caminho de conformidade para satisfazer requisitos regulatórios relacionados à privacidade e segurança de dados. Ao confinar o tráfego de IIoT em uma infraestrutura de rede privada, você pode demonstrar adesão a regulamentações e padrões específicos do setor e reduzir seus riscos. Redes privadas oferecem maior segurança em comparação com alternativas públicas e minimizam a ameaça de acesso não autorizado, violações de dados e ataques cibernéticos. Ao isolar dados de IIoT na infraestrutura de rede privada, dados industriais confidenciais permanecem protegidos de ameaças externas. Ao integrar canais MQTT baseados em rede privada em sua arquitetura de IoT na AWS, você pode transmitir com segurança mensagens MQTT cruciais entre dispositivos e várias contas da AWS enquanto cria soluções compatíveis específicas do setor.
Visão geral da solução
A arquitetura na Figura 1 mostra como você pode usar os serviços da AWS para construir um canal privado de ponta a ponta na AWS. Este canal pode transmitir dados MQTT entre os dispositivos IoT implantados em um information heart native e o AWS IoT Core, e então entre Núcleo de IoT da AWS e aplicativos de consumidores de dados em contas da AWS. Várias contas da AWS são incluídas nesta arquitetura, pois muitos provedores de serviços de IoT preferem uma estratégia de múltiplas contas na AWS.
Figura 1: Arquitetura de um canal MQTT privado de ponta a ponta.
A seguir, descrevemos a arquitetura de um canal MQTT privado de ponta a ponta da perspectiva de um dispositivo IoT.
- Conexão direta da AWS estabelece uma conexão privada segura e dedicada entre a rede native e a Nuvem Privada Digital da Amazon (este é o VPC do dispositivo na conta de rede na AWS). Os recursos relacionados à rede são colocados no VPC do dispositivo. (Observação: a conexão de rede privada digital (VPN) fornecida pela Web não é considerada neste cenário porque a rede native não tem permissão para acessar a Web.)
- Resolvedor da Amazon Route 53localizado na conta de rede, habilita a resolução do Area Title Service (DNS) entre a rede native e a Amazon VPC. As consultas DNS da rede privada native são encaminhadas para o endpoint de entrada e permite que as consultas DNS sejam resolvidas dentro da VPC do dispositivo.
- Gateway de trânsito da AWS usa anexos para conectar o VPC do dispositivo na conta de rede e o “gatekeeper VPC” na conta AWS IoT. O Transit Gateway permite que o tráfego destinado ao gatekeeper VPC seja roteado do VPC do dispositivo por meio do Transit Gateway. Pontos de extremidade da interface Amazon VPC e do cliente AWS Lambda as funções residem no VPC do gatekeeper.
- Gerenciador de acesso a recursos da AWS compartilha o Transit Gateway na conta de rede com a conta AWS IoT. Depois de compartilharum anexo do Transit Gateway pode ser criado e vinculado à VPC do dispositivo e se comunicar de volta com o Transit Gateway.
- Rota 53 da Amazônia zona hospedada privada, na conta AWS IoT, adiciona registros DNS e fornece nomes DNS privados para os endpoints da interface Amazon VPC. Esses endpoints incluem o plano de dados AWS IoT Core, o provedor de credenciais AWS IoT Core e AWS IoT Greengrass plano de controle. A zona hospedada é associada tanto ao VPC do dispositivo quanto ao VPC do gatekeeper para garantir que os nomes DNS privados possam ser usados pelos dispositivos IoT e pelos aplicativos do cliente para acessar os endpoints.
- Hyperlink privado da AWS alimenta a conexão entre o gatekeeper VPC e o AWS IoT Core sem o uso de um gateway de web. O Amazon VPC interage com endpoints que residem no gatekeeper VPC e se comunica com o AWS IoT Core por meio da conexão privada.
Os dados de telemetria de dispositivos IoT são ingeridos por meio de tópicos MQTT, no AWS IoT Core e, em seguida, no canal de dados privado de ponta a ponta, que são alimentados por:
- Conexão direta para o tráfego entre a rede native e a VPC do dispositivo na rede AWS.
- Gateway de trânsito para o tráfego entre a VPC do dispositivo na conta de rede e a VPC do gatekeeper na conta da AWS IoT.
- PrivateLink para o tráfego entre o gatekeeper VPC e o AWS IoT Core.
A seguir, vamos discutir a arquitetura da Figura 1 da perspectiva do consumidor de dados de telemetria,
- A zona hospedada privada do Route 53, na conta legada ou de terceiros, adiciona registros DNS e fornece os nomes DNS privados aos endpoints da interface do Amazon VPC.
- Os aplicativos legados e de terceiros são executados em Nuvem de computação elástica da Amazon (Amazon EC2) instâncias dentro das sub-redes privadas da VPC e em sua própria conta AWS. A zona hospedada associada à VPC garante que os clientes MQTT do aplicativo possam usar os nomes DNS privados para acessar os endpoints da interface.
- Serviço alimentado pela PrivateLink, conhecido como serviço de ponto ultimateé criado para compartilhar os endpoints da interface Amazon VPC, no gatekeeper VPC, para a conta AWS legada e a conta AWS de terceiros. O tráfego do serviço de endpoint flui com segurança pelos endpoints para os aplicativos legados e de terceiros.
- O serviço de ponto de extremidade requer um Balanceador de carga de rede (NLB) ou um Balanceador de carga de gateway. Nesta solução, usamos um NLB. O balanceador de carga recebe o tráfego do serviço de endpoint e o roteia para os endpoints da interface Amazon VPC no gatekeeper VPC.
- Os consumidores de dados de telemetria, que residem nas contas AWS legadas e de terceiros, ingerem os dados dos tópicos MQTT do AWS IoT Core. Esses dados são então transmitidos no canal de dados privado de ponta a ponta que é alimentado pelo PrivateLink e construído nos endpoints.
Nomes DNS privados para endpoints
Os nomes DNS privados são essenciais para que os clientes MQTT possam resolver o nome DNS do endpoint do AWS IoT Core para os endereços IP privados associados. Os nomes DNS privados são Um registro apontando para os endpoints na zona hospedada privada do Route 53 associada a essas VPCs. As etapas a seguir mostram como o nome DNS privado para a VPC do dispositivo é criado.
A zona hospedada privada do Route 53 (privateiotchannel-ats.iot.us-west-2.amazonaws.com) é criada na conta do AWS IoT e no VPC do gatekeeper associado. Você pode usar o comando a seguir para associar o VPC do dispositivo na conta de rede à zona hospedada. Você precisa desse comando porque não pode usar o console do Route 53 para fazer a associação entre contas do AWS. Você também pode fazer isso usando AWS CloudFormação e CDK da AWS.
% aws route53 create-vpc-association-authorization --hosted-zone-id Z076213424HT3P2H8VAU8 --vpc VPCRegion-us-west-2, VPCId=vpc-0c002950575f4ac06
{
"HostedZoneId": "Z076213424HT3P2H8VAU8",
"VPC": {
"VPCRegion": "us-west-2",
"VPCId": "vpc-0c002950575f4ac06"
}
}
Figura 2: CLI da AWS comando para associar uma Amazon VPC a uma zona hospedada privada entre contas.
O registro A, criado na zona hospedada, aponta para o nome DNS do endpoint de dados do AWS IoT Core. A consulta DNS, da rede native, é encaminhada para a VPC do dispositivo por meio do Direct Join. O registro A então resolve a consulta para o endereço IP do endpoint. O tráfego MQTT da rede native é roteado para a VPC do gatekeeper. Isso ocorre depois que o Transit Gateway conecta a VPC do dispositivo à VPC do gatekeeper entre contas e, finalmente, ao IP do endpoint.
Figura 3: O registro A para o endpoint do Amazon VPC definido na zona hospedada privada.
Ponto ultimate da interface de dados da AWS IoT
Para garantir que os dados MQTT atravessem redes privadas, um endpoint de interface Amazon VPC é criado nas sub-redes privadas do gatekeeper VPC. O endpoint tem um endereço IP em cada sub-rede. Nesse caso, o endpoint tem dois endereços IP privados (veja a Figura 4). O tráfego MQTT entra no endpoint e é roteado para os endereços IP privados.
Figura 4: Ponto de extremidade da interface do Amazon VPC para dados do AWS IoT em sub-redes privadas.
Para reforçar o AWS IoT Core para aceitar tráfego MQTT somente em redes privadas, você pode anexar a política na Figura 5 ao AWS IoT issues. O acesso ao AWS IoT Core é rejeitado se o ponto de acesso não for o endpoint vpce-0fb5376e25d0e53d6.
{
"Model": "2012-10-17",
"Assertion": (
{
"Impact": "Permit",
"Motion": (
"iot: Join"
),
"Useful resource": (
"arn:aws:iot:us-west-2:123456789012: consumer/${iot: Connection. Factor. ThingName}"
),
"Situation": {
"StringEquals": {
"aws: SourceVpce": "vpce-0fb5376e25d0e53d6"
}
}
},
......
)
}
Figura 5: A política de IoT para aceitar somente conexão por meio do endpoint do Amazon VPC.
Em 2023, lançamos o suporte para a criação de empresas privadas Provedor de credenciais do AWS IoT Core endpoints nas operações do plano de controle do Amazon VPC e do AWS IoT Greengrass. Além de habilitar a transmissão de dados de telemetria por meio de redes privadas entre a rede native e o AWS IoT Core dentro da arquitetura, você pode executar as seguintes operações usando redes privadas,
- Operações que exigem o provedor de credenciais do AWS IoT Core; por exemplo, provisionamento de frota de dispositivos.
- Operações que exigem o plano de controle do AWS IoT Greengrass; por exemplo, implantação de componentes do AWS IoT Greengrass.
Configuração de serviço de endpoint e NLB
Você pode compartilhar uma interface somente com os consumidores de dados. (Você pode usar esta opção em vez de usar o Transit Gateway ou vincular sua VPC com a ajuda do peering da Amazon VPC para configurar uma conexão na camada de rede.) Ao usar o serviço de endpoint PrivateLink, o provedor de serviços de IoT pode evitar configurações de rede complexas usadas para restringir os consumidores de dados de acessar os endpoints para o provedor de credenciais do AWS IoT Core e o plano de controle do AWS IoT Greengrass.
Na Figura 6, o serviço de endpoint é estabelecido dentro da conta AWS IoT e associado ao balanceador de carga. Essa configuração permite que o serviço de endpoint distribua dados MQTT para o balanceador de carga. Com base no nome de serviço exclusivo fornecido pela AWS para o serviço de endpoint, ambos os aplicativos nas contas legadas e de terceiros podem estabelecer conexões privadas com o serviço de endpoint criando um endpoint de VPC de interface.
Figura 6: Serviço de endpoint para compartilhar endpoint para dados do AWS IoT Core entre contas da AWS.
O balanceador de carga na Figura 7 se estende por duas sub-redes privadas que estão dentro do gatekeeper VPC. Este balanceador de carga usa os dois endereços IP privados designados para o endpoint de dados do AWS IoT na Figura 4. Por meio desta configuração, o balanceador de carga facilita a distribuição de dados para o AWS IoT Core por meio do endpoint.
Figura 7: Conectando o serviço de endpoint ao endpoint para dados do AWS IoT Core.
Para consumir os dados, é importante criar endpoints de interface do Amazon VPC para os aplicativos legados e aplicativos de terceiros. Em seguida, aponte os endpoints para o serviço de endpoint PrivateLink e configure os nomes DNS privados para os endpoints na conta legada e na conta de terceiros. Depois disso, os aplicativos podem usar os nomes DNS privados em seus clientes MQTT para acessar tópicos do AWS IoT Core MQTT por meio de redes privadas.
Resumo
Ao aproveitar a arquitetura de rede privada apresentada neste put up, você pode implementar canais MQTT baseados em rede privada para transmissão de dados IIoT dentro de suas plataformas IoT. Você também pode se proteger contra potencial perda de receita da poluição de dados IIoT, cultivar confiabilidade e baixa latência de transmissão de dados e aprimorar a postura de segurança da sua plataforma IoT. Além da mitigação de riscos, adotar a arquitetura de rede privada ajuda a manter a privacidade dos dados e a cumprir regulamentações como, Regulamento Geral de Proteção de Dados (RGPD), Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA)ou Padrão de segurança de dados da indústria de cartões de pagamento (PCI DSS).
Estamos ansiosos para ver como você habilita redes privadas para MQTT para reforçar a segurança de dados de suas plataformas de IoT construídas na AWS. Comece com AWS IoT indo para Console de gerenciamento da AWS.
Sobre o autor
![]() |