物联网业务如何从远程设备访问中受益?
成功的物联网解决方案的好处是众多、互补且影响深远的。物联网连接带来了许多新机遇,但仍然存在安全漏洞、连接通信挑战和后期运维障碍。远程设备访问是解决这些问题的关键因素。
考虑两种情况
设备是本地设备:支持IoT连接的设备位于开发人员的专用网络中。他们可以登录设备,读取日志文件,运行设备命令,甚至只需按一下按钮即可重置设备。
设备在客户现场:开发人员无法访问此外部网络。为了解决可能的问题,他们只能依靠从设备发送的数据,几乎看不见或根本看不见设备本身。
要了解第二种情况带来的问题,可以想象一下当电梯出现故障,其中预先编程为解决潜在问题的操作根本无法使其正常工作。在这种情况下,服务人员别无选择,只能亲自去现场进行故障排除,于是会浪费掉宝贵的时间和资源。
可能的远程访问解决方案
在早期,企业使用静态公共IP地址远程登录到设备,就像公共Web服务器一样。但是,将设备留在公共领域会使它们容易受到通过bug或暴力密码攻击的黑客攻击。这与Mirai僵尸网络攻击没有什么不同。
第二种方法是使用专用IP地址,并在连接到中央服务器的每个设备上部署VPN或远程管理客户端。这样,客户端就可以建立与VPN服务器的安全连接,然后开发人员可以先登录到中央服务器,然后再从中央服务器登录到设备本身,从而提供更多的实时监督。
不幸的是,并非所有的物联网设备都具有足够的处理能力和能源能力来运行远程客户端软件。而且,管理不同的VPN客户端和更新非常麻烦,尤其是在涉及不同类型的设备时。这意味着该选项也不理想。
首选解决方案
更好的方法是使用虚拟专用网络(VPN)和蜂窝连接提供程序提供的静态专用IP地址来进行远程设备访问。这种方法具有许多优点,包括:
设备隐藏在蜂窝提供商网络内,攻击者无法扫描或向设备发送信息。
虚拟专用网络不是在每个设备之间建立的,而是仅在移动网络基础设施和管理员的VPN客户端之间建立的。
管理员可以通过使用移动网络的VPN网关进行身份验证来访问设备,从而可以登录到设备。
对于传统运营商而言,此设置非常耗时,复杂且昂贵,因为他们需要设置管理静态IP地址所需的专用APN。专用APN必须在运营商DNS中,并在客户设备中进行配置。花费数周时间和大量资金进行设置,以及每月为私人IP地址和VPN收费的情况并不少见。
一种首选的解决方案是与连接提供商合作,后者提供私有静态IP地址,这些地址是免费启用远程访问的基础。然后,每个SIM卡都将获得一个单独的专用IP地址,而无需设置或支付专用APN。
开放VPN
通过使用Open VPN客户端,企业可以从任何工作站、便携式计算机或虚拟机直接访问其设备。通过使用OpenVPN客户端,客户可以连接到VPN网关,从而访问所有设备。VPN网关和便携式计算机之间的远程访问通信已加密。
IPSec协议
希望为其设备数据添加额外安全层的企业应使用IPSec。与从笔记本电脑或外部设备创建安全连接的OpenVPN相比,IPSec在应用和VPN网关之间建立了安全连接。企业不仅可以从其应用程序基础设施远程登录其设备,而且在到应用的路径上对设备通信进行加密。
注意:虽然也可以使用OpenVPN将应用基础设施连接到移动网络,但不建议这样做。 OpenVPN具有所有设备共享的最大带宽限制,约为20 Mbps,并可能影响设备操作。此外,使用OpenVPN,路由仅路由到一个IP地址,而IPSec路由到整个应用子网。
总结
远程访问是任何成功远程部署的IoT解决方案的关键要素。从安全角度来看,建议使用私有IP地址来支持远程访问,而不要依赖公共互联网。 一个基本选项提供通过OpenVPN的远程访问。 为了提高设备和基础设施的安全性,IPSec或Cloud Connect还提供了数据路径的加密。