物联网数据增长迅速，安全仍是最大障碍

数据是物联网(IoT, internet of things)的支柱和货币。无论是生成温度数据的传感器，检测婴儿命脉的袜子，抑或是能在产品库存低发送报警的自动售货机, 这些物联网的数据都需要被传输，处理，保护并可能被存储下来。有一点很清楚：选择要捕获哪些数据以及那些数据不要的背后是一个战略性的业务决策。这个决策因公司，业务目标和行业的不同而有很大差异。不管企业如何处理这些数据，云存储将是前进的方向，也是物联网增长和持续创新的关键推动力。

云存储在整体业务中获得了巨大的动力，而且因为云技术更广泛的可访问性和更低的成本，云正成为管理物联网所创造的大量数据的一种选择。但即使有更低的成本消耗, 需要存储、传输和处理的大量物联网数据很快就将成本抬高至超过许多企业的开支。关于如何解决这个问题存在着不同的思想流派，在跟踪数据存储问题（特别是工业领域的物联网应用）时，“ 边缘化 ” 计算是很多人考虑的一个解决方案。

硬件计算处理是一个更具成本效益的数据存储替代方案，它允许大部分的数据管理和处理在网络的边缘或雾区（fog area），可以更靠近数据源而不是深入云网络。边缘和雾区的计算通过完成网络设备上重复性的任务和计算，然后传输关键数据和异常回到云的核心网络上来削减中转和存储的成本，从而补充了云存储策略。

转移物联网数据至云端面临的挑战不止于成本。为了从业务角度管理数据和成本，需要抛出以下几个重要的问题：

• 我需要为我的数据存储提供单一来源的策略吗？
• 如果我想要把我的数据从云端导出或者转移至另一个云端，我应该怎么做？
• 我的业务模型对这个云提供商有多大的依赖？

不管业务决定采取哪种云策略，都要确定设备本身和从设备获取的数据是安全的。管理云供应商的依赖点的最可靠的方式是在迁移至云端前始终对数据加密，并将密钥分开。

数据开发、存储和安全仍然是问题

存储和获取数量不断增长的物联网数据正迅速成为主要的问题。随着公司利用云端来存储数据，清理地下室并将其全部移出场外可能意味着存储和访问这些数据会带来额外的安全隐患。遗憾的是，很多公司不会在物联网数据迁移到云之前对数据进行加密。

根据Altman & Company所收集的 2017的调查数据显示，46%的物联网安全买家在过去两年内经历了与物联网相关的安全入侵或违规行为，这似乎表明了当传统的网络安全处于大部分行业的首要位置，物联网却仍将它作为事后考虑。

快速浏览头条新闻可以看到，过去几年间高调的数据泄露事件并不少见，有几宗遭受了几百万美元的损失。思考一下家庭，企业和医院，公用事业以及其他重要的基础设施中有多少设备已连接，我们正在为恶意黑客拓宽机会之路，这就是为什么在将数据迁入云端之前要对其加密是非常重要的。

最近在全球传播的Petya和WannaCry勒索软件攻击攻击证明，只要有一个受感染的机器或系统就可以停止生产并关闭整个工厂或其他重要的基础设施。如果这些攻击有任何要来的迹象，随后行业在这些已连接的物联网设备成为下一次攻击路径前必须找到最佳的解决方案来处理网络安全问题。

这一切都在于“钥匙”

物联网中的数据和设备安全仍然是一个主要的问题，因为各种规模的组织都在努力地寻找适合的安全方案来满足他们的需要。然而，如果说在云端环境下保持物联网数据安全的首要的一个关键步骤是确保数据被加密，那么第二个重要步骤就是确保对应该数据的密钥被分开保存。

物联网生态圈的许多公司开始意识到，实施包含高质量的加密密钥的健壮加密政策有多重要。强大的加密来源于由像硬件安全模块（HSM，Hardware security module的质量源产生的强大的加密密钥，HSM可以用于创建，存储和管理加密密钥。通过将密钥与余下的物联网数据存储的地方分隔开，公司可以有效的保护谁可以访问数据。在很多情况下，这也意味着限制负责存储物联网数据的供应商的访问。

有一些已建立的可以轻松适应来满足物联网制造商需要的安全和加密协议，其中包括：

• 关键注入 -- 确保数据的安全传输是重要行业也的优先事项。作为HSM的一个模块，公司可以在生产过程中使用真随机数字生成器将每个单独的数字密钥插入到半导体中。有了每个唯一的密钥，连接的设备或物件都被赋予了一个“数字身份”，这可以贯穿它在创建到送到消费者家中的整个生命周期中对它进行身份验证。
• 代码签名 -- 软件代码从它的开发者传送到它的完整且不变的精确目标是非常重要的。通过确保软件在设备开发阶段收到的一个个体的独一无二的公钥，这个小步骤可以确保代码的真实性和正确性。如果物联网设备收到的软件不与嵌在系统中的密钥签名相匹配，那么该代码将被拒收，从而可以保护整个系统免遭泄露或攻击。
• 身份验证作为访问的基础 -- 随着物联网系统的增长和互相之间交流的需要，它们需要一直改进和更新。确认此过程的安全性是通过确保采用正确的身份验证实践。只有那些拥有数字密钥的人可以对系统进行更改 -- 例如，下载必要的软件更新或升级。对于服务人员的维护工作，可以通过使用公钥基础设施来访问。
• 硬件安全模块 -- 考虑到到2020年会有数十亿通过无线连接的设备，启用物联网数据的安全通信是行业的优先事项。数据应该只能保存在经过加密的数据库上。加密的密钥材料应该在HSM中与该数据库物理隔离地管理和存储。这可以保护数据不被非验证访问，即使数据库内容落到了网络犯罪分子手中。

将密钥和加密数据分开

HSM在确保物联网产生的数据安全保存在云中发挥着至关重要的作用。HSM不仅可以生成密钥，还在主密钥周围提供安全的包装，所有这些都在一个安全和防止篡改的环境中进行。此前，使用HSM意味着在购买和维护物理设备的前提下--无论是作为PCI卡或者是安装在机架上的设备。如同其他迁移至云端的商业服务，现在你可以以HSM作为服务模型通过云端获得HSM的全部优势。

在云中存储安全数据的一个明确信息是确保你将加密密钥和加密数据分开。全球最大的两家云服务提供商同时提供云存储和HSM服务。这可能听起来像是一个很好的想法，有一个一站式商店 -- 提供两个服务只有一个账单 -- 但它有一定的风险。例如，如果主密钥与加密数据一起存储并且云服务遭到黑客入侵，那么这些主密钥也有可能被盗用。如果网络罪犯拥有主密钥，他们可以访问您的数据。同样，HSM作为服务通常具有多租户架构，其中多个客户将通过云端HSM上的安全分区提供服务。潜在的问题是，如果该特定服务器由于另一个客户的行为而被法律当局传唤或扣押。云服务提供商可能会在没有你授权的情况下遵守传票，允许他人访问您的密钥和安全数据。

通过保留对密钥的完全访问权限，公司可以获得最佳的服务。这些密钥可以通过将数据存储在远离数据存储提供商的云端或者在他们控制的本地物理HSM中来保护数据。一旦加密密钥在单独的云端HSM或本地HSM中保持安全状态，即使存储物联网数据的供应商也无法访问密钥。

HSM作为一项服务也帮助小型云服务提供商在日益饱和的市场中保持竞争力。通过为希望将关键业务数据迁移到云端的终端客户提供可靠的服务，这些小公司不再需要担心从头开始构建自己的内部产品。相反，他们为客户提供了有灵活性和可访问性的安全的云HSM作为服务，解决了曾经成为云采用的主要障碍。

总体而言，物联网的未来看起来比以往任何时候都更加光明。随着更多互联设备的日益发展，没有什么可以阻止它在我们的家园，街道甚至城市中扩散。不幸的是，由于行业将其业务的重要部分授信给软件支持的系统或服务，例如车联网（connected car），智能能源分配网络或电子支付基础设施，因此可能存在滥用行为。

许多物联网制造商正意识到使用由真随机源生成的高质量加密密钥来实施强加密策略是多么重要。无论是通过基本的数字签名还是为加密所有数据迈出了更大的步伐，如果公司希望保护客户，数据和声誉，保护物联网势在必行。这当然是硬件安全模块最适合使用的地方，这种技术被业内其他厂商采用只是时间问题。