AWS物联网安全隧道 & 价格细节

大家好,欢迎来到AWS物联网安全隧道入门. 我是Greg brain,我是物联网解决方案专家...

写的 尼尔·帕特尔 · 7分钟阅读 >
AWS物联网安全隧道

大家好,欢迎来到AWS物联网安全隧道入门. 我的名字是Greg brain,我是AWS的物联网专家解决方案架构师.

AWS物联网设备管理和安全隧道使其易于安全注册, 组织, 监控, 大规模远程管理物联网设备. 在这篇文章中, 您将学习如何使用安全AWS隧道和所有功能, 它提供了一个直接集成AWS物联网的安全远程访问解决方案,让您可以从任何地方远程访问您的物联网设备.

在本文中,十博体育投注将介绍安全隧道,这是AWS物联网设备管理的一个特性. 当设备部署在远程站点的防火墙后时, 您通常需要一种方法来访问这些设备,以解决配置更新和其他操作任务的故障. 安全隧道技术帮助客户通过AWS物联网管理的安全连接建立与远程设备的双向通信. 安全隧道不需要更新现有入站防火墙规则, 这样就可以维持现有的安全级别.

AWS物联网远程接入 & 关于物联网管理平台

什么是物联网安全隧道

您需要一种机制来访问安装在远程站点受限制的防火墙之后的设备,以便进行故障排除, 配置更新, 以及其他操作职责. 安全AWS物联网隧道允许客户使用AWS物联网管理的安全连接在两个方向上与远程设备通信. 安全隧道消除了修改现有传入防火墙规则的需要, 允许您在远程位置保持相同级别的保护.

在这篇文章中(你也可以查看附件中的视频), 我将演示安全隧道的一个特定用例, 即SSH连接到树莓派. 这里显示的先决条件是针对这个特定演示的, 而不是更普遍的安全隧道功能. 首先,需要一个基于linux的设备作为物联网设备. 一个树莓派或Linux PC就足够了. 接下来,设备必须有一个正在运行的SSH守护进程. 如果你想的话, 例如, 使用安全隧道访问FTP, 你当然需要一个FTP服务器运行. 同样的, 对于任何其他服务, 您的防火墙必须允许设备在端口443上有出站通信, 您需要在AWS物联网注册表中创建相应的物联网内容,并将密钥保存在证书中.

AWS高级和卓越咨询合作伙伴

要使用安全隧道,您的设备需要有AWS物联网安全隧道本地代理. 对于这个演示,我将使用AWS物联网设备客户端. 它是一个物联网参考实现,包括对安全隧道的支持. 它在AWS物联网设备客户端中内置了AWS物联网安全隧道本地代理,可以轻松地使用几个AWS物联网设备管理和AWS物联网设备防御功能, 但一般来说,使用安全隧道功能并不需要这样做. 尽管如此, 为了跟随演示, 你需要从GitHub下载AWS物联网设备客户端源代码, 为你的设备构建它,并用适当的名称证书和私钥配置它. 十博体育投注已经在视频描述中提供了GitHub仓库的链接. 最后, 你需要从GitHub下载AWS物联网安全隧道本地代理源代码, 并为你的机器建造它. 十博体育投注已经得到了该存储库的链接.

在开始演示之前,让十博体育投注回顾一下安全隧道的工作原理. 左侧(附视频中), 你会看到一个远程设备或东西, 哪个被认为是隧道的目的地. 中间是AWS云,具有AWS物联网核心和AWS物联网设备管理. 而在右边,你有想要执行远程SSH会话到物联网事物的操作员. 操作者机器被认为是隧道的源头. 本地代理命令行实用程序已经编译并安装在操作符计算机的源代码上. 另外, 在十博体育投注的演示中, 目标端已编译并安装AWS物联网设备客户端. 设备客户端包括本地代理和面向c++的AWS物联网设备SDK. 设备客户端连接物联网核心,订阅为安全隧道通知预留的主题. 此通知是一个可选特性,它提供了将访问令牌获取到目的地本地代理的方便方法. 如果您有一种带外方式将令牌传递到您的设备, 那么你的设备不需要连接到物联网核心或使用这个通知,只是为了创建一个安全的隧道.

几百英里外的工厂里的传感器设备, 例如, 测量工厂温度有问题吗. 要打开并快速启动与该传感器设备的会话,可以使用安全隧道. 在检测到问题后,可以重置文件并在同一会话中重新启动传感器设备(例如, 一个错误的配置文件). 与更传统的故障排除(例如,安全隧道技术)相比,安全隧道技术可以减少事件响应和恢复时间以及操作成本, 派一名专家到工厂检查传感器设备.

下载PDF在Aws物联网安全隧道

AWS物联网安全隧道定价

加载内容……

在AWS物联网设备管理中引入安全隧道

AWS物联网设备管理提供了一系列不同的功能,帮助企业为各种行业开发物联网应用. 当谈到对设备的远程访问时, 然而, 传统上,客户通过MQTT主题或通过改变设备的阴影发送控制消息, 设备代理随后对这些消息采取了行动. 作为一个结果, 硬件开发团队必须明确地将这些专门的控制功能嵌入到设备的固件中.

当设备在防火墙之后, 在这些预配置流之外的设备管理尤其困难. 在标准的台式电脑上, 这将是安装远程管理十博体育投注官网或使用VNC等技术的简单问题. 然而,迄今为止,在物联网设备上部署该功能具有挑战性.

今天物联网市场有什么新动向?

安全的隧道, AWS物联网设备管理的一个新功能,提供了一个安全的远程访问解决方案,与AWS物联网无缝连接,并允许您从任何地方远程访问您的物联网设备, 今天被释放了. IAM (Identity and Access Management)对终端进行保护, 并且通信是跨传输层安全性(TLS)进行的.

如何确保物联网设备功能?

首先,我将在我的设备(树莓派)上安装一个代理程序,它将允许我使用安全WebSocket连接连接到安全隧道服务. 使用open-tunnel CLI命令时,会生成认证令牌. 这些令牌随后被发送到设备的代理进行处理. 因为我使用的是Thing Registry-managed设备, 设备令牌的分发已经为我处理好了. 在对安全隧道服务进行身份验证后,将向用户和设备发送令牌. 当物联网设备接收到令牌时,它启动代理. 让十博体育投注看看用于高级演练的AWS命令行接口(CLI). 在我开始之前,我需要再次检查一切是否设置正确.

在目标设备上启动代理

现在在Thing Registry中,我将在我的设备上安装小工具的私钥和证书. 设备可以订阅保留的MQTT主题, $aws/things/thing-name>/tunnels/notify, 使用这个密钥对. 这个MQTT主题被安全的隧道用来发布一个令牌,这个令牌将被用来创建到我的树莓派的隧道.

我可以利用AWS物联网设备sdk初始化隧道代理,现在我的设备可以接收此令牌信息. 要做到这一点, 我修改了物联网设备SDK,以侦听关于MQTT主题的通知以进行隧道, 然后,当代理到达我的设备时,我使用令牌激活代理.

演示: 一种新的安全解决物联网设备故障的方法

  • 首先,运营商向AWS物联网设备管理下发并开放隧道命令.
  • 通过AWS IoT Core发布通知消息.
  • 在事物订阅的保留主题上接收到通知. 此通知消息包含目标访问令牌.
  • AWS物联网设备客户端使用目标访问令牌初始化其嵌入式本地代理.
  • 这将在目的模式下初始化本地代理,并连接隧道的目的端.
  • 方法发出的源访问令牌
  • 打开隧道时的AWS控制台.
  • 接下来,操作符使用源访问令牌在源模式中初始化本地代理,
  • 与隧道的源端相连.
  • 隧道两端连接后,运营商可以通过本地代理打开SSH会话. 现在,我将向您展示如何在控制台上工作.
  • 好吧,我在树莓派上运行设备客户端.
  • OK, 设备客户端已启动并正在运行, 订阅隧道通知的预留主题.
  • 登录管理控制台后,进入“物联网核心”.
  • 然后是设备管理和隧道.
  • 接下来,创建一个隧道. 给它一个描述.
  • 输入要使用的服务,这里是SSH.
  • 注意添加新的服务按钮,您实际上可以在一个隧道上使用多个服务.
  • 选你喜欢的,我选树莓派4.
  • 最后,输入超时. 这是隧道在自动断开连接之前将被维护的时间. 十博体育投注将使用30分钟,十博体育投注将跳过资源标签并创建隧道
  • 下载源代码的访问令牌. 这将由您的操作员机器上的本地代理很快使用.
  • 返回到设备客户端输出, 十博体育投注可以观察到它在隧道建立的目的连接部分收到了一个MQ TT隧道通知.
  • 如果十博体育投注点击AWS控制台上的新通道,十博体育投注可以看到它是打开的
  • 目的地是相连的.
  • 在您的机器上打开一对终端会话,一个用于本地代理,一个用于SSH客户端.
  • 请注意安全隧道所在的AWS区域的本地代理命令行选项. 本地代理将侦听传入连接的端口. 最后,源访问令牌.
  • 十博体育投注可以刷新AWS控制台,看到既然本地代理正在运行,安全隧道已经在源端形成了连接.
  • 下一个在我右手终端会话, 十博体育投注将初始化SSH会话, 十博体育投注需要连接到端口5555上的本地代理. 它正在监听的端口. 用户名是您的物联网设备上的一个用户,在本例中是我的树莓派及其默认用户Pi.
  • 现在我已经建立了我的SSH会话, 我可以安全地排除故障, 配置更新或执行许多其他操作任务. 我还可以在一个开放的隧道会话中多次断开和重新连接.
  • 当你完成, 您可以退出您的SSH会话返回到AWS控制台关闭或删除您的隧道.

所以, 在这个入门演示中, 十博体育投注介绍了如何在AWS管理控制台中打开一个隧道. 使用本地代理和访问令牌初始化隧道. 在安全隧道的源端连接两个目的端,然后使用本地代理发起SSH会话.

欲了解更多信息,请访问 AWS物联网设备管理网页 此外,还可以浏览安全隧道开发人员文档,以更深入地了解概念和更高级的功能.