Certificato del dispositivo condiviso
Connessioni multiple e simultanee usano lo stesso certificato X.509 per l'autenticazione con AWS IoT.
Questo controllo viene visualizzato come DEVICE_CERTIFICATE_SHARED_CHECK
nell’interfaccia a riga di comando e nell’API.
Gravità: Critico
Informazioni
Quando viene eseguito come parte di un audit on demand, questo controllo cerca i certificati e gli ID client usati dai dispositivi per connettersi durante i 31 giorni precedenti l'inizio dell'audit fino a 2 ore prima dell’esecuzione del controllo. Per i controlli pianificati, questo controllo analizza i dati da 2 ore prima dell'ultima esecuzione dell'audit fino a 2 ore prima dell'avvio di questa istanza dell'audit. Se hai eseguito operazioni per mitigare questa condizione nell'intervallo di tempo controllato, esamina quando sono state stabilite le connessioni simultanee per determinare se il problema persiste.
Quando questo controllo trova un certificato non conforme, vengono restituiti i codici motivo seguenti:
-
CERTIFICATE_SHARED_BY_MULTIPLE_DEVICES
I risultati restituiti da questo controllo includono inoltre l'ID del certificato condiviso, gli ID dei client che usano il certificato per connettersi e gli orari di connessione/disconnessione. La maggior parte dei risultati recenti viene elencata per prima.
Perché è importante
Ogni dispositivo deve avere un certificato univoco per eseguire l'autenticazione con AWS IoT. Quando più dispositivi utilizzano lo stesso certificato, questo può indicare che un dispositivo è stato compromesso. L'identità potrebbe essere stata clonata per compromettere ulteriormente il sistema.
Come risolvere il problema
Verifica che il certificato del dispositivo non sia stato compromesso. In caso affermativo, segui le best practice di sicurezza per mitigare la situazione.
Se stai usando lo stesso certificato in più dispositivi, puoi eseguire queste operazioni:
-
Effettuare il provisioning di nuovi certificati univoci e collegarli a ciascun dispositivo.
-
Verificare che i nuovi certificati siano validi e che i dispositivi siano in grado di usarli per connettersi.
-
Utilizza UpdateCertificate per contrassegnare il certificato precedente come REVOKED in AWS IoT. È inoltre possibile utilizzare le azioni di mitigazione per effettuare le seguenti operazioni:
-
Applicare l'operazione di mitigazione
UPDATE_DEVICE_CERTIFICATE
sui risultati di audit per apportare questa modifica. -
Applicare l'operazione di mitigazione
ADD_THINGS_TO_THING_GROUP
per aggiungere il dispositivo a un gruppo nel quale puoi agire su di esso. -
Applica l'operazione di mitigazione
PUBLISH_FINDINGS_TO_SNS
per implementare una risposta personalizzata al messaggio di Amazon SNS.
Per ulteriori informazioni, consultare Operazioni di mitigazione.
-
-
Distaccare il vecchio certificato da ogni dispositivo.