Page 27

mista muista IoT-laitteista Uusiteknologia-lehden 1/2018-numerossa. Se on luettavissa edelleen sähköisesti lehden nettisivun kautta.

IoT-laitteiden hallinta Tietotekniikka-alan hämärämpiin termeihin kuuluu provisiointi, mutta käytännössä se merkitsee laiteresursseista ja ohjelmistoista muodostettavien palveluiden valmistelua niin pitkälle, että uusi käyttäjä tai sovellus saa ne käyttöönsä automatisoitujen rutiinien varassa. IoT-laitteen provisiointi voi merkitä sitä, että laitteeseen on asennettu tarpeelliset ohjelmistot, niihin toimivat asetukset, tietoliikenneasetukset, sekä tarpeelliset salausavaimet, laitteistotunnukset. Myös ratkaisun pilvipää on määritelty hyväksymään juuri kyseisen laitteen liittyminen pilvipalveluun. Kustannustehokas provisiointi vaatii sovellusten ja tietoturvaratkaisujen integrointia. Jos halutaan provisioida suuria laitemääriä edullisesti ja turvallisesti, täytyy kaikkien toimenpiteiden olla mahdollisimman pitkälle automatisoituja ja suoritettu tietoturvallisesti. Suuria määriä IoT-laitteita käyttävät yritykset sattavat haluta liittää provisioivaiheeseen integroinnit organisaation Asset Management, CRM tai CMDB järjestelmiin. Näin laitteille voidaan määrittää automaattisesti vastuuhenkilöt ja tilaukset laiteasennuksille. Microsoft on julkaissut Azure IoT Hub Device Provisioning Service -palvelun, joka mahdollistaa jopa

miljoonien laitteiden rekisteröinnin ja konfiguroinnin palveluun turvallisesti ja skaalautuvasti. Device Provisioning Service ja Azure IoT Hubin laitehallinta lupaavat auttavat asiakkaita hallitsemaan IoT-laitteita. Azure IoT -ohjelmistopakettia voidaan käyttää myös monenlaisten etälaitteiden ja -anturien hallintaan ja analysointiin. Elisa IoT tarjoaa paketissaan apua IoT-laitteiden hallintaan. Siihen liitetyt laitteet on mahdollista saada näkymään. Laiteita voidaan luoda, muokata ja deaktivoida. Järjestelmässä on etäkäyttö ja hallinta, joka luo suojatun yhteyden kentällä oleviin laitteisiin. Jos päätelaitteessa on tarvittava ohjelmistotuki, käyttöliittymän kautta on mahdollista tehdä parametrien muutoksia ja tiedonsiirtoa. Googlen Cloud IoT Core mahdollistaa IoT-laitteiden keskitetyn hallinnan ja integroi ne yhdeksi järjestelmäksi. Amazonilla on keskitettyä hallintaa pilvessään AWS IoT Device Management.

IoT-laitteiden tunnistaminen IoT-laitteiden turvallinen tunnistus pilvipäässä on tärkeää. Siihen on monia erilaisia ohjelmisto- ja laitteistopohjaisia ratkaisuja. Yksinkertaisimmillaan laitteen tunnistus pilveen voi tapahtua, sillä että laite kytkeytyy pilveen omalla käyttäjätunnuksellaan tai lähettää aina tietojen mukana oman tunnistenumeronsa. Se toimii perustunnistuksena, mutta eivät tarjoa kovin-

Tietoturva kuntoon Pilvipalveluihin liittyy suuria tietoturvaan ja talouteen liittyviä riskejä. Tyypillisimmillään liittyvät siihen, että pilven riskejä ei tiedosteta. Pelkästään yhdellä virheellisellä asetuksella tai käyttäjätunnusten vuotamisella on helppo vahingossa paljastaa suuria tietomääriä vapaasti saataville verkkoon. Pilvipalveluiden tarjoaja pääsääntöisesti tarjoavat kuitenkin parempaa tietoturvaa kuin organisaatiot pystyvät omille ympäristöilleen tarjoamaan. Tämä perustuu siihen, että pilvipalvelutoimittajien on taloudellisesti mahdollista rakentaa ympäristönsä vastaamaan sellaisiin tieto-

turvaan liittyviin vaatimuksiin, joihin useimpien pienempien toimijoiden ei yksinkertaisesti ole järkevää sijoittaa. Voimassa oleva Euroopan unionin yhdenmukaistettu tietosuojalainsäädäntö (GDPR tietosuoja-asetus) velvoittaa organisaatiot toteuttamaan riittävät toimenpiteet henkilötietojen suojaamiseksi.

kaan turvallista tapaa tunnistua. Suuntana on pyrkimys siirtyä yksinkertaisesta ohjelmistopohjaisesta laitteiden tunnistamisesta käyttämään laitteistopohjaista IoT-laitteiden tunnistamista. Esimerkiksi Amazonin AWS käyttää laitteiden tunnistamisessa TLS -autentikointia. TLS-tunnistuksessa hyödynnetään julkinen-yksityinen avainparia sekä PKI-luottamusketjua. Digitaaliset allekirjoitukset ja sertifikaatit ovat käytössä laitteiden tunnistamiseen, viestien eheyden tarkastamiseen ja luottamuksen säilyttämiseen. Jokainen AWS-pilveen kytkeytyvä laite on provisioitava, ennen kuin se voidaan kytkeä pilveen. AWS tukee julkisen PKI ketjun tarjoaman allekirjoituksen lisäksi myös BYOC (bring your own certificate) ratkaisua. Massavalmistuksessa piirivalmistaja voi allekirjoittaa omalla varmennetulla sertifikaatillaan tarvittavan määrän piirejä, joilla varustetut laitteet voidaan kytkeä yhtenä ryhmänä pilveen. Googlen IoT-palvelun tietoturvamallissa kaikki IoT-laitteet rekisteröidään yksitellen järjestelmän GCP-tilille ennen käyttöä (JITR – just in time registration). Yhteydessä laitteesta pilveen käytetään TLS-suojausta tiedon suojaamiseen, mutta laitteiden tunnistamisessa ei hyödynnetä TLS-yhteyden tunnisteita, joten laitteiden identiteetti on riippumaton TLS pinosta. Laitteiden tunnistus hoidetaan käyttäen Token- (JWT) ja ECDSA-tunnistusta. Kun laitekohtaiset uniikit identiteetit on muodostettu, ne pitää kopioida GCP- palveluun ennen käyttöä. JWT-tunnistuskoodi laitepäässä on niin kevyt, että se on mahdollista saada toimimana jopa pienissä sensoreissa käytetyillä 8-bittisillä mikro-ohjaimilla. Azure IoT framework perustuu DICE-arkkitehtuuriin ja hyödyntää TPM (Trusted Platform Module) -turvamoduulia. Se vaatii tosin varsin kohtuullisesti suorituskykyä kummastakin päästä, mutta on turvallinen ja joustava. Laitteiden identiteetti on allekirjoitettava ja se saavaan saadaan DICE/ RioT- ketjusta. Allekirjoitus voidaan tehdä laitteen omalla yksityisellä avaimella tai laitevalistajan varmistetulla avaimella. Yksityisellä avaimella allekirjoitetut laitteet pitää määritellä yksitel-

len. Valmistajan allekirjoittamat voidaan syöttää sisään ryhmänä.

Tietokannat käyttöön Tiedon tallentamiseen pilvessä on monia mahdollisuuksia. Perinteinen tapa erilaisten tietojen tallentamiseen esimerkiksi raportointia varten on SQL-tietokannan käyttäminen tiedon tallentamiseen. Amazon, GE, Google, IBM, Microsoft ja Siemens tarjoavat yhden tai useamman erilaisen tietokannan tiedon tallentamiseen ja tehokkaaseen hakemiseen. NoSQL-tietokantaa kaipaavat löytävät sellaisen suurimmasta osasta pilvipalveluita. MongoDB on puolestaan nuoren ohjelmoijasukupolven tietokantasuosikki, joka lupaa tarjota helppokäyttöistä ja perinteisiä relaatiokantoja ketterämpää skaalautuvuutta tietomassojen kasvaessa sekä hyvän suorituskyvyn. Redis-kanta tarjoaa nopean keskusmuistipohjaisen avain-tieto-tyyppisen tallennuksen ja viestien välityksen. Redis on suosittu valinta tietokannaksi IoT-sovelluksissa, istuntojen hallintaan, reaaliaikaiseen analyysiin ja paikkatietoon. Amazon tarjoaa pilvessään tiedon tallennukseen myös tehokasta DynamoDB-kantaa sekä S3-objektipohjaista tiedontallennusta.

IoT-tiedot talteen Tiedon tallentaminen IoT-laitteesta tietokantaan on periaatteessa aika yksinkertaista. Esimerkiksi AWS-ympäristössä IoT-palvelulta tieto voidaan ohjata API Gatewayja AWS Lambda työkaluilla DynamoDB-kantaan. Suuri osa IoT-datasta on itsessään varsin samantyyppistä dataa riippumatta anturin mittaamasta arvoista. Aikasarjadataa syntyy tietyin aikavälein, joka voi olla millisekunneista jopa vuorokausiin. Jos aikasarjadataa syntyy paljon, kannattaa miettiä kannattako tieto tallentaa perinteisen kannan sijaan tällaisen tiedon tallentamiseen optimoituun tietokantaan. Esimerkiksi TingSpeak-palvelu on alun perin kehitetty juuri aikasarjadatan tallennusta ajatellen. ThingSpeak-palvelu tallettaa sisään tulvan datan oletusarvoisesti ilman lisätoimenpiteitä aikasarjadatakantaan, josta tiedot voidaan lukea REST-rajapinnalla tai näyttää web-grafiikkana. Kanavalla julkaisUT 2/2018 - 27

Profile for Uusiteknologia.fi

Uusiteknologia.fi 2/2018  

Uusinta luettavaa teknologiasta! Tutustu mm. IoT-, WiFi-, 5G-aiheisiin ja kvanttitietokoneiden saloihin! Finnish electronics and technology...

Uusiteknologia.fi 2/2018  

Uusinta luettavaa teknologiasta! Tutustu mm. IoT-, WiFi-, 5G-aiheisiin ja kvanttitietokoneiden saloihin! Finnish electronics and technology...

Advertisement