支援終止通知:2026 年 10 月 7 日 AWS 將停止 的支援 AWS IoT Greengrass Version 1。2026 年 10 月 7 日之後,您將無法再存取 AWS IoT Greengrass V1 資源。如需詳細資訊,請造訪從 遷移 AWS IoT Greengrass Version 1。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的組態和漏洞分析 AWS IoT Greengrass
IoT 環境可能由大量裝置組成,各自具有多樣化的功能、長時間在線上,並且散佈在多個地理位置。這些特點使裝置設定複雜且極易出錯。由於裝置通常受限於運算能力、記憶體和儲存功能,因此限制了裝置本身的加密和其他形式的安全性的使用。此外,裝置通常會使用具有已知漏洞的軟體。這些因素讓 IoT 裝置成為對駭客極具吸引力的目標,且難以持續保護裝置。
AWS IoT Device Defender 透過提供識別安全問題和偏離最佳實務的工具來解決這些挑戰。您可以使用 AWS IoT Device Defender 來分析、稽核和監控連線裝置,以偵測異常行為,並降低安全風險。 AWS IoT Device Defender 可以稽核裝置,以確保其遵守安全最佳實務,並偵測裝置上的異常行為。這可讓您在裝置間強制執行一致的安全政策,並在裝置遭到入侵時快速回應。在與 的連線中 AWS IoT Core, AWS IoT Greengrass 產生可預測IDs,您可以將其與 AWS IoT Device Defender 功能搭配使用。如需詳細資訊,請參閱《AWS IoT Core 開發人員指南》中的 AWS IoT Device Defender。
在 AWS IoT Greengrass 環境中,您應該注意下列考量事項:
您須負責保護您的實體裝置、裝置上的檔案系統以及區域網路。
AWS IoT Greengrass 不會強制執行使用者定義 Lambda 函數的網路隔離,無論它們是否在 Greengrass 容器中執行。因此,Lambda 函數可以與系統或網路外部執行的任何其他程序進行通訊。
如果您失去對 Greengrass 核心裝置的控制,並且想要防止用戶端裝置將資料傳輸到核心,請執行下列動作:
-
從 Greengrass 群組中移除 Greengrass 核心。
-
輪換群組憑證授權機構憑證。在 AWS IoT 主控台中,您可以在群組的設定頁面上輪換 CA 憑證。在 AWS IoT Greengrass API 中,您可以使用 CreateGroupCertificateAuthority 動作。
如果核心裝置的硬碟容易遭竊,我們也建議您使用全磁碟加密。
