亞馬遜雲科技推出 Matter 公鑰基礎設施(Public Key Infrastructure,PKI)合規指導手冊,幫助客戶使用 Amazon Private Certificate Authority(Amazon Private CA)證書服務構建符合 Matter 要求的 PKI 證書體系,加快客戶 Matter 認證産品的推出。Matter 是 CSA 國際組織連接标準聯盟以及成員發布的設備連接标準協議,具有 Matter 認證的 IoT 設備可實現跨品牌的互聯互通,目前已成爲全球 IoT 物聯網領域關注的焦點。
什麽是 Matter 認證?
Matter 是連接标準聯盟(CSA 聯盟)創建的一種新協議,允許不同供應商的智能家居設備互聯工作,依托名爲設備認證證書(DAC)的數字證書,來驗證智能家居網絡中的設備是否已通過 Matter 認證。對于創建符合 Matter 标準的證書頒發機構(CA)并簽發 DAC 證書的任何人,CSA 聯盟都有特殊要求。
CSA 聯盟允許使用授權服務提供商(DSP)爲客戶提供公鑰基礎設施(PKI)服務,以此來創建客戶符合 Matter 标準的 CA。客戶可使用 Amazon Private Certificate Authority 作爲 DSP 來創建符合 Matter 标準的 CA,并簽發 DAC 證書。本指南旨在爲客戶提供信息以幫助客戶規劃 Matter CA 并證明該 CA 對于 CSA 聯盟 Matter PKI 證書策略(CP)的合規性,其中包括了可幫助客戶滿足 Matter PKI CP 合規性的控制責任、制定證據收集計劃以滿足 Matter PKI 評估測試流程、以及向 CSA 聯盟說明控制的實施方法。
當客戶使用 Amazon Private CA 提供的 CA 基礎設施服務來簽發 Matter 證書時,應詳細制定實施計劃,并證明其符合 CSA 聯盟對于 Matter PKI CP 的要求。Matter PKI CP 不僅僅是個技術标準,它涵蓋了人員、流程和技術。
使用 Amazon Private CA
來滿足 Matter PKI CP 的要求
Amazon Private CA 是個 DSP,爲客戶創建 Matter CA 提供 CA 基礎設施服務。Amazon Private CA 已獲得國際标準化組織(ISO)27001 認證和系統和組織控制 2(SOC2)II 類認證,這滿足 CSA 聯盟的要求。客戶可以使用 Amazon Private CA 來創建符合 Matter PKI CP 要求的 CA,并簽發具備适當配置的 DAC 證書。作爲 DSP,Amazon Private CA 對 CSA 聯盟 Matter PKI CP 中的部分要求負責,但這并不意味着使用 Amazon Private CA 便會自動具備合規性,因此客戶有責任确保自己遵守 Matter PKI CP 的要求,包括針對所使用的必要或适用服務實施安全控制措施。
客戶可進一步使用亞馬遜雲科技的安全性、身份認證和合規性服務,包括 Amazon Identity and Access Management ( IAM ) 、Amazon CloudWatch、Amazon CloudTrail 和 Amazon Time Sync Service 等,來使客戶的 Matter CA 滿足 Matter PKI CP 的合規性要求。此外,Amazon Private CA 還提供示例 Amazon Cloud Development Kit(CDK)腳本和示例 Amazon CloudFormation 堆棧模闆,來幫助客戶搭建滿足 2022 年 12 月 19 日發布的 Matter PKI CP 要求的 Matter CA。
亞馬遜雲科技責任共擔模型
确保 CSA 聯盟 Matter PKI 的安全性是客戶和 Amazon Private CA 的共同責任。這種責任共擔模型有助于減輕客戶的運營負擔,這是因爲亞馬遜雲科技運營、管理和控制從 Amazon Private CA 服務自身到該服務運行所依托設備的物理安全性的各個環節,所以客戶僅需承擔使用 Amazon Private CA 的相關責任和管理工作,如邏輯訪問控制和其他技術設置(比如加密、日志、日志數據備份)等。
該責任共擔模型也擴展到了信息技術(IT)控制措施上。正如 IT 環境的運營責任由客戶和 Amazon Private CA 共同承擔,IT 控制措施的管理、運營和驗證的責任也是由雙方共同承擔。例如,Amazon Private CA 服務可以幫助客戶減輕物理基礎設施相關的運營控制負擔,這是因爲 Amazon Private CA 部署于亞馬遜雲科技的物理環境中,該物理基礎設施環境并不由客戶進行管理。客戶可以使用亞馬遜雲科技的控制和合規性文件,如亞馬遜雲科技 SOC 2 Type 2 報告等,來執行相關的控制評估和驗證流程。
客戶必須理解 CSA 聯盟的 Matter PKI CP 中的要求,這一點至關重要。維護 Amazon Private CA 之上的 Matter CA 環境并能證明其符合 Matter 要求是客戶的責任,包括那些未在亞馬遜雲科技上托管的 CA 系統組件,例如用于遠程連接到 Amazon Private CA 的工作站等。客戶應準備一份完整而準确的說明,說明各個 CA 及其關系,以及确定 CA 結構的理由,來幫助規劃和證明 Matter PKI CP 的合規性。例如,Matter PKI CP 合規性的評估要求會根據客戶的 CA 是供應商 ID(VID)— Scoped 的産品認證機構(PAA)還是非 VID-Scoped 的 PAA 而變化。圖 1 展示了客戶如何使用 Amazon Private CA 并配合客戶自身的控制措施來滿足 Matter PKI CP 的要求。
Amazon Private CA 服務的優勢
客戶使用 Amazon Private CA 服務可按需付費,大幅降低獲得 Matter 認證的成本。同時,Amazon Private CA 服務可減少客戶在搭建和運營符合 Matter 标準的 CA 系統上的工作量。此外,該服務提供安全的證書管理能力,爲托管于其中的 CA 證書提供強大的安全性,如使用 Fips 140-2 硬件設備來保護 CA 證書的私鑰,使用 Amazon IAM 進行細粒度的訪問控制以及使用 Amazon Cloudtrail 對 Amazon Private CA 的操作進行詳細的審計等。
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。