物聯網（IoT）網絡已經成為許多組織運營的標準部分。隨著這些網絡規模和復雜性的增加，管理它們變得越來越有挑戰性，導致企業依賴第三方管理解決方案。

　　什么是物聯網設備影子？

　　設備陰影服務旨在簡化和改善網絡上不同物聯網設備之間的通信。它通過創建 "影子 "來做到這一點，"影子 "是云端的文件，可以作為一個特定設備的替身。

　　如果一個設備有意或無意地與網絡斷開連接，它的狀態仍將通過其陰影對其他設備和應用程序可見。因此，你仍然可以向斷開連接的物聯網端點發送命令。

　　設備陰影有兩種形式：命名的和未命名的。有名的影子使用戶能夠將一個端點分成多個影子，每個影子代表一個不同的屬性。未命名的陰影，每個設備只能有一個，在一個陰影中代表整個設備。

　　設備陰影的優勢

　　物聯網設備陰影有幾個關鍵優勢，都與改善設備之間的通信有關。這些對擁有大型物聯網車隊的組織特別有用，因為管理不同環境中的多個端點往往具有挑戰性。

　　以下是對設備陰影最突出優點的詳細介紹：

　　改善同步性

　　由于設備影子可以作為斷開連接的設備的代理，它們可以改善大型網絡的同步性。想象一下，你正在向你的組織的物聯網網絡發送一個新的安全更新。如果沒有影子，每個設備都必須同時連接，以實現全網同步更新。

　　有了陰影，連接性就不再是那么突出的問題了。斷開連接的設備的影子將接收更新，然后在設備重新連接后安裝它。你將不必單獨更新每個設備，這將是低效的，你也不必擔心每個設備的連接性。

　　通過緩解連接問題，陰影有助于保持網絡上所有設備的同步。低帶寬或網絡中斷不會影響到同步。如果一個設備處于繁忙狀態，而不僅僅是斷開連接，這個過程也能發揮作用。

　　增加可視性

　　設備陰影也在你的物聯網網絡中創造了更多的可見性。傳統上，如果一個設備斷開連接，你將無法從另一個設備或應用程序中獲得有關其狀態的信息。由于影子將這些信息保存在云端，它們消除了這種障礙。

　　影子文件可以包含大量的數據。除了顯示設備的當前和期望狀態，它們還包括元數據，如時間戳。當你看一個設備影子時，你可以更全面地了解數據如何在你的物聯網網絡中流動。這可以通過揭示同步問題發生的地方等信息來幫助網絡安全工作。

　　減少網絡流量

　　陰影消除了從設備上請求信息以了解其狀態的需要。因此，它們也減少了網絡流量。影子能夠在設備繁忙時保留命令，然后在空閑時發布命令，這進一步減少了流量。更少的流量反過來會提高安全性。

　　一個龐大的物聯網網絡同時運行許多命令，有可能使網絡過載。由于陰影將這些命令的一些重量轉移到云端，設備之間的通信仍然不受干擾。設備之間的中斷較少，消除了網絡犯罪分子進入網絡的潛在機會，從而減少了漏洞。

　　加速應用程序的開發

　　即使設備標準和協議不統一，影子之間的通信也是統一的。物聯網設備有超過21種不同的連接標準，還不包括它們可能還使用的幾種安全協議。這種支離破碎的局面在傳統上給大型物聯網網絡的應用開發帶來了挑戰，但影子簡化了它。

　　影子為與不同設備的互動提供了一個統一的接口，使通信更加直接了當。應用程序只需使用一個REST API就可以向網絡的任何部分發送命令。因此，你可以更快地為你的物聯網網絡開發新的應用程序和服務，實現更快的安全更新。

　　設備影子的安全顧慮

　　盡管設備陰影有很多好處，但它們仍然有一些揮之不去的安全問題。其中許多是可以緩解的，但沒有意識到這些風險的用戶可能會因為太快接受陰影而在他們的物聯網網絡中創造新的漏洞。以下是與使用設備影子有關的最緊迫的網絡安全問題。

　　未經授權的訪問

　　從網絡安全的角度來看，設備影子最令人擔憂的方面是它們擴大了設備的訪問。物聯網網絡已經構成了潛在的風險，因為黑客可以利用看似平凡的設備作為進入你的網絡的門路。陰影有可能使這種未經授權的訪問變得更容易，因為它甚至使斷開連接的設備也能以這種方式行事。

　　如果一個物聯網設備斷開了連接，你通常可能不會認為它對你的大網絡構成威脅。如果該設備仍有一個在云端運行的影子，它的連接性幾乎是不相關的。黑客仍然可以向它發送命令，只要它重新連接到網絡就會生效。

　　這些未經授權的命令可能會被忽視，因為在不同的情況下，斷開連接的設備不會是一個突出的威脅。雖然黑客可以向和通過影子發送的命令是有限的，但他們仍然可以造成損害。網絡犯罪分子可以將設備打開或關閉，或停止所需的固件更新。

　　可用區的盲點

　　如果你的物聯網網絡擴展到一個大的地理區域，你可能會遇到來自AWS的可用性區域的安全問題。這些區域有助于劃分網絡和隔離問題，但它們會對設備陰影造成障礙。由于陰影只在單個可用區中起作用，其他區域的物聯網設備將有盲點。

　　如果你在一個區域的部分網絡出現了故障，你就無法通過設備陰影來解決。這些服務的所有好處將迅速減少，使受影響區域的設備處于弱勢。

　　安全地使用設備影子

　　這些安全問題并沒有使設備影子的使用變得太危險，但它們確實需要采取行動。實現設備陰影安全的最關鍵步驟是保持警惕。考慮到黑客利用影子控制你的物聯網設備的可能性，你應該密切監控所有影子數據。

　　值得慶幸的是，影子的透明度使這一監測過程更加容易。你將能夠看到任何懸而未決的命令，以及影子的更新歷史，使其有可能隔離不尋常的行為。任何看起來不正常的網絡活動都值得進一步關注。

　　IoT上的所有連接都使用一個客戶端，這是一個唯一的標識符，表明什么設備或用戶正在發送數據或命令。如果你限制哪些客戶端ID可以訪問哪些類型的連接，你將減輕陰影對網絡上其他物聯網設備的影響。標準的物聯網最佳實踐，如網絡分割和用戶培訓，將進一步幫助保護你的AWS物聯網網絡。

　　物聯網網絡產生了復雜的安全考慮因素

　　管理物聯網網絡需要在便利性和安全性之間取得平衡。像設備陰影這樣的功能可以改善前者，但對后者有特殊考慮。當你擴展你的設備網絡并使用這些功能時，記得考慮它們所有的安全影響并采取適當的行動。