物联网（IoT）网络已经成为许多组织运营的标准部分。随着这些网络规模和复杂性的增加，管理它们变得越来越有挑战性，导致企业依赖第三方管理解决方案。由于设备阴影等功能，亚马逊网络服务（AWS）是其中最受欢迎的一个。

多年来，AWS一直是云服务的主导力量，至少自2017年以来，占了大约三分之一的市场。因此，许多公司使用AWS来管理他们的物联网网络，这带来了一些好处，但也引起了一些担忧。AWS的设备阴影服务也许是这种双重性的最好例子。

什么是物联网设备影子？

设备阴影服务旨在简化和改善网络上不同物联网设备之间的通信。它通过创建 "影子 "来做到这一点，"影子 "是云端的文件，可以作为一个特定设备的替身。这些文件使应用程序和服务即使在没有连接到AWS IoT的情况下也可以使用设备的状态。

如果一个设备有意或无意地与网络断开连接，它的状态仍将通过其阴影对其他设备和应用程序可见。因此，你仍然可以向断开连接的物联网端点发送命令。

设备阴影有两种形式：命名的和未命名的。有名的影子使用户能够将一个端点分成多个影子，每个影子代表一个不同的属性。未命名的阴影，每个设备只能有一个，在一个阴影中代表整个设备。

设备阴影的优势

物联网设备阴影有几个关键优势，都与改善设备之间的通信有关。这些对拥有大型物联网车队的组织特别有用，因为管理不同环境中的多个端点往往具有挑战性。

以下是对设备阴影最突出优点的详细介绍：

改善同步性

由于设备影子可以作为断开连接的设备的代理，它们可以改善大型网络的同步性。想象一下，你正在向你的组织的物联网网络发送一个新的安全更新。如果没有影子，每个设备都必须同时连接，以实现全网同步更新。

有了阴影，连接性就不再是那么突出的问题了。断开连接的设备的影子将接收更新，然后在设备重新连接后安装它。你将不必单独更新每个设备，这将是低效的，你也不必担心每个设备的连接性。

通过缓解连接问题，阴影有助于保持网络上所有设备的同步。低带宽或网络中断不会影响到同步。如果一个设备处于繁忙状态，而不仅仅是断开连接，这个过程也能发挥作用。

增加可视性

设备阴影也在你的物联网网络中创造了更多的可见性。传统上，如果一个设备断开连接，你将无法从另一个设备或应用程序中获得有关其状态的信息。由于影子将这些信息保存在云端，它们消除了这种障碍。

影子文件可以包含大量的数据。除了显示设备的当前和期望状态，它们还包括元数据，如时间戳。当你看一个设备影子时，你可以更全面地了解数据如何在你的物联网网络中流动。这可以通过揭示同步问题发生的地方等信息来帮助网络安全工作。

减少网络流量

阴影消除了从设备上请求信息以了解其状态的需要。因此，它们也减少了网络流量。影子能够在设备繁忙时保留命令，然后在空闲时发布命令，这进一步减少了流量。更少的流量反过来会提高安全性。

一个庞大的物联网网络同时运行许多命令，有可能使网络过载。由于阴影将这些命令的一些重量转移到云端，设备之间的通信仍然不受干扰。设备之间的中断较少，消除了网络犯罪分子进入网络的潜在机会，从而减少了漏洞。

加速应用程序的开发

即使设备标准和协议不统一，影子之间的通信也是统一的。物联网设备有超过21种不同的连接标准，还不包括它们可能还使用的几种安全协议。这种支离破碎的局面在传统上给大型物联网网络的应用开发带来了挑战，但影子简化了它。

影子为与不同设备的互动提供了一个统一的接口，使通信更加直接了当。应用程序只需使用一个REST API就可以向网络的任何部分发送命令。因此，你可以更快地为你的物联网网络开发新的应用程序和服务，实现更快的安全更新。

设备影子的安全顾虑

尽管设备阴影有很多好处，但它们仍然有一些挥之不去的安全问题。其中许多是可以缓解的，但没有意识到这些风险的用户可能会因为太快接受阴影而在他们的物联网网络中创造新的漏洞。以下是与使用设备影子有关的最紧迫的网络安全问题。

未经授权的访问

从网络安全的角度来看，设备影子最令人担忧的方面是它们扩大了设备的访问。物联网网络已经构成了潜在的风险，因为黑客可以利用看似平凡的设备作为进入你的网络的门路。阴影有可能使这种未经授权的访问变得更容易，因为它甚至使断开连接的设备也能以这种方式行事。

如果一个物联网设备断开了连接，你通常可能不会认为它对你的大网络构成威胁。如果该设备仍有一个在云端运行的影子，它的连接性几乎是不相关的。黑客仍然可以向它发送命令，只要它重新连接到网络就会生效。

这些未经授权的命令可能会被忽视，因为在不同的情况下，断开连接的设备不会是一个突出的威胁。虽然黑客可以向和通过影子发送的命令是有限的，但他们仍然可以造成损害。网络犯罪分子可以将设备打开或关闭，或停止所需的固件更新。

可用区的盲点

如果你的物联网网络扩展到一个大的地理区域，你可能会遇到来自AWS的可用性区域的安全问题。这些区域有助于划分网络和隔离问题，但它们会对设备阴影造成障碍。由于阴影只在单个可用区中起作用，其他区域的物联网设备将有盲点。

如果你在一个区域的部分网络出现了故障，你就无法通过设备阴影来解决。这些服务的所有好处将迅速减少，使受影响区域的设备处于弱势。

安全地使用设备影子

这些安全问题并没有使设备影子的使用变得太危险，但它们确实需要采取行动。实现设备阴影安全的最关键步骤是保持警惕。考虑到黑客利用影子控制你的物联网设备的可能性，你应该密切监控所有影子数据。

值得庆幸的是，影子的透明度使这一监测过程更加容易。你将能够看到任何悬而未决的命令，以及影子的更新历史，使其有可能隔离不寻常的行为。任何看起来不正常的网络活动都值得进一步关注。

AWS IoT上的所有连接都使用一个客户端ID，这是一个唯一的标识符，表明什么设备或用户正在发送数据或命令。如果你限制哪些客户端ID可以访问哪些类型的连接，你将减轻阴影对网络上其他物联网设备的影响。标准的物联网最佳实践，如网络分割和用户培训，将进一步帮助保护你的AWS物联网网络。

物联网网络产生了复杂的安全考虑因素

管理物联网网络需要在便利性和安全性之间取得平衡。像设备阴影这样的功能可以改善前者，但对后者有特殊考虑。当你扩展你的设备网络并使用这些功能时，记得考虑它们所有的安全影响并采取适当的行动。