إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
ينطبق على:
IoT Edge 1.5
هام
IoT Edge 1.5 LTS هو الإصدار المدعوم release. وصل IoT Edge 1.4 LTS إلى نهاية صلاحيته في 12 نوفمبر 2024. إذا كنت تستخدم إصدارا أقدم، راجع Update IoT Edge.
يعالج Azure IoT Edge المخاطر الكامنة في نقل بياناتك وتحليلاتك إلى الحافة الذكية. توازن معايير الأمان IoT Edge بين المرونة في سيناريوهات النشر المختلفة والحماية التي يتوقعها العملاء من خدمات Azure.
يعمل IoT Edge على أنواع ونماذج مختلفة من الأجهزة، ويدعم عدة أنظمة تشغيل، ويطبق على سيناريوهات نشر متنوعة. بدلا من تقديم حلول ملموسة لسيناريوهات محددة، فإن IoT Edge هو إطار أمني قابل للتوسعة يعتمد على مبادئ راسخة ومصممة للنطاق. يعتمد خطر سيناريو التوزيع على العديد من العوامل، بما في ذلك:
- ملكية الحل
- توزيع الجغرافيا
- حساسية البيانات
- الخصوصية
- عمودي للتطبيق
- المتطلبات التنظيمية
تقدم هذه المقالة نظرة عامة على إطار عمل أمان IoT Edge. لمزيد من المعلومات، راجع تأمين الحافة الذكية.
المعايير
تجعل المعايير التدقيق والتنفيذ أسهل، وهما من السمات المميزة للأمن. يجب أن يكون من السهل تقييم حل الأمان للثقة وعدم إعاقة النشر. يستخدم إطار تأمين Azure IoT Edge بروتوكولات أمان مثبتة للتعرف وإعادة الاستخدام.
المصادقة
عند نشر حل IoT، تحتاج إلى معرفة أن المستخدمين الموثوق بهم والأجهزة والوحدات النمطية فقط لديهم حق الوصول إلى الحل الخاص بك. المصادقة المعتمدة على الشهادات هي الآلية الأساسية للمصادقة لمنصة Azure IoT Edge. هذه الآلية مستمدة من مجموعة من المعايير التي تحكم البنية التحتية للمفتاح العام (PKiX) من قبل فرقة عمل هندسة الإنترنت (IETF).
يجب أن يكون لجميع الأجهزة والوحدات والممثلين الذين يتفاعلون مع جهاز Azure IoT Edge هويات شهادات فريدة. ينطبق هذا التوجيه سواء كانت التفاعلات فعلية أو من خلال اتصال شبكة. ليس كل سيناريو أو مكون قد يفسح المجال للمصادقة المستندة إلى الشهادة، لذلك توفر إمكانية توسع إطار الأمان بدائل آمنة.
لمزيد من المعلومات، راجع Azure IoT Edge استخدام الشهادة.
التصريح
ينص مبدأ الامتياز الأقل على أن المستخدمين ومكونات النظام يجب أن يكون لديهم حق الوصول فقط إلى الحد الأدنى من مجموعة الموارد والبيانات اللازمة لأداء أدوارهم. يجب أن تصل الأجهزة والوحدات النمطية والممثلون فقط إلى الموارد والبيانات ضمن نطاق الإذن الخاص بهم فقط عندما يكون مسموحا به من الناحية المعمارية. بعض الأذونات قابلة للتكوين بامتيازات كافية، بينما يتم فرض أذونات أخرى معماريا. على سبيل المثال، قد تكون بعض الوحدات مصرح لها بالاتصال ب Azure IoT Hub. ومع ذلك، لا يوجد سبب يجعل وحدة في جهاز IoT Edge واحد تصل إلى توأم وحدة في جهاز IoT Edge آخر.
تتضمن أنظمة التخويل الأخرى حقوق توقيع الشهادة والتحكم في الوصول المستند إلى الدور أو التحكم في الوصول استنادا إلى الدور.
إثبات
يضمن التصديق سلامة وحدات بت البرامج، وهو أمر مهم للكشف عن البرامج الضارة ومنعها. يصنف إطار عمل الأمان Azure IoT Edge التوثيق تحت ثلاث فئات رئيسية:
- إثبات ثابت
- إثبات وقت التشغيل
- إثبات البرنامج
إثبات ثابت
يتحقق التصديق الثابت من تكامل جميع البرامج على جهاز أثناء التشغيل، بما في ذلك نظام التشغيل وجميع أوقات التشغيل ومعلومات التكوين. نظرا لأن التصديق الثابت يحدث أثناء التشغيل، غالبا ما يشار إليه باسم التمهيد الآمن. يمتد إطار الأمان لأجهزة IoT Edge ليشمل الشركات المصنعة ويدمج قدرات الأجهزة الآمنة التي تضمن عمليات التحقق الثابتة. تتضمن هذه العمليات التمهيد الآمن وترقية البرامج الثابتة الآمنة. التعاون مع موردي السيليكون يلغي طبقات البرامج الثابتة غير الضرورية ويقلل من سطح التهديد.
إثبات وقت التشغيل
بمجرد أن يكمل النظام عملية تمهيد آمنة، يجب أن تكتشف الأنظمة المصممة جيدا محاولات حقن البرامج الضارة واتخاذ التدابير المضادة المناسبة. قد تستهدف هجمات البرامج الضارة منافذ النظام وواجهاته. إذا كان لدى الجهات الفاعلة الضارة حق الوصول الفعلي إلى جهاز، فقد تعبث بالجهاز نفسه أو تستخدم هجمات القناة الجانبية للوصول. لا يمكن الكشف عن مثل هذا السلوك الخاطئ، سواء كانت البرامج الضارة أو تغييرات التكوين غير المصرح بها، عن طريق التصديق الثابت لأنه يتم حقنه بعد عملية التمهيد. تساعد التدابير المضادة المستندة إلى الأجهزة على منع مثل هذه التهديدات. إطار الأمان ل IoT Edge يدعو صراحة إلى امتدادات تكافح تهديدات وقت التشغيل.
إثبات البرنامج
تحتاج جميع الأنظمة السليمة، بما في ذلك أنظمة الحافة الذكية، إلى تصحيحات وترقيات. الأمان مهم لعمليات التحديث، وإلا يمكن أن تكون متجهات تهديد محتملة. يتطلب إطار عمل أمان IoT Edge تحديثات عبر حزم مقاسة وموقعة لضمان سلامة الحزمة وتوثيق مصدرها. ينطبق هذا المعيار على جميع أنظمة التشغيل وبت برامج التطبيقات.
جذر الثقة في الأجهزة
بالنسبة للعديد من أجهزة الحافة الذكية، خاصة الأجهزة التي يمكن الوصول إليها فعليا من قبل الجهات الضارة المحتملة، فإن أمان الأجهزة هو الدفاع الأخير للحماية. تعد الأجهزة المقاومة للعبث أمرا بالغ الأهمية لمثل هذه عمليات التوزيع. يشجع Azure IoT Edge بائعي أجهزة السيليكون الآمنة على تقديم أنواع مختلفة من جذور الثقة في الأجهزة لاستيعاب ملفات المخاطر المختلفة وسيناريوهات النشر. قد تأتي ثقة الأجهزة من معايير بروتوكول الأمان الشائعة مثل الوحدة النمطية للنظام الأساسي الموثوق به (ISO/IEC 11889) ومحرك تكوين معرف الجهاز (DICE) لمجموعة الحوسبة الموثوق بها. كما توفر تقنيات الجيب الآمن مثل TrustZones وملحقات Software Guard (SGX) ثقة الأجهزة.
الشهادة
لمساعدة العملاء على اتخاذ قرارات مستنيرة عند شراء أجهزة Azure IoT Edge لنشرهم، يتضمن إطار عمل IoT Edge متطلبات الشهادة. أسس هذه المتطلبات هي الشهادات المتعلقة بمطالبات الأمان والشهادات المتعلقة بالتحقق من صحة تنفيذ الأمان. على سبيل المثال، تعني شهادة مطالبة الأمان أن جهاز IoT Edge يستخدم أجهزة آمنة معروفة بمقاومة هجمات الإقلاع. تعني شهادة التحقق من الصحة أنه تم تنفيذ الأجهزة الآمنة بشكل صحيح لتقديم هذه القيمة في الجهاز. يحتفظ إطار العمل بعبء الشهادة بالحد الأدنى لتتماشى مع مبدأ البساطة.
التشفير في حالة السكون
يوفر التشفير الثابت حماية البيانات للبيانات المخزنة. تتضمن الهجمات على البيانات الثابتة محاولات للوصول الفعلي إلى الأجهزة حيث يتم تخزين البيانات، ثم اختراق البيانات المضمنة. يمكنك استخدام تشفير التخزين لحماية البيانات المخزنة على الجهاز. يحتوي Linux على العديد من الخيارات للتشفير في حالة الثبات. اختر الخيار الذي يناسب احتياجاتك على أفضل نحو. بالنسبة ل Windows، Windows BitLocker هو الخيار الموصى به للتشفير في حالة الراحة.
إمكانية التوسعة
مع تقنية IoT التي تقود أنواعا مختلفة من تحويلات الأعمال، يجب أن يتطور الأمان بالتوازي لمعالجة السيناريوهات الناشئة. يبدأ إطار عمل الأمان Azure IoT Edge بأساس قوي ويبني قابلية التوسعة إلى أبعاد مختلفة، بما في ذلك:
- خدمات الأمان من الطرف الأول، مثل خدمة توفير الأجهزة ل Azure IoT Hub.
- خدمات الجهات الخارجية مثل خدمات الأمان المدارة لعموديات التطبيقات المختلفة (مثل الرعاية الصناعية أو الصحية) أو التركيز على التكنولوجيا (مثل مراقبة الأمان في شبكات الشبكة، أو خدمات إثبات أجهزة السيليكون) من خلال شبكة غنية من الشركاء.
- الأنظمة القديمة، بما في ذلك التعافي مع استراتيجيات الأمان البديلة مثل استخدام تقنية آمنة بخلاف الشهادات للمصادقة وإدارة الهوية.
- أجهزة آمنة لاعتماد تقنيات الأجهزة الآمنة الناشئة ومساهمات شركاء السيليكون.
يتطلب تأمين الحافة الذكية مساهمات تعاونية من مجتمع مفتوح مدفوعا باهتمام مشترك بتأمين إنترنت الأشياء. وقد تكون هذه المساهمات في شكل تكنولوجيات أو خدمات آمنة. يوفر إطار عمل الأمان Azure IoT Edge أساسا قويا للأمان يمكن توسيعه لتحقيق أقصى تغطية لتوفير نفس مستوى الثقة والنزاهة في الحافة الذكية كما هو الحال مع سحابة Azure.
الخطوات التالية
اقرأ المزيد عن كيفية Azure IoT Edge تأمين الحافة الذكية.