تأمين حلول IoT الخاصة بك

تتيح لك حلول IoT الاتصال بأجهزة وأصول IoT ومراقبتها والتحكم فيها على نطاق واسع. في الحل المتصل بالسحابة، تتصل الأجهزة والأصول مباشرة بالسحابة. في الحل المتصل بالحافة، تتصل الأجهزة والأصول ببيئة تشغيل حافية. يجب عليك تأمين الأصول والأجهزة المادية والبنية الأساسية للحافة والخدمات السحابية لحماية حل IoT الخاص بك من التهديدات. يجب عليك أيضا تأمين البيانات التي تتدفق عبر حل IoT الخاص بك، سواء كان على الحافة أو في السحابة.

توفر هذه المقالة إرشادات حول كيفية تأمين حل IoT الخاص بك على أفضل نحو. يتضمن كل قسم ارتباطات إلى محتوى يوفر المزيد من التفاصيل والإرشادات.

الحل المتصل بالحافة

يوضح الرسم البياني التالي عرضا على مستوى عال للمكونات في حل إنترنت الأشياء النموذجي المتصل بالحواف. تركز هذه المقالة على أمان حل إنترنت الأشياء المتصل بالحواف:

في حل إنترنت الأشياء المتصل بالحواف، يمكنك تقسيم الأمان إلى أربعة مجالات تالية:

• أمان الأصول: تأمين أصل IoT أثناء توزيعه في أماكن العمل.

• أمان الاتصال: تأكد من أن جميع البيانات أثناء النقل بين الأصول والحافة والخدمات السحابية سرية وخالية من العبث.

• أمان الحافة: قم بتأمين بياناتك أثناء انتقالها، ويتم تخزينها على الحافة.

• أمان السحابة: قم بتأمين بياناتك أثناء انتقالها، ويتم تخزينها في السحابة.

Microsoft Defender for IoT وللحاويات

Microsoft Defender for IoT هو حل أمني موحد صمم خصيصا لتحديد أجهزة إنترنت الأشياء وتقنيات التشغيل (OT) وثغراتها وتهديداتها. Microsoft Defender for Containers هو حل سحابي أصلي لتحسين ومراقبة وصيانة أمان أصولك المحوطة بالحاويات (عناقيد Kubernetes، عقد Kubernetes، أحمال عمل Kubernetes، سجلات الحاويات، صور الحاويات والمزيد)، وتطبيقاتها عبر البيئات السحابية المتعددة والبيئات المحلية.

يمكن لكل من Defender for IoT و Defender for Containers مراقبة بعض التوصيات الواردة في هذا المقال تلقائيا. يجب أن تكون Defender for IoT و Defender for Containers خط الدفاع الأمامي لحماية حلك المتصل بالحواف. لمعرفة المزيد، راجع:

• Microsoft Defender للحاويات - نظرة عامة
• Microsoft Defender for IoT للمنظمات - نظرة عامة.

أمان الأصول

يوفر هذا القسم إرشادات حول كيفية تأمين أصولك، مثل المعدات الصناعية وأجهزة الاستشعار والأجهزة الأخرى التي تعد جزءا من حل IoT الخاص بك. ويعتبر أمن الأصل أمرا بالغ الأهمية لضمان سلامة وسرية البيانات التي يولدها ويرسلها.

• استخدم Azure Key Vault وامتداد المخزن السري: استخدم Azure Key Vault لتخزين وإدارة المعلومات الحساسة للأصل مثل المفاتيح، كلمات المرور، الشهادات، والأسرار. يستخدم Azure IoT Operations Azure Key Vault كحل للخزنة المدارة على السحابة، ويستخدم Azure Key Vault امتداد المتجر السري للعبة Kubernetes لمزامنة الأسرار من السحابة وتخزينها على الحافة كأسرار Kubernetes. لمعرفة المزيد، راجع إدارة الأسرار لنشرك Azure IoT Operations.

• إعداد إدارة الشهادات الآمنة: تعد إدارة الشهادات أمرا بالغ الأهمية لضمان الاتصال الآمن بين الأصول وبيئة وقت تشغيل الحافة. يوفر Azure IoT Operations أدوات لإدارة الشهادات، بما في ذلك إصدار وتجديد وإلغاء الشهادات. لمعرفة المزيد، راجع إدارة الشهادات للاتصال الداخلي Azure IoT Operations.

• حدد أجهزة مقاومة للعبث: اختر أجهزة الأصول ذات الآليات المضمنة للكشف عن العبث المادي، مثل فتح غطاء الجهاز أو إزالة جزء من الجهاز. يمكن أن تكون إشارات العبث هذه جزءا من دفق البيانات الذي تم تحميله إلى السحابة، وتنبيه المشغلين إلى هذه الأحداث.

• تمكين التحديثات الآمنة للبرامج الثابتة للأصول: استخدم الخدمات التي تمكن التحديثات عبر الهواء لأصولك. إنشاء أصول مع مسارات آمنة للتحديثات وضمان التشفير لإصدارات البرامج الثابتة لتأمين أصولك أثناء التحديثات وبعدها.

• توزيع أجهزة الأصول بشكل آمن: تأكد من أن نشر أجهزة الأصول مقاوم للعبث قدر الإمكان، خاصة في المواقع غير الآمنة مثل الأماكن العامة أو الأماكن المحلية غير الخاضعة للإشراف. قم فقط بتمكين الميزات الضرورية لتقليل بصمة الهجوم المادي، مثل تغطية منافذ USB بأمان إذا لم تكن هناك حاجة إليها.

• اتبع أفضل ممارسات أمان الشركة المصنعة للجهاز ونشره: إذا كانت الشركة المصنعة للجهاز توفر إرشادات الأمان والتوزيع، فاتبع هذه الإرشادات مع الإرشادات العامة الواردة في هذه المقالة.

أمان الاتصال

يوفر هذا القسم إرشادات حول كيفية تأمين الاتصالات بين أصولك وبيئة وقت تشغيل الحافة والخدمات السحابية. ويعد أمان الاتصالات أمرا بالغ الأهمية لضمان سلامة البيانات المرسلة وسريتها.

• استخدم أمان طبقة النقل (TLS) لتأمين الاتصالات من الأصول: يتم تشفير جميع الاتصالات داخل Azure IoT Operations باستخدام TLS. لتوفير تجربة آمنة افتراضية تقلل من التعرض غير المقصود لحلك المتصل بالحافة للمهاجمين، يتم نشر Azure IoT Operations مع CA جذر افتراضي ومصدر لشهادات خوادم TLS. لنشر الإنتاج، نوصي باستخدام مصدر CA الخاص بك وحل PKI للمؤسسة.

• إحضار المرجع المصدق الخاص بك للإنتاج: بالنسبة إلى عمليات نشر الإنتاج، استبدل المرجع المصدق الجذر الافتراضي الموقع ذاتيا بمصدر CA الخاص بك ودمجه مع PKI للمؤسسة لضمان الثقة والتوافق. لمعرفة المزيد، راجع إدارة الشهادات للاتصال الداخلي Azure IoT Operations.

• فكر في استخدام جدران الحماية أو البروكسيات المؤسسية لإدارة حركة المرور الصادرة: إذا كنت تستخدم جدران حماية أو بروكسيات للمؤسسات، أضف Azure IoT Operations endpoints إلى قائمة التسميح الخاصة بك.

• تشفير نسبة استخدام الشبكة الداخلية لوسيط الرسائل: يعد ضمان أمان الاتصالات الداخلية داخل البنية الأساسية للحافة أمرا مهما للحفاظ على سلامة البيانات وسريتها. يجب عليك تكوين وسيط MQTT لتشفير حركة المرور الداخلية والبيانات أثناء النقل بين الواجهة الأمامية للوسيط MQTT ووحدات الواجهة الخلفية. لمعرفة المزيد، راجع تكوين تشفير حركة المرور الداخلية للوسيط والشهادات الداخلية.

• قم بتكوين TLS مع إدارة شهادات تلقائية للمستمعين في وسيط MQTT الخاص بك: يوفر Azure IoT Operations إدارة تلقائية للشهادات للمستمعين في وسيط MQTT الخاص بك. تقلل هذه الإمكانية من النفقات الإدارية لإدارة الشهادات يدويا، وتضمن التجديدات في الوقت المناسب، وتساعد على الحفاظ على الامتثال لسياسات الأمان. لمعرفة المزيد، راجع اتصال وسيط MQTT الآمن باستخدام BrokerListener.

• إعداد اتصال آمن بخادم OPC UA: عند الاتصال بخادم OPC UA، يجب تحديد خوادم OPC UA التي تثق بها لإنشاء جلسة عمل معها بشكل آمن. لمعرفة المزيد، راجع تكوين البنية الأساسية لشهادات OPC UA لموصل OPC UA.

• عزل الشبكات وتقسيمها: استخدم تجزئة الشبكة وجدران الحماية لعزل مجموعات عمليات IoT وأجهزة الحافة عن موارد الشبكة الأخرى. أضف نقاط النهاية المطلوبة إلى قائمة السماح الخاصة بك إذا كنت تستخدم جدران حماية المؤسسة أو الوكلاء. لمعرفة المزيد، راجع إرشادات توزيع الإنتاج - الشبكات.

أمان Edge

يوفر هذا القسم إرشادات حول كيفية تأمين بيئة وقت تشغيل الحافة، وهو البرنامج الذي يعمل على النظام الأساسي للحافة. يعالج هذا البرنامج بيانات الأصول الخاصة بك ويدير الاتصال بين أصولك والخدمات السحابية. يعد أمان بيئة وقت تشغيل الحافة أمرا بالغ الأهمية لضمان سلامة وسرية البيانات التي تتم معالجتها وإرسالها.

• احتفظ ببيئة تشغيل الحافة up-to-date: حافظ على النشر Azure IoT Operationsup-toمع أحدث التصحيحات والإصدارات الثانوية للحصول على جميع إصلاحات الأمان والأخطاء المتاحة. بالنسبة لعمليات النشر الإنتاجية، إيقاف الترقية التلقائية ل Azure Arc ليكون لديك تحكم كامل في متى يتم تطبيق التحديثات الجديدة على العنقود. بدلا من ذلك، ترقية العوامل يدويا حسب الحاجة.

• تحقق من سلامة صور الحاوية والخوذة: قبل نشر أي صورة في مجموعتك، تحقق من أن الصورة موقعة من قبل Microsoft. لمعرفة المزيد، راجع التحقق من صحة توقيع الصورة.

• استخدم دائما شهادات X.509 أو رموز حساب خدمة Kubernetes للمصادقة مع وسيط MQTT: يدعم وسيط MQTT أساليب مصادقة متعددة للعملاء. يمكنك تكوين كل منفذ وحدة استماع للحصول على إعدادات المصادقة الخاصة به باستخدام مورد BrokerAuthentication. لمعرفة المزيد، راجع تكوين مصادقة وسيط MQTT.

• توفير أقل امتياز مطلوب لأصل الموضوع في وسيط MQTT: تحدد نهج التخويل الإجراءات التي يمكن للعملاء تنفيذها على الوسيط، مثل الاتصال أو النشر أو الاشتراك في الموضوعات. قم بتكوين وسيط MQTT لاستخدام نهج تخويل واحد أو عدة نهج مع مورد BrokerAuthorization. لمعرفة المزيد، راجع تكوين تخويل وسيط MQTT.

أمان السحابة

يوفر هذا القسم إرشادات حول كيفية تأمين خدمات السحابة الخاصة بك، وهي الخدمات التي تعالج بيانات الأصول وتخزنها. يعد أمان الخدمات السحابية أمرا بالغ الأهمية لضمان سلامة بياناتك وسريتها.

• استخدام الهويات المدارة المعينة من قبل المستخدم للاتصالات السحابية: استخدم دائما مصادقة الهوية المدارة. عندما يكون ذلك ممكنا، استخدم الهوية المدارة المعينة من قبل المستخدم في نقاط نهاية تدفق البيانات من أجل المرونة وإمكانية التدقيق. لمعرفة المزيد، راجع تفعيل الإعدادات الآمنة في Azure IoT Operations.

• نشر موارد الملاحظة وإعداد السجلات: توفر الملاحظة رؤية لكل طبقة من تكوين Azure IoT Operations الخاص بك. فهو يمنحك نظرة ثاقبة على السلوك الفعلي للمشكلات، ما يزيد من فعالية هندسة موثوقية الموقع. يوفر Azure IoT Operations قابلية الملاحظة من خلال لوحات Grafana المنسقة خصيصا والتي تستضاف في Azure. تعمل هذه اللوحات بواسطة خدمة Azure Monitor المدارة لصالح Prometheus وContainer Insights. نشر موارد الملاحظة على عنقودك قبل نشر Azure IoT Operations.

• آمن الوصول إلى الأصول ونقاط نهاية الأصول باستخدام Azure RBAC: الأصول ونقاط نهاية الأصول في Azure IoT Operations لها تمثيلات في كل من عنقود Kubernetes وبوابة Azure. استخدم Azure RBAC لتأمين الوصول إلى هذه الموارد. Azure RBAC هو نظام تفويض يتيح لك إدارة الوصول إلى موارد Azure. استخدم Azure RBAC لمنح الأذونات للمستخدمين والمجموعات والتطبيقات عند نطاق معين. لمعرفة المزيد، راجع الوصول الآمن إلى الأصول ونقاط نهاية الأصول.

الحل المتصل بالسحابة

يوضح الرسم البياني التالي عرضا عاما للمكونات في حل إنترنت الأشياء النموذجي المتصل بالسحابة. تركز هذه المقالة على الأمان في حل إنترنت الأشياء المتصل بالسحابة:

في حل إنترنت الأشياء المتصل بالسحابة، يمكنك تقسيم الأمان إلى ثلاثة مجالات كالتالي:

• أمان الجهاز: تأمين جهاز IoT أثناء نشره في أماكن العمل.

• أمان الاتصال: تأكد من أن جميع البيانات المرسلة بين جهاز IoT وخدمات سحابة IoT سرية وخالية من العبث.

• أمان السحابة: قم بتأمين بياناتك أثناء انتقالها، ويتم تخزينها في السحابة.

تساعدك التوصيات الواردة في هذه المقالة على الوفاء بالالتزامات الأمنية الموضحة في نموذج المسؤولية المشتركة.

Microsoft Defender for IoT

يراقب Microsoft Defender for IoT تلقائيا بعض التوصيات الواردة في هذا المقال. يقوم Microsoft Defender for IoT بتحليل حالة الأمان لموارد Azure الخاصة بك بشكل دوري لتحديد الثغرات الأمنية المحتملة ثم يقدم توصيات حول كيفية معالجتها. لمعرفة المزيد، راجع:

• ما هو Microsoft Defender for IoT للمنظمات؟
• ما هو Microsoft Defender for IoT لبناة الأجهزة؟
• تعزيز الوضع الأمني مع توصيات الأمان.

أمان الجهاز

يوفر هذا القسم إرشادات حول كيفية تأمين أجهزة IoT، وهي مكونات الأجهزة التي تجمع البيانات وترسلها. يعد أمان الجهاز أمرا بالغ الأهمية لضمان سلامة وسرية البيانات التي يقوم بإنشائه ونقلها.

• نطاق الأجهزة إلى الحد الأدنى من المتطلبات: حدد جهاز الجهاز الخاص بك لتضمين الحد الأدنى من الميزات المطلوبة لتشغيله، وليس أكثر من ذلك. على سبيل المثال، قم بتضمين منافذ USB فقط إذا كانت ضرورية لتشغيل الجهاز في الحل الخاص بك. يمكن أن تعرض الميزات الإضافية الجهاز لنواقل الهجوم غير المرغوب فيها.

• حدد الأجهزة المقاومة للعبث: حدد أجهزة الجهاز ذات الآليات المضمنة للكشف عن العبث المادي، مثل فتح غطاء الجهاز أو إزالة جزء من الجهاز. يمكن أن تكون إشارات العبث هذه جزءا من دفق البيانات الذي تم تحميله إلى السحابة، والذي يمكن أن ينبه المشغلين إلى هذه الأحداث.

• حدد الأجهزة الآمنة: إذا كان ذلك ممكنا، فاختر أجهزة الجهاز التي تتضمن ميزات الأمان مثل وظائف التخزين والتمهيد الآمنة والمشفرة استنادا إلى وحدة النظام الأساسي الموثوق بها. تجعل هذه الميزات الأجهزة أكثر أمانا وتساعد على حماية البنية الأساسية الشاملة لـ IoT.

• تفعيل التحديثات الآمنة: استخدم خدمات مثل تحديث الأجهزة ل IoT Hub لتحديثات عبر الهواء لأجهزة إنترنت الأشياء الخاصة بك. إنشاء أجهزة بمسارات آمنة للتحديثات وضمان التشفير لإصدارات البرامج الثابتة لتأمين أجهزتك أثناء التحديثات وبعدها.

• اتبع منهجية تطوير البرامج الآمنة: يتطلب منك تطوير البرامج الآمنة مراعاة الأمان منذ بداية المشروع طوال الطريق من خلال التنفيذ والاختبار والنشر. يوفر Microsoft Security Development Lifecycle نهجا خطوة بخطوة لبناء برمجيات آمنة.

• استخدام SDKs للجهاز كلما أمكن ذلك: تنفذ مجموعات SDK الخاصة بالجهاز ميزات أمان مختلفة مثل التشفير والمصادقة التي تساعدك على تطوير تطبيقات قوية وآمنة للجهاز. لمعرفة المزيد، راجع Azure IoT SDKs.

• اختيار البرامج مفتوحة المصدر بعناية: توفر البرامج مفتوحة المصدر فرصة لتطوير الحلول بسرعة. عند اختيار برنامج مفتوح المصدر، ضع في اعتبارك مستوى نشاط المجتمع لكل مكون مفتوح المصدر. يضمن المجتمع النشط دعم البرنامج واكتشاف المشكلات وإصلاحها. قد لا يتم دعم مشروع برنامج مفتوح المصدر غامض وغير نشط، ومن غير المحتمل اكتشاف المشكلات.

• توزيع الأجهزة بشكل آمن: قد تتطلب منك عمليات توزيع IoT نشر الأجهزة في مواقع غير آمنة، كما هو الحال في الأماكن العامة أو الأماكن المحلية غير الخاضعة للإشراف. في هذه الحالات، اجعل نشر الأجهزة إثباتا للعبث قدر الإمكان، وتمكين الميزات الضرورية فقط لتقليل بصمة الهجوم المادي.

• تخزين بيانات الاعتماد في وحدات أمان الأجهزة (HSMs): استخدم HSMs لتخزين أسرار الجهاز بشكل آمن، مثل المفاتيح والشهادات الخاصة، للحماية من الاستخراج والعبث. لمعرفة المزيد، راجع IoT Hub X.509 المصادقة، DPS HSM guidance، و IoT Edge Security manager.

• تدوير مفاتيح الجهاز والشهادات بانتظام: قم بتدوير بيانات الاعتماد بانتظام، خاصة بعد الخرق أو انتهاء الصلاحية، لتقليل مخاطر الوصول غير المصرح به. لمعرفة المزيد، راجع كيفية لف الشهادات في DPS وإدارة شهادات IoT Central X.509.

• التحديث والتصحيح: حافظ على تحديث جميع أوقات التشغيل وSDKs ومكونات نظام التشغيل بأحدث تصحيحات الأمان والتحديثات. لمعرفة المزيد، راجع IoT Edge تحديث الإرشادات.

• الحماية من النشاط الضار: إذا سمح نظام التشغيل بذلك، فقم بتثبيت أحدث إمكانيات مكافحة الفيروسات والبرامج الضارة على كل نظام تشغيل جهاز.

• التدقيق بشكل متكرر: تدقيق البنية الأساسية ل IoT لمشكلات الأمان لتمكينك من الاستجابة للحوادث الأمنية. توفر معظم أنظمة التشغيل تسجيل الأحداث المضمن. راجع السجلات بشكل متكرر للتحقق من الخروقات الأمنية. يمكن للجهاز إرسال معلومات التدقيق كتدفق بيانات منفصل إلى الخدمة السحابية، حيث يمكنك تحليلها.

• اتبع أفضل ممارسات أمان الشركة المصنعة للجهاز ونشره: إذا كانت الشركة المصنعة للجهاز توفر إرشادات الأمان والتوزيع، فاتبع هذه الإرشادات مع الإرشادات العامة الواردة في هذه المقالة.

• استخدم بوابة حقل لتوفير خدمات الأمان للأجهزة القديمة أو المقيدة: قد تفتقر الأجهزة القديمة والمقيدة إلى القدرة على تشفير البيانات أو الاتصال بالإنترنت أو توفير تدقيق متقدم. في هذه الحالات، يمكن لبوابة الحقل الحديثة والآمنة تجميع البيانات من الأجهزة القديمة وتوفير الأمان اللازم لتوصيل هذه الأجهزة عبر الإنترنت. يمكن استخدام جهاز IoT Edge كبوابة ويوفر مصادقة آمنة، وتفاوض على الجلسات المشفرة، واستلام الأوامر من السحابة، والعديد من ميزات الأمان الأخرى. يمكن ل Azure Sphere أن تعمل كوحدة حارس لتأمين أجهزة أخرى، بما في ذلك الأنظمة القديمة الحالية غير المصممة للاتصال الموثوق.

• تشفير البيانات في وقت الراحة: استخدم التشفير على مستوى نظام التشغيل، مثل BitLocker ل Windows، لتخزين الأجهزة والحافة لحماية البيانات إذا فقدت أو سرقت الأجهزة. لمعرفة المزيد، راجع IoT Edge security.

أمان الاتصال

يوفر هذا القسم إرشادات حول كيفية تأمين الاتصالات بين أجهزة IoT والخدمات السحابية. ويعد أمان الاتصالات أمرا بالغ الأهمية لضمان سلامة البيانات المرسلة وسريتها.

• استخدم شهادات X.509 لتوثيق أجهزتك إلى IoT Hub أو IoT Central: IoT Hub وIoT Central يدعمان شهادات X509 للمصادقة على الأجهزة. استخدم المصادقة المستندة إلى X509 في بيئات الإنتاج لأنها توفر أمانا أكبر من المفاتيح المتماثلة. لمعرفة المزيد، راجع مصادقة جهاز إلى IoT Hub و مفاهيم مصادقة الأجهزة في IoT Central.

• تجنب المفاتيح المتماثلة المشتركة: إذا كنت تستخدم مفاتيح متماثلة، فلا تشارك المفاتيح المتماثلة عبر الأجهزة. يحتاج كل جهاز إلى بيانات اعتماد فريدة لمنع اختراق واسع النطاق إذا تم تسريب مفتاح. لمعرفة المزيد، راجع ممارسات الأمان للشركات المصنعة للأجهزة.

• Use Transport Layer Security (TLS) 1.2 لتأمين الاتصالات من الأجهزة: تستخدم شركتا IoT Hub وIoT Central TLS لتأمين الاتصالات من أجهزة وخدمات إنترنت الأشياء. يتم حاليا دعم ثلاثة إصدارات من بروتوكول TLS: 1.0 و1.1 و1.2. تعتبر TLS 1.0 و1.1 قديمة. لمعرفة المزيد، راجع دعم Transport Layer Security (TLS) في IoT Hub ودعم TLS في خدمة توفير الأجهزة (DPS) Azure IoT Hub.

• استخدم مجموعات التشفير القوية واحتفظ بشهادات المرجع المصدق الجذري محدثة: تحديث مجموعات التشفير وشهادات الجذر الموثوق بها بانتظام للحفاظ على الاتصالات الآمنة. لمعرفة المزيد، راجع IoT Hub TLS support.

• تأكد من أن لديك طريقة لتحديث شهادة جذر TLS على أجهزتك: تستمر شهادات جذر TLS لفترة طويلة، ولكن يمكن أن تنتهي صلاحيتها أو يمكن إبطالها. إذا لم تتمكن من تحديث الشهادة على الجهاز، فقد لا يتمكن الجهاز من الاتصال ب IoT Hub أو IoT Central أو أي خدمة سحابية أخرى في وقت لاحق. لمعرفة المزيد، راجع كيفية لف شهادات جهاز X.509.

• فكر في استخدام Azure Private Link: Azure Private Link يتيح لك توصيل أجهزتك بنقطة نهاية خاصة على شبكتك الافتراضية، مما يتيح لك حظر الوصول إلى نقاط النهاية العامة المواجهة للأجهزة في مركز إنترنت الأشياء الخاص بك. لمعرفة المزيد، راجع Ingress الاتصال ب IoT Hub باستخدام Azure Private Link و Network Security for IoT Central باستخدام نقاط النهاية الخاصة.

• تقييد الوصول إلى الشبكة: استخدم تصفية IP للحد من الوصول إلى المصادر والشبكات الموثوق بها. لمعرفة المزيد، راجع IoT Hub تصفية IP، IoT Central الخاصة بنقاط الطرف، و DPS IP filtering.

• تعطيل الوصول إلى الشبكة العامة إذا لم يكن مطلوبا: منع التعرض للإنترنت العام عن طريق تعطيل نقاط النهاية العامة عندما تتمكن من ذلك. لمعرفة المزيد، راجع IoT Hub الوصول إلى الشبكة العامة و DPS public network access.

• عزل الأجهزة والخدمات الطرفية في قطاعات الشبكة الآمنة: استخدم تقسيم الشبكة وجدران الحماية لعزل الأجهزة والخدمات IoT Edge عن موارد الشبكة الأخرى. لمعرفة المزيد، راجع IoT Edge للينكس حول Windows security.

أمان السحابة

يوفر هذا القسم إرشادات حول كيفية تأمين خدمات السحابة، وهي الخدمات التي تعالج بيانات جهاز IoT وتخزنها. يعد أمان الخدمات السحابية أمرا بالغ الأهمية لضمان سلامة بياناتك وسريتها.

• اتبع منهجية تطوير البرامج الآمنة: يتطلب منك تطوير البرامج الآمنة مراعاة الأمان منذ بداية المشروع طوال الطريق من خلال التنفيذ والاختبار والنشر. يوفر Microsoft Security Development Lifecycle نهجا خطوة بخطوة لبناء برمجيات آمنة.

• اختيار البرامج مفتوحة المصدر بعناية: توفر البرامج مفتوحة المصدر فرصة لتطوير الحلول بسرعة. عندما تقوم باختيار برنامج مفتوح المصدر، فضع في اعتبارك مستوى نشاط المجتمع لكل مكون مفتوح المصدر. يضمن المجتمع النشط دعم البرنامج واكتشاف المشكلات وإصلاحها. قد لا يتم دعم مشروع برنامج مفتوح المصدر غامض وغير نشط ولا يمكن اكتشاف المشكلات على الأرجح.

• التكامل بعناية: توجد العديد من عيوب أمان البرامج على حدود المكتبات وواجهات برمجة التطبيقات. قد لا تزال الوظائف غير المطلوبة للتوزيع الحالي متوفرة من خلال طبقة واجهة برمجة التطبيقات. لضمان الأمان العام، تحقق من جميع واجهات المكونات المتكاملة بحثا عن عيوب أمنية.

• حماية بيانات اعتماد السحابة: يمكن للمهاجم استخدام بيانات اعتماد المصادقة السحابية التي تستخدمها لتكوين وتشغيل نشر IoT للوصول إلى نظام IoT الخاص بك واختراقه. حماية بيانات الاعتماد عن طريق تغيير كلمة المرور في كثير من الأحيان، ولا تستخدم بيانات الاعتماد هذه على الأجهزة العامة.

• استخدم Microsoft Entra ID وRBAC مع IoT Hub: استخدم Microsoft Entra ID وRBAC Azure للوصول إلى واجهة برمجة التطبيقات للخدمة والإدارة لتمكين التحكم الدقيق في الوصول القائم على الهوية. لمعرفة المزيد، راجع IoT Hub Entra ID authentication و DPS Entra ID authentication.

• تعطيل نهج الوصول المشترك إذا لم تكن هناك حاجة إليها: قم بتقليل سطح الهجوم عن طريق تعطيل نهج الوصول المشترك والرموز المميزة عندما لا تحتاج إليها. لمعرفة المزيد، راجع IoT Hub سياسات الوصول المشترك.

• تحديد عناصر التحكم في الوصول لتطبيق IoT Central: فهم وتحديد نوع الوصول الذي تقوم بتمكينه لتطبيق IoT Central الخاص بك. لمعرفة المزيد، راجع:

  • إدارة المستخدمين والأدوار في تطبيق IoT Central
  • إدارة مؤسسات IoT Central
  • استخدام سجلات التدقيق لتعقب النشاط في تطبيق IoT Central
  • كيفية مصادقة وتخويل استدعاءات واجهة برمجة تطبيقات REST ل IoT Central

• تعريف ضوابط الوصول لخدمات الخلفية : يمكن لخدمات Azure الأخرى استهلاك البيانات التي يستقبلها مركز إنترنت الأشياء أو تطبيق إنترنت الأشياء المركزي من أجهزتك. يمكنك توجيه الرسائل من أجهزتك إلى خدمات Azure الأخرى. فهم وتكوين صلاحيات الوصول المناسبة ل IoT Hub أو IoT Central للاتصال بهذه الخدمات. لمعرفة المزيد، راجع:

  • قراءة رسائل الجهاز إلى السحابة من نقطة النهاية المدمجة IoT Hub
  • استخدم توجيه الرسائل IoT Hub لإرسال رسائل من الجهاز إلى السحابة إلى نقاط نهاية مختلفة
  • تصدير بيانات IoT Central
  • تصدير بيانات IoT Central إلى وجهة آمنة على Azure Virtual Network

• امنح الحد الأدنى من الأذونات المطلوبة فقط: طبق مبدأ الامتياز الأقل عند تعيين الأدوار والأذونات للمستخدمين والتطبيقات والأجهزة. لمعرفة المزيد، راجع أفضل ممارسات إدارة الهوية.

• راقب حل إنترنت الأشياء الخاص بك من السحابة: راقب الصحة العامة لحل إنترنت الأشياء الخاص بك باستخدام مقاييس IoT Hub في Azure Monitor أو مراقبة صحة تطبيقات IoT Central.

• إعداد التشخيص: راقب عملياتك عن طريق تسجيل الأحداث في الحل، ثم أرسل سجلات التشخيص إلى Azure Monitor. لمعرفة المزيد، راجع مراقبة المشاكل وتشخيصها في مركز IoT.

المحتويات ذات الصلة

• IoT Hub الأمن
• دليل أمان IoT Central
• ممارسات أمان DPS
• IoT Edge إطار الأمان
• Azure خط أساس أمني ل Azure IoT Hub
• Well-Architected منظور إطار العمل حول Azure IoT Hub
• Azure security baseline ل Azure Arc Kubernetes
• مفاهيم الحفاظ على أمان حمل العمل الأصلي على السحابة