تتيح لك حلول IoT الاتصال بأجهزة وأصول IoT ومراقبتها والتحكم فيها على نطاق واسع. في الحل المستند إلى السحابة، تتصل الأجهزة والأصول مباشرة بالسحابة. في حل قائم على الحافة، تتصل الأجهزة والأصول ببيئة وقت تشغيل الحافة. يجب عليك تأمين الأصول والأجهزة المادية والبنية الأساسية للحافة والخدمات السحابية لحماية حل IoT الخاص بك من التهديدات. يجب عليك أيضا تأمين البيانات التي تتدفق عبر حل IoT الخاص بك، سواء كان على الحافة أو في السحابة.
توفر هذه المقالة إرشادات حول كيفية تأمين حل IoT الخاص بك على أفضل نحو. يتضمن كل قسم ارتباطات إلى محتوى يوفر المزيد من التفاصيل والإرشادات.
يوضح الرسم التخطيطي التالي طريقة عرض عالية المستوى للمكونات في حل IoT نموذجي قائم على الحافة. تركز هذه المقالة على أمان حل IoT المستند إلى الحافة:
في حل IoT المستند إلى الحافة، يمكنك تقسيم الأمان إلى المجالات الأربعة التالية:
أمان الأصول: تأمين أصل IoT أثناء توزيعه في أماكن العمل.
أمان الاتصال: تأكد من أن جميع البيانات أثناء النقل بين الأصول والحافة والخدمات السحابية سرية وخالية من العبث.
أمان الحافة: قم بتأمين بياناتك أثناء انتقالها، ويتم تخزينها على الحافة.
أمان السحابة: قم بتأمين بياناتك أثناء انتقالها، ويتم تخزينها في السحابة.
Microsoft Defender ل IoT والحاويات
Microsoft Defender for IoT هو حل أمان موحد تم إنشاؤه خصيصا لتحديد أجهزة IoT والتكنولوجيا التشغيلية (OT) والثغرات الأمنية والتهديدات. Microsoft Defender for Containers هو حل سحابي أصلي لتحسين ومراقبة وصيانة أمان الأصول المعبأة في حاويات (مجموعات Kubernetes وعقد Kubernetes وأحمال عمل Kubernetes وسجلات الحاويات وصور الحاويات والمزيد)، وتطبيقاتها، عبر البيئات متعددة السحابة والبيئات المحلية.
يمكن لكل من Defender for IoT وDefender for Containers مراقبة بعض التوصيات المضمنة في هذه المقالة تلقائيا. يجب أن يكون Defender for IoT وDefender for Containers خط الدفاع الأمامي لحماية الحل المستند إلى الحافة. لمعرفة المزيد، راجع:
أمان الأصول
يوفر هذا القسم إرشادات حول كيفية تأمين أصولك، مثل المعدات الصناعية وأجهزة الاستشعار والأجهزة الأخرى التي تعد جزءا من حل IoT الخاص بك. ويعتبر أمن الأصل أمرا بالغ الأهمية لضمان سلامة وسرية البيانات التي يولدها ويرسلها.
استخدام Azure Key Vault وملحق المخزن السري: استخدم Azure Key Vault لتخزين وإدارة المعلومات الحساسة للأصول مثل المفاتيح وكلمات المرور والشهادات والأسرار. تستخدم عمليات Azure IoT Azure Key Vault كحل للمخزن المدار على السحابة، وتستخدم ملحق مخزن Azure Key Vault السري ل Kubernetes لمزامنة الأسرار من السحابة وتخزينها على الحافة كأسرار Kubernetes. لمعرفة المزيد، راجع إدارة الأسرار لتوزيع عمليات Azure IoT.
إعداد إدارة الشهادات الآمنة: تعد إدارة الشهادات أمرا بالغ الأهمية لضمان الاتصال الآمن بين الأصول وبيئة وقت تشغيل الحافة. توفر عمليات Azure IoT أدوات لإدارة الشهادات، بما في ذلك إصدار الشهادات وتجديدها وإبطالها. لمعرفة المزيد، راجع إدارة الشهادات للاتصال الداخلي لعمليات Azure IoT.
حدد أجهزة مقاومة للعبث: اختر أجهزة الأصول ذات الآليات المضمنة للكشف عن العبث المادي، مثل فتح غطاء الجهاز أو إزالة جزء من الجهاز. يمكن أن تكون إشارات العبث هذه جزءا من دفق البيانات الذي تم تحميله إلى السحابة، وتنبيه المشغلين إلى هذه الأحداث.
تمكين التحديثات الآمنة للبرامج الثابتة للأصول: استخدم الخدمات التي تمكن التحديثات عبر الهواء لأصولك. إنشاء أصول مع مسارات آمنة للتحديثات وضمان التشفير لإصدارات البرامج الثابتة لتأمين أصولك أثناء التحديثات وبعدها.
توزيع أجهزة الأصول بشكل آمن: تأكد من أن نشر أجهزة الأصول مقاوم للعبث قدر الإمكان، خاصة في المواقع غير الآمنة مثل الأماكن العامة أو الأماكن المحلية غير الخاضعة للإشراف. قم فقط بتمكين الميزات الضرورية لتقليل بصمة الهجوم المادي، مثل تغطية منافذ USB بأمان إذا لم تكن هناك حاجة إليها.
اتبع أفضل ممارسات أمان الشركة المصنعة للجهاز ونشره: إذا كانت الشركة المصنعة للجهاز توفر إرشادات الأمان والتوزيع، فاتبع هذه الإرشادات مع الإرشادات العامة الواردة في هذه المقالة.
أمان الاتصال
يوفر هذا القسم إرشادات حول كيفية تأمين الاتصالات بين أصولك وبيئة وقت تشغيل الحافة والخدمات السحابية. ويعد أمان الاتصالات أمرا بالغ الأهمية لضمان سلامة البيانات المرسلة وسريتها.
استخدم أمان طبقة النقل (TLS) لتأمين الاتصالات من الأصول: يتم تشفير جميع الاتصالات داخل عمليات Azure IoT باستخدام TLS. لتوفير تجربة آمنة بشكل افتراضي تقلل من التعرض غير المقصود للحل المستند إلى الحافة للمهاجمين، يتم نشر عمليات Azure IoT مع مرجع مصدق جذري افتراضي ومصدر لشهادات خادم TLS. لنشر الإنتاج، نوصي باستخدام مصدر CA الخاص بك وحل PKI للمؤسسة.
إحضار المرجع المصدق الخاص بك للإنتاج: بالنسبة إلى عمليات نشر الإنتاج، استبدل المرجع المصدق الجذر الافتراضي الموقع ذاتيا بمصدر CA الخاص بك ودمجه مع PKI للمؤسسة لضمان الثقة والتوافق. لمعرفة المزيد، راجع إدارة الشهادات للاتصال الداخلي لعمليات Azure IoT.
ضع في اعتبارك استخدام جدران حماية المؤسسة أو الوكلاء لإدارة نسبة استخدام الشبكة الصادرة: إذا كنت تستخدم جدران حماية المؤسسة أو الوكلاء، أضف نقاط نهاية عمليات Azure IoT إلى قائمة السماح الخاصة بك.
تشفير نسبة استخدام الشبكة الداخلية لوسيط الرسائل: يعد ضمان أمان الاتصالات الداخلية داخل البنية الأساسية للحافة أمرا مهما للحفاظ على سلامة البيانات وسريتها. يجب عليك تكوين وسيط MQTT لتشفير حركة المرور الداخلية والبيانات أثناء النقل بين الواجهة الأمامية للوسيط MQTT ووحدات الواجهة الخلفية. لمعرفة المزيد، راجع تكوين تشفير حركة المرور الداخلية للوسيط والشهادات الداخلية.
تكوين TLS مع إدارة الشهادات التلقائية للمستمعين في وسيط MQTT: توفر عمليات Azure IoT إدارة الشهادات التلقائية للمستمعين في وسيط MQTT. تقلل هذه الإمكانية من النفقات الإدارية لإدارة الشهادات يدويا، وتضمن التجديدات في الوقت المناسب، وتساعد على الحفاظ على الامتثال لسياسات الأمان. لمعرفة المزيد، راجع اتصال وسيط MQTT الآمن باستخدام BrokerListener.
إعداد اتصال آمن بخادم OPC UA: عند الاتصال بخادم OPC UA، يجب تحديد خوادم OPC UA التي تثق بها لإنشاء جلسة عمل معها بشكل آمن. لمعرفة المزيد، راجع تكوين البنية الأساسية لشهادات OPC UA لموصل OPC UA.
عزل الشبكات وتقسيمها: استخدم تجزئة الشبكة وجدران الحماية لعزل مجموعات عمليات IoT وأجهزة الحافة عن موارد الشبكة الأخرى. أضف نقاط النهاية المطلوبة إلى قائمة السماح الخاصة بك إذا كنت تستخدم جدران حماية المؤسسة أو الوكلاء. لمعرفة المزيد، راجع إرشادات توزيع الإنتاج - الشبكات.
أمان Edge
يوفر هذا القسم إرشادات حول كيفية تأمين بيئة وقت تشغيل الحافة، وهو البرنامج الذي يعمل على النظام الأساسي للحافة. يعالج هذا البرنامج بيانات الأصول الخاصة بك ويدير الاتصال بين أصولك والخدمات السحابية. يعد أمان بيئة وقت تشغيل الحافة أمرا بالغ الأهمية لضمان سلامة وسرية البيانات التي تتم معالجتها وإرسالها.
حافظ على بيئة وقت تشغيل الحافة محدثة: حافظ على تحديث نظام المجموعة وعمليات Azure IoT مع أحدث التصحيحات والإصدارات الثانوية للحصول على جميع إصلاحات الأمان والأخطاء المتوفرة. بالنسبة إلى عمليات نشر الإنتاج، قم بإيقاف تشغيل التحديث التلقائي ل Azure Arc للتحكم الكامل في وقت تطبيق التحديثات الجديدة على نظام المجموعة. بدلا من ذلك، ترقية العوامل يدويا حسب الحاجة.
تحقق من تكامل الحاوية وصور helm: قبل نشر أي صورة إلى نظام المجموعة، تحقق من أن الصورة موقعة من قبل Microsoft. لمعرفة المزيد، راجع التحقق من صحة توقيع الصورة.
استخدم دائما شهادات X.509 أو رموز حساب خدمة Kubernetes للمصادقة مع وسيط MQTT: يدعم وسيط MQTT أساليب مصادقة متعددة للعملاء. يمكنك تكوين كل منفذ وحدة استماع للحصول على إعدادات المصادقة الخاصة به باستخدام مورد BrokerAuthentication. لمعرفة المزيد، راجع تكوين مصادقة وسيط MQTT.
توفير أقل امتياز مطلوب لأصل الموضوع في وسيط MQTT: تحدد نهج التخويل الإجراءات التي يمكن للعملاء تنفيذها على الوسيط، مثل الاتصال أو النشر أو الاشتراك في الموضوعات. قم بتكوين وسيط MQTT لاستخدام نهج تخويل واحد أو عدة نهج مع مورد BrokerAuthorization. لمعرفة المزيد، راجع تكوين تخويل وسيط MQTT.
أمان السحابة
يوفر هذا القسم إرشادات حول كيفية تأمين خدمات السحابة الخاصة بك، وهي الخدمات التي تعالج بيانات الأصول وتخزنها. يعد أمان الخدمات السحابية أمرا بالغ الأهمية لضمان سلامة بياناتك وسريتها.
استخدام الهويات المدارة المعينة من قبل المستخدم للاتصالات السحابية: استخدم دائما مصادقة الهوية المدارة. عندما يكون ذلك ممكنا، استخدم الهوية المدارة المعينة من قبل المستخدم في نقاط نهاية تدفق البيانات من أجل المرونة وإمكانية التدقيق. لمعرفة المزيد، راجع تمكين الإعدادات الآمنة في عمليات Azure IoT.
توزيع موارد إمكانية المراقبة وإعداد السجلات: توفر إمكانية المراقبة رؤية في كل طبقة من تكوين عمليات Azure IoT. فهو يمنحك نظرة ثاقبة على السلوك الفعلي للمشكلات، ما يزيد من فعالية هندسة موثوقية الموقع. توفر عمليات Azure IoT إمكانية المراقبة من خلال لوحات معلومات Grafana المنسقة المخصصة المستضافة في Azure. يتم تشغيل لوحات المعلومات هذه بواسطة خدمة Azure Monitor المدارة ل Prometheus و Container Insights.
نشر موارد إمكانية المراقبة على نظام المجموعة قبل نشر عمليات Azure IoT.
الوصول الآمن إلى الأصول ونقاط نهاية الأصول باستخدام Azure RBAC: الأصول ونقاط نهاية الأصول في عمليات Azure IoT لها تمثيلات في كل من مجموعة Kubernetes ومدخل Azure. استخدم Azure RBAC لتأمين الوصول إلى هذه الموارد. Azure RBAC هو نظام تخويل يمكنك من إدارة الوصول إلى موارد Azure. استخدم Azure RBAC لمنح أذونات للمستخدمين والمجموعات والتطبيقات في نطاق معين. لمعرفة المزيد، راجع الوصول الآمن إلى الأصول ونقاط نهاية الأصول.
يوضح الرسم التخطيطي التالي طريقة عرض عالية المستوى للمكونات في حل IoT نموذجي قائم على السحابة. تركز هذه المقالة على الأمان في حل IoT المستند إلى السحابة:
في حل IoT المستند إلى السحابة، يمكنك تقسيم الأمان إلى المجالات الثلاثة التالية:
أمان الجهاز: تأمين جهاز IoT أثناء نشره في أماكن العمل.
أمان الاتصال: تأكد من أن جميع البيانات المرسلة بين جهاز IoT وخدمات سحابة IoT سرية وخالية من العبث.
أمان السحابة: قم بتأمين بياناتك أثناء انتقالها، ويتم تخزينها في السحابة.
تساعدك التوصيات الواردة في هذه المقالة على الوفاء بالالتزامات الأمنية الموضحة في نموذج المسؤولية المشتركة.
Microsoft Defender لإنترنت الأشياء
يراقب Microsoft Defender for IoT تلقائيا بعض التوصيات الواردة في هذه المقالة. يقوم Microsoft Defender ل IoT بتحليل حالة الأمان لموارد Azure بشكل دوري لتحديد الثغرات الأمنية المحتملة ثم يقدم توصيات حول كيفية معالجتها. لمعرفة المزيد، راجع:
أمان الجهاز
يوفر هذا القسم إرشادات حول كيفية تأمين أجهزة IoT، وهي مكونات الأجهزة التي تجمع البيانات وترسلها. يعد أمان الجهاز أمرا بالغ الأهمية لضمان سلامة وسرية البيانات التي يقوم بإنشائه ونقلها.
نطاق الأجهزة إلى الحد الأدنى من المتطلبات: حدد جهاز الجهاز الخاص بك لتضمين الحد الأدنى من الميزات المطلوبة لتشغيله، وليس أكثر من ذلك. على سبيل المثال، قم بتضمين منافذ USB فقط إذا كانت ضرورية لتشغيل الجهاز في الحل الخاص بك. يمكن أن تعرض الميزات الإضافية الجهاز لنواقل الهجوم غير المرغوب فيها.
حدد الأجهزة المقاومة للعبث: حدد أجهزة الجهاز ذات الآليات المضمنة للكشف عن العبث المادي، مثل فتح غطاء الجهاز أو إزالة جزء من الجهاز. يمكن أن تكون إشارات العبث هذه جزءا من دفق البيانات الذي تم تحميله إلى السحابة، والذي يمكن أن ينبه المشغلين إلى هذه الأحداث.
حدد الأجهزة الآمنة: إذا كان ذلك ممكنا، فاختر أجهزة الجهاز التي تتضمن ميزات الأمان مثل وظائف التخزين والتمهيد الآمنة والمشفرة استنادا إلى وحدة النظام الأساسي الموثوق بها. تجعل هذه الميزات الأجهزة أكثر أمانا وتساعد على حماية البنية الأساسية الشاملة لـ IoT.
تمكين التحديثات الآمنة: استخدم خدمات مثل Device Update ل IoT Hub للتحديثات عبر الهواء لأجهزة IoT الخاصة بك. إنشاء أجهزة بمسارات آمنة للتحديثات وضمان التشفير لإصدارات البرامج الثابتة لتأمين أجهزتك أثناء التحديثات وبعدها.
اتبع منهجية تطوير البرامج الآمنة: يتطلب منك تطوير البرامج الآمنة مراعاة الأمان منذ بداية المشروع طوال الطريق من خلال التنفيذ والاختبار والنشر.
توفر دورة حياة تطوير الأمان من Microsoft نهجا خطوة بخطوة لإنشاء برامج آمنة.
استخدام SDKs للجهاز كلما أمكن ذلك: تنفذ مجموعات SDK الخاصة بالجهاز ميزات أمان مختلفة مثل التشفير والمصادقة التي تساعدك على تطوير تطبيقات قوية وآمنة للجهاز. لمعرفة المزيد، راجع Azure IoT SDKs.
اختيار البرامج مفتوحة المصدر بعناية: توفر البرامج مفتوحة المصدر فرصة لتطوير الحلول بسرعة. عند اختيار برنامج مفتوح المصدر، ضع في اعتبارك مستوى نشاط المجتمع لكل مكون مفتوح المصدر. يضمن المجتمع النشط دعم البرنامج واكتشاف المشكلات وإصلاحها. قد لا يتم دعم مشروع برنامج مفتوح المصدر غامض وغير نشط، ومن غير المحتمل اكتشاف المشكلات.
توزيع الأجهزة بشكل آمن: قد تتطلب منك عمليات توزيع IoT نشر الأجهزة في مواقع غير آمنة، كما هو الحال في الأماكن العامة أو الأماكن المحلية غير الخاضعة للإشراف. في هذه الحالات، اجعل نشر الأجهزة إثباتا للعبث قدر الإمكان، وتمكين الميزات الضرورية فقط لتقليل بصمة الهجوم المادي.
تخزين بيانات الاعتماد في وحدات أمان الأجهزة (HSMs): استخدم HSMs لتخزين أسرار الجهاز بشكل آمن، مثل المفاتيح والشهادات الخاصة، للحماية من الاستخراج والعبث. لمعرفة المزيد، راجع مصادقة IoT Hub X.509وإرشادات DPS HSMومدير أمان IoT Edge.
تدوير مفاتيح الجهاز والشهادات بانتظام: قم بتدوير بيانات الاعتماد بانتظام، خاصة بعد الخرق أو انتهاء الصلاحية، لتقليل مخاطر الوصول غير المصرح به. لمعرفة المزيد، راجع كيفية لف الشهادات في DPS وإدارة شهادات IoT Central X.509.
التحديث والتصحيح: حافظ على تحديث جميع أوقات التشغيل وSDKs ومكونات نظام التشغيل بأحدث تصحيحات الأمان والتحديثات. لمعرفة المزيد، راجع إرشادات تحديث IoT Edge.
الحماية من النشاط الضار: إذا سمح نظام التشغيل بذلك، فقم بتثبيت أحدث إمكانيات مكافحة الفيروسات والبرامج الضارة على كل نظام تشغيل جهاز.
التدقيق بشكل متكرر: تدقيق البنية الأساسية ل IoT لمشكلات الأمان لتمكينك من الاستجابة للحوادث الأمنية. توفر معظم أنظمة التشغيل تسجيل الأحداث المضمن. راجع السجلات بشكل متكرر للتحقق من الخروقات الأمنية. يمكن للجهاز إرسال معلومات التدقيق كتدفق بيانات منفصل إلى الخدمة السحابية، حيث يمكنك تحليلها.
اتبع أفضل ممارسات أمان الشركة المصنعة للجهاز ونشره: إذا كانت الشركة المصنعة للجهاز توفر إرشادات الأمان والتوزيع، فاتبع هذه الإرشادات مع الإرشادات العامة الواردة في هذه المقالة.
استخدم بوابة حقل لتوفير خدمات الأمان للأجهزة القديمة أو المقيدة: قد تفتقر الأجهزة القديمة والمقيدة إلى القدرة على تشفير البيانات أو الاتصال بالإنترنت أو توفير تدقيق متقدم. في هذه الحالات، يمكن لبوابة الحقل الحديثة والآمنة تجميع البيانات من الأجهزة القديمة وتوفير الأمان اللازم لتوصيل هذه الأجهزة عبر الإنترنت.
يمكن استخدام جهاز IoT Edge كبوابة وتوفير مصادقة آمنة والتفاوض على جلسات عمل مشفرة واستلام أوامر من السحابة والعديد من ميزات الأمان الأخرى. يمكن أن يعمل Azure Sphere كوحدة وصي لتأمين الأجهزة الأخرى، بما في ذلك الأنظمة القديمة الحالية غير المصممة للاتصال الموثوق به.
تشفير البيانات الثابتة: استخدم التشفير على مستوى نظام التشغيل، مثل BitLocker ل Windows، لتخزين الجهاز والحافة لحماية البيانات في حالة فقدان الأجهزة أو سرقتها. لمعرفة المزيد، راجع أمان IoT Edge.
أمان الاتصال
يوفر هذا القسم إرشادات حول كيفية تأمين الاتصالات بين أجهزة IoT والخدمات السحابية. ويعد أمان الاتصالات أمرا بالغ الأهمية لضمان سلامة البيانات المرسلة وسريتها.
استخدم شهادات X.509 لمصادقة أجهزتك إلى IoT Hub أو IoT Central: يدعم IoT Hub وشهادات IoT Central X509 لمصادقة الجهاز. استخدم المصادقة المستندة إلى X509 في بيئات الإنتاج لأنها توفر أمانا أكبر من المفاتيح المتماثلة. لمعرفة المزيد، راجع مصادقة جهاز إلى IoT Hub ومفاهيم مصادقة الجهاز في IoT Central.
تجنب المفاتيح المتماثلة المشتركة: إذا كنت تستخدم مفاتيح متماثلة، فلا تشارك المفاتيح المتماثلة عبر الأجهزة. يحتاج كل جهاز إلى بيانات اعتماد فريدة لمنع اختراق واسع النطاق إذا تم تسريب مفتاح. لمعرفة المزيد، راجع ممارسات الأمان للشركات المصنعة للأجهزة.
استخدم بروتوكول أمان طبقة النقل (TLS) 1.2 لتأمين الاتصالات من الأجهزة: يستخدم IoT Hub وIoT Central بروتوكول أمان طبقة النقل لتأمين الاتصالات من أجهزة وخدمات IoT. يتم حاليا دعم ثلاثة إصدارات من بروتوكول TLS: 1.0 و1.1 و1.2. تعتبر TLS 1.0 و1.1 قديمة. لمعرفة المزيد، راجع دعم أمان طبقة النقل (TLS) في دعم IoT Hub وTLS في خدمة توفير جهاز Azure IoT Hub (DPS).
استخدم مجموعات التشفير القوية واحتفظ بشهادات المرجع المصدق الجذري محدثة: تحديث مجموعات التشفير وشهادات الجذر الموثوق بها بانتظام للحفاظ على الاتصالات الآمنة. لمعرفة المزيد، راجع دعم IoT Hub TLS.
تأكد من أن لديك طريقة لتحديث شهادة جذر TLS على أجهزتك: تستمر شهادات جذر TLS لفترة طويلة، ولكن يمكن أن تنتهي صلاحيتها أو يمكن إبطالها. إذا لم تتمكن من تحديث الشهادة على الجهاز، فقد لا يتمكن الجهاز من الاتصال ب IoT Hub أو IoT Central أو أي خدمة سحابية أخرى في وقت لاحق. لمعرفة المزيد، راجع كيفية لف شهادات جهاز X.509.
ضع في اعتبارك استخدام Azure Private Link: يتيح لك Azure Private Link توصيل أجهزتك بنقطة نهاية خاصة على شبكتك الظاهرية، مما يتيح لك حظر الوصول إلى نقاط النهاية العامة المواجهة للجهاز في مركز IoT. لمعرفة المزيد، راجع اتصال الدخول إلى IoT Hub باستخدام Azure Private Link وأمان الشبكة ل IoT Central باستخدام نقاط النهاية الخاصة.
تقييد الوصول إلى الشبكة: استخدم تصفية IP للحد من الوصول إلى المصادر والشبكات الموثوق بها. لمعرفة المزيد، راجع تصفية IoT Hub IPونقاط النهاية الخاصة ل IoT Centralوتصفية IP DPS.
تعطيل الوصول إلى الشبكة العامة إذا لم يكن مطلوبا: منع التعرض للإنترنت العام عن طريق تعطيل نقاط النهاية العامة عندما تتمكن من ذلك. لمعرفة المزيد، راجع الوصول إلى الشبكة العامة ل IoT Hubوالوصول إلى الشبكة العامة ل DPS.
عزل أجهزة وخدمات الحافة في مقاطع الشبكة الآمنة: استخدم تجزئة الشبكة وجدران الحماية لعزل أجهزة وخدمات IoT Edge عن موارد الشبكة الأخرى. لمعرفة المزيد، راجع IoT Edge for Linux على أمان Windows.
أمان السحابة
يوفر هذا القسم إرشادات حول كيفية تأمين خدمات السحابة، وهي الخدمات التي تعالج بيانات جهاز IoT وتخزنها. يعد أمان الخدمات السحابية أمرا بالغ الأهمية لضمان سلامة بياناتك وسريتها.
اتبع منهجية تطوير البرامج الآمنة: يتطلب منك تطوير البرامج الآمنة مراعاة الأمان منذ بداية المشروع طوال الطريق من خلال التنفيذ والاختبار والنشر.
توفر دورة حياة تطوير الأمان من Microsoft نهجا خطوة بخطوة لإنشاء برامج آمنة.
اختيار البرامج مفتوحة المصدر بعناية: توفر البرامج مفتوحة المصدر فرصة لتطوير الحلول بسرعة. عندما تقوم باختيار برنامج مفتوح المصدر، فضع في اعتبارك مستوى نشاط المجتمع لكل مكون مفتوح المصدر. يضمن المجتمع النشط دعم البرنامج واكتشاف المشكلات وإصلاحها. قد لا يتم دعم مشروع برنامج مفتوح المصدر غامض وغير نشط ولا يمكن اكتشاف المشكلات على الأرجح.
التكامل بعناية: توجد العديد من عيوب أمان البرامج على حدود المكتبات وواجهات برمجة التطبيقات. قد لا تزال الوظائف غير المطلوبة للتوزيع الحالي متوفرة من خلال طبقة واجهة برمجة التطبيقات. لضمان الأمان العام، تحقق من جميع واجهات المكونات المتكاملة بحثا عن عيوب أمنية.
حماية بيانات اعتماد السحابة: يمكن للمهاجم استخدام بيانات اعتماد المصادقة السحابية التي تستخدمها لتكوين وتشغيل نشر IoT للوصول إلى نظام IoT الخاص بك واختراقه. حماية بيانات الاعتماد عن طريق تغيير كلمة المرور في كثير من الأحيان، ولا تستخدم بيانات الاعتماد هذه على الأجهزة العامة.
استخدم معرف Microsoft Entra وRBAC مع IoT Hub: استخدم معرف Microsoft Entra وAzure RBAC للوصول إلى واجهة برمجة التطبيقات للخدمة والإدارة لتمكين التحكم في الوصول متعدد المستويات والمستند إلى الهوية. لمعرفة المزيد، راجع مصادقة IoT Hub Entra IDومصادقة معرف إدخال DPS.
تعطيل نهج الوصول المشترك إذا لم تكن هناك حاجة إليها: قم بتقليل سطح الهجوم عن طريق تعطيل نهج الوصول المشترك والرموز المميزة عندما لا تحتاج إليها. لمعرفة المزيد، راجع نهج الوصول المشترك ل IoT Hub.
تحديد عناصر التحكم في الوصول لتطبيق IoT Central: فهم وتحديد نوع الوصول الذي تقوم بتمكينه لتطبيق IoT Central الخاص بك. لمعرفة المزيد، راجع:
تحديد عناصر التحكم في الوصول لخدمات الواجهة الخلفية: يمكن لخدمات Azure الأخرى استهلاك البيانات التي يتناولها مركز IoT أو تطبيق IoT Central من أجهزتك. يمكنك توجيه الرسائل من أجهزتك إلى خدمات Azure الأخرى. فهم وتكوين أذونات الوصول المناسبة ل IoT Hub أو IoT Central للاتصال بهذه الخدمات. لمعرفة المزيد، راجع:
امنح الحد الأدنى من الأذونات المطلوبة فقط: طبق مبدأ الامتياز الأقل عند تعيين الأدوار والأذونات للمستخدمين والتطبيقات والأجهزة. لمعرفة المزيد، راجع أفضل ممارسات إدارة الهوية.
مراقبة حل IoT الخاص بك من السحابة: مراقبة الصحة العامة لحل IoT الخاص بك باستخدام مقاييس IoT Hub في Azure Monitor أو مراقبة صحة تطبيق IoT Central.
إعداد التشخيصات: راقب عملياتك عن طريق تسجيل الأحداث في الحل الخاص بك، ثم أرسل سجلات التشخيص إلى Azure Monitor. لمعرفة المزيد، راجع مراقبة المشاكل وتشخيصها في مركز IoT.
المحتويات ذات الصلة