Zabezpečení řešení IoT

Řešení IoT umožňují připojit, monitorovat a řídit zařízení a prostředky IoT ve velkém měřítku. V cloudovém řešení se zařízení a prostředky připojují přímo ke cloudu. V rámci edge řešení se zařízení a prostředky připojují k edge runtime prostředí. Abyste ochránili řešení IoT před hrozbami, musíte zabezpečit fyzické prostředky a zařízení, hraniční infrastrukturu a cloudové služby. Musíte také zabezpečit data, která procházejí vaším řešením IoT, ať už jsou na okraji sítě nebo v cloudu.

Tento článek obsahuje pokyny, jak nejlépe zabezpečit řešení IoT. Každá část obsahuje odkazy na obsah, který poskytuje další podrobnosti a pokyny.

Řešení založené na edge computingu

Následující diagram poskytuje přehled komponent v typickém edge IoT řešení. Tento článek se zaměřuje na zabezpečení řešení IoT založeného na okrajových technologiích.

V edge řešení IoT můžete zabezpečení rozdělit do následujících čtyř oblastí:

• Zabezpečení prostředků: Zabezpečte prostředek IoT, když je nasazený místně.

• Zabezpečení připojení: Zajistěte, aby všechna přenášená data mezi assetem, edge a cloudovými službami byla důvěrná a nenarušená.

• Zabezpečení edge: Zabezpečte svá data při procházení a jsou uložená na hraničním zařízení.

• Zabezpečení cloudu: Zabezpečte svá data při procházení a jsou uložená v cloudu.

Microsoft Defender pro IoT a pro kontejnery

Microsoft Defender for IoT je jednotné řešení zabezpečení vytvořené speciálně pro identifikaci zařízení IoT a operačních technologií (OT), ohrožení zabezpečení a hrozeb. Microsoft Defender for Containers je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných prostředků (clustery Kubernetes, uzly Kubernetes, úlohy Kubernetes, registry kontejnerů, image kontejnerů a další) a jejich aplikace v různých cloudových a místních prostředích.

Defender for IoT i Defender for Containers můžou automaticky monitorovat některá doporučení uvedená v tomto článku. Defender for IoT a Defender for Containers by měl být front-line obrany, aby bylo možné chránit řešení založené na hraničních zařízeních. Další informace najdete v následujících tématech:

• Microsoft Defender for Containers – přehled
• Microsoft Defender pro IoT pro organizace – přehled

Zabezpečení prostředků

Tato část obsahuje pokyny k zabezpečení prostředků, jako jsou průmyslová zařízení, senzory a další zařízení, která jsou součástí vašeho řešení IoT. Zabezpečení prostředku je nezbytné k zajištění integrity a důvěrnosti dat, která generuje a přenáší.

• Použijte Azure Key Vault a rozšíření úložiště tajných kódů: K ukládání a správě citlivých informací prostředku, jako jsou klíče, hesla, certifikáty a tajné kódy, použijte Azure Key Vault . Operace Azure IoT používají Azure Key Vault jako řešení spravovaného trezoru v cloudu a k synchronizaci tajných kódů z cloudu používá rozšíření Azure Key Vault Secret Store pro Kubernetes a ukládá je na hraničních zařízeních jako tajné kódy Kubernetes. Další informace najdete v tématu Správa tajných kódů pro nasazení operací Azure IoT.

• Nastavení zabezpečené správy certifikátů: Správa certifikátů je zásadní pro zajištění zabezpečené komunikace mezi prostředky a vaším hraničním prostředím runtime. Operace Azure IoT poskytují nástroje pro správu certifikátů, včetně vydávání, obnovování a odvolávání certifikátů. Další informace najdete v tématu Správa certifikátů pro interní komunikaci operací Azure IoT.

• Výběr hardwaru odolného proti manipulaci: Zvolte hardware prostředků s integrovanými mechanismy pro detekci fyzické manipulace, například otevření krytu zařízení nebo odebrání části zařízení. Tyto signály manipulace můžou být součástí datového proudu nahraného do cloudu a upozorňovat operátory na tyto události.

• Povolte zabezpečené aktualizace firmwaru prostředků: Používejte služby, které umožňují pro vaše prostředky přeletové aktualizace. Vytvářejte prostředky se zabezpečenými cestami pro aktualizace a kryptografické zajištění verzí firmwaru pro zabezpečení prostředků během a po aktualizacích.

• Bezpečně nasaďte hardware zařízení: Zajistěte, aby nasazení hardwaru bylo co nejvíce odolné proti manipulaci, zejména v nezabezpečených umístěních, jako jsou veřejné prostory nebo nesledovaná místa. Povolte pouze nezbytné funkce, které minimalizují nároky na fyzický útok, například bezpečné pokrytí portů USB, pokud nejsou potřeba.

• Postupujte podle osvědčených postupů zabezpečení a nasazení zařízení: Pokud výrobce zařízení poskytuje pokyny k zabezpečení a nasazení, postupujte podle těchto pokynů spolu s obecnými pokyny v tomto článku.

Zabezpečení připojení

Tato část poskytuje pokyny, jak zabezpečit připojení mezi vašimi majetky, hraničním runtime prostředím a cloudovými službami. Zabezpečení připojení je nezbytné k zajištění integrity a důvěrnosti přenášených dat.

• K zabezpečení připojení z prostředků použijte protokol TLS (Transport Layer Security): Veškerá komunikace v rámci operací Azure IoT se šifruje pomocí protokolu TLS. Aby bylo prostředí zabezpečené ve výchozím nastavení, které minimalizuje neúmyslné vystavení hraničního řešení útočníkům, nasadí se operace Azure IoT s výchozí kořenovou certifikační autoritou a vystavitelem pro certifikáty serveru TLS. Pro produkční nasazení doporučujeme použít vlastní certifikační autoritu a podnikové řešení PKI.

• Přineste si vlastní certifikační autoritu pro produkční prostředí: Pro produkční nasazení nahraďte výchozí kořenovou certifikační autoritu podepsanou svým držitelem vlastním vystavitelem certifikační autority a integrujte ji s podnikovou pkI, abyste zajistili důvěryhodnost a dodržování předpisů. Další informace najdete v tématu Správa certifikátů pro interní komunikaci operací Azure IoT.

• Zvažte použití podnikových bran firewall nebo proxy serverů ke správě odchozího provozu: Pokud používáte podnikové brány firewall nebo proxy servery, přidejte koncové body Azure IoT Operations do svého seznamu povolených položek.

• Šifrování interního provozu zprostředkovatele zpráv: Zajištění bezpečnosti interní komunikace ve vaší okrajové infrastruktuře je důležité pro zachování integrity a důvěrnosti dat. Zprostředkovatel MQTT byste měli nakonfigurovat tak, aby šifroval interní provoz a přenášená data mezi front-endem zprostředkovatele MQTT a back-endovými pody. Další informace najdete v tématu Konfigurace šifrování interního provozu zprostředkovatele a interních certifikátů.

• Nakonfigurujte protokol TLS s automatickou správou certifikátů pro naslouchací procesy ve zprostředkovateli MQTT: Operace Azure IoT poskytuje automatickou správu certifikátů pro naslouchací procesy ve zprostředkovateli MQTT. Tato funkce snižuje administrativní režii ruční správy certifikátů, zajišťuje včasné prodlužování platnosti a pomáhá udržovat dodržování zásad zabezpečení. Další informace najdete v tématu Zabezpečení komunikace zprostředkovatele MQTT pomocí BrokerListener.

• Nastavte zabezpečené připojení k serveru OPC UA: Při připojování k serveru OPC UA byste měli určit, kterým serverům OPC UA důvěřujete, abyste mohli bezpečně navázat relaci. Další informace najdete v tématu Konfigurace infrastruktury certifikátů OPC UA pro konektor pro OPC UA.

• Izolované a segmentační sítě: Pomocí segmentace sítě a bran firewall můžete izolovat clustery Operací IoT a hraniční zařízení od jiných síťových prostředků. Pokud používáte podnikové brány firewall nebo proxy servery, přidejte požadované koncové body do seznamu povolených. Další informace najdete v pokynech pro produkční nasazení – sítě.

Zabezpečení Edge

Tato část obsahuje pokyny k zabezpečení prostředí runtime na okrajové platformě, což je software, který běží na této platformě. Tento software zpracovává data vašich majetků a spravuje komunikaci mezi vašimi majetky a cloudovými službami. Zabezpečení hraničního prostředí runtime je nezbytné k zajištění integrity a důvěrnosti zpracovávaných a přenášených dat.

• Udržujte prostředí runtime Edge aktuální: Udržujte cluster a nasazení provozu Azure IoT aktuální s nejnovějšími opravami a dílčími verzemi, abyste získali všechny dostupné opravy zabezpečení a chyb. V případě produkčních nasazení vypněte automatické nasazení služby Azure Arc , abyste měli úplnou kontrolu nad tím, kdy se na váš cluster použijí nové aktualizace. Místo toho podle potřeby agenty ručně upgradujte.

• Ověřte integritu imagí kontejneru a helmu: Před nasazením jakékoli image do clusteru ověřte, že je image podepsaná Microsoftem. Další informace naleznete v ověřování podpisu obrázků.

• Pro ověřování pomocí zprostředkovatele MQTT vždy používejte certifikáty X.509 nebo tokeny účtu služby Kubernetes: Zprostředkovatel MQTT podporuje více metod ověřování pro klienty. Každý naslouchací port můžete nakonfigurovat tak, aby měl vlastní nastavení ověřování pomocí prostředku BrokerAuthentication. Další informace najdete v tématu Konfigurace ověřování zprostředkovatele MQTT.

• Poskytněte nejnižší úroveň oprávnění potřebnou pro prostředek tématu ve vašem MQTT brokeru: Zásady autorizace určují, jaké akce mohou klienti na brokeru provádět, například připojení, publikování nebo odběr témat. Nakonfigurujte zprostředkovatele MQTT tak, aby používal jednu nebo více zásad autorizace s prostředkem BrokerAuthorization. Další informace najdete v tématu Konfigurace autorizace zprostředkovatele MQTT.

Zabezpečení cloudu

Tato část obsahuje pokyny k zabezpečení cloudových služeb, což jsou služby, které zpracovávají a ukládají vaše data prostředků. Zabezpečení cloudových služeb je zásadní pro zajištění integrity a důvěrnosti vašich dat.

• Používejte spravované identity přiřazené uživatelem pro cloudová připojení: Vždy používejte ověřování spravované identity. Pokud je to možné, použijte spravovanou identitu přiřazenou uživatelem v koncových bodech toku dat pro flexibilitu a auditovatelnost. Další informace najdete v tématu Povolení nastavení zabezpečení v operacích Azure IoT.

• Nasazení prostředků pozorovatelnosti a nastavení protokolů: Pozorovatelnost poskytuje přehled o každé vrstvě konfigurace operací Azure IoT. Poskytuje přehled o skutečném chování problémů, což zvyšuje efektivitu techniky spolehlivosti lokality. Operace Azure IoT nabízí pozorovatelnost prostřednictvím vlastních kurátorovaných řídicích panelů Grafana hostovaných v Azure. Tyto řídicí panely využívají spravovanou službu Azure Monitor pro Prometheus a Container Insights. Před nasazením operací Azure IoT nasaďte prostředky pozorovatelnosti do clusteru.

• Zabezpečený přístup k prostředkům a koncovým bodům prostředků pomocí Azure RBAC: Prostředky a koncové body prostředků v operacích Azure IoT mají reprezentaci v clusteru Kubernetes i na webu Azure Portal. K zabezpečení přístupu k těmto prostředkům použijte Azure RBAC. Azure RBAC je autorizační systém, který umožňuje spravovat přístup k prostředkům Azure. Pomocí Azure RBAC udělte oprávnění uživatelům, skupinám a aplikacím v určitém rozsahu. Další informace najdete v tématu Zabezpečení přístupu k prostředkům a koncovým bodům prostředků.

Cloudové řešení

Následující diagram znázorňuje základní zobrazení komponent v typickém cloudovém řešení IoT. Tento článek se zaměřuje na zabezpečení v cloudovém řešení IoT:

V cloudovém řešení IoT můžete zabezpečení rozdělit do následujících tří oblastí:

• Zabezpečení zařízení: Zabezpečte zařízení IoT, když je nasazené místně.

• Zabezpečení připojení: Ujistěte se, že všechna data přenášená mezi zařízením IoT a cloudovými službami IoT jsou důvěrná a chráněná proti neoprávněné manipulaci.

• Zabezpečení cloudu: Zabezpečte svá data při procházení a jsou uložená v cloudu.

Doporučení v tomto článku vám pomůžou splnit bezpečnostní povinnosti popsané v modelu sdílené odpovědnosti.

Microsoft Defender for IoT

Microsoft Defender pro IoT automaticky monitoruje některá doporučení v tomto článku. Microsoft Defender for IoT pravidelně analyzuje stav zabezpečení vašich prostředků Azure, aby identifikoval potenciální ohrožení zabezpečení a pak nabízí doporučení, jak je řešit. Další informace najdete v následujících tématech:

• Co je Microsoft Defender for IoT pro organizace?
• Co je Microsoft Defender for IoT pro tvůrce zařízení?
• Vylepšení stavu zabezpečení pomocí doporučení

Zabezpečení zařízení

Tato část obsahuje pokyny k zabezpečení zařízení IoT, což jsou hardwarové komponenty, které shromažďují a přenášejí data. Zabezpečení zařízení je nezbytné k zajištění integrity a důvěrnosti dat, která generuje a přenáší.

• Určení rozsahu hardwaru na minimální požadavky: Vyberte hardware zařízení, aby zahrnoval minimální funkce požadované pro jeho provoz a nic dalšího. Pokud jsou například potřeba pro provoz zařízení ve vašem řešení, zahrňte jenom porty USB. Další funkce můžou zařízení vystavit nežádoucím vektorům útoku.

• Výběr hardwaru odolného proti manipulaci: Vyberte hardware zařízení s integrovanými mechanismy pro detekci fyzické manipulace, například otevření krytu zařízení nebo odebrání části zařízení. Tyto signály manipulace můžou být součástí datového streamu nahraného do cloudu, což může upozorňovat operátory na tyto události.

• Vyberte zabezpečený hardware: Pokud je to možné, zvolte hardware zařízení, který zahrnuje funkce zabezpečení, jako je zabezpečené a šifrované úložiště a funkce spouštění založené na modulu Trusted Platform Module. Díky těmto funkcím jsou zařízení bezpečnější a pomáhají chránit celkovou infrastrukturu IoT.

• Povolit zabezpečené aktualizace: Používejte služby, jako je Device Update pro IoT Hub, pro bezdrátové aktualizace vašich IoT zařízení. Vytvářejte zařízení se zabezpečenými cestami pro aktualizace a kryptografické zajištění verzí firmwaru, abyste svá zařízení zabezpečili během aktualizací a po aktualizaci.

• Postupujte podle metodologie vývoje zabezpečeného softwaru: Vývoj zabezpečeného softwaru vyžaduje, abyste zvážili zabezpečení od vzniku projektu až po implementaci, testování a nasazení. Životní cyklus vývoje zabezpečení společnosti Microsoft poskytuje podrobný přístup k vytváření zabezpečeného softwaru.

• Sady SDK zařízení používejte, kdykoli je to možné: Sady SDK zařízení implementují různé funkce zabezpečení, jako je šifrování a ověřování, které vám pomůžou vyvíjet robustní a zabezpečené aplikace zařízení. Další informace najdete v sadách AZURE IoT SDK.

• Výběr opensourcového softwaru s opatrností: Opensourcový software poskytuje příležitost rychle vyvíjet řešení. Při výběru opensourcového softwaru zvažte úroveň aktivity komunity pro každou opensourcovou komponentu. Aktivní komunita zajišťuje podporu softwaru a zjištění a řešení problémů. Nejasný a neaktivní opensourcový softwarový projekt se nemusí podporovat a pravděpodobně se nezjistí problémy.

• Bezpečné nasazení hardwaru: Nasazení IoT může vyžadovat nasazení hardwaru v nezabezpečených umístěních, například ve veřejných prostorech nebo bez dohledu. V těchto situacích zajistěte, aby nasazení hardwaru bylo co nejodolnější proti manipulaci, a povolte pouze nezbytné funkce, které minimalizují potenciál fyzického útoku.

• Ukládání přihlašovacích údajů v modulech hardwarového zabezpečení (HSM): K bezpečnému ukládání tajných kódů zařízení, jako jsou privátní klíče a certifikáty, slouží k ochraně před extrakcí a manipulací. Další informace najdete v tématu O ověřování služby IoT Hub X.509, pokynech k HSM DPS a správci zabezpečení IoT Edge.

• Pravidelně obměňujte klíče zařízení a certifikáty: Pravidelně obměňujte přihlašovací údaje, zejména po porušení zabezpečení nebo vypršení platnosti, abyste minimalizovali riziko neoprávněného přístupu. Další informace najdete v tématu Postup vrácení certifikátů ve službě DPS a správa certifikátů IoT Central X.509.

• Aktualizace a oprava: Udržujte všechny moduly runtime, sady SDK a komponenty operačního systému aktuální s nejnovějšími opravami zabezpečení a aktualizacemi. Další informace najdete v doprovodných materiálech k aktualizaci IoT Edge.

• Ochrana před škodlivými aktivitami: Pokud operační systém povolí, nainstalujte do každého operačního systému zařízení nejnovější antivirové a antimalwarové funkce.

• Provádějte audit často: Auditujte infrastrukturu IoT kvůli problémům se zabezpečením, abyste mohli reagovat na bezpečnostní incidenty. Většina operačních systémů poskytuje integrované protokolování událostí. Kontrolujte protokoly často, abyste odhalili porušení zabezpečení. Zařízení může odesílat informace o auditu jako samostatný datový proud do cloudové služby, kde je můžete analyzovat.

• Postupujte podle osvědčených postupů zabezpečení a nasazení zařízení: Pokud výrobce zařízení poskytuje pokyny k zabezpečení a nasazení, postupujte podle těchto pokynů spolu s obecnými pokyny v tomto článku.

• Pomocí brány polí můžete poskytovat služby zabezpečení pro starší nebo omezená zařízení: Starší a omezená zařízení můžou mít možnost šifrovat data, připojovat se k internetu nebo poskytovat pokročilé auditování. V těchto případech může moderní a zabezpečená brána polí agregovat data ze starších zařízení a poskytovat zabezpečení potřebné pro připojení těchto zařízení přes internet. Zařízení IoT Edge je možné použít jako bránu a poskytovat zabezpečené ověřování, vyjednávání šifrovaných relací, příjem příkazů z cloudu a mnoho dalších funkcí zabezpečení. Azure Sphere může fungovat jako modul strážce pro zabezpečení jiných zařízení, včetně stávajících starších systémů, které nejsou navržené pro důvěryhodné připojení.

• Šifrování dat v klidu: Použijte šifrování na úrovni operačního systému, jako je BitLocker pro Windows, pro úložiště v zařízeních a na hranici k ochraně dat v případě, že jsou zařízení ztracena nebo odcizena. Další informace najdete v tématu Zabezpečení IoT Edge.

Zabezpečení připojení

Tato část obsahuje pokyny k zabezpečení připojení mezi zařízeními IoT a cloudovými službami. Zabezpečení připojení je nezbytné k zajištění integrity a důvěrnosti přenášených dat.

• Pomocí certifikátů X.509 ověřte svá zařízení ve službě IoT Hub nebo IoT Central: IoT Hub a IoT Central podporují certifikáty X509 pro ověřování zařízení. Ověřování založené na X509 použijte v produkčních prostředích, protože poskytuje větší zabezpečení než symetrické klíče. Další informace najdete v tématu Ověřování zařízení ve službě IoT Hub a konceptech ověřování zařízení ve službě IoT Central.

• Vyhněte se sdíleným symetrickým klíčům: Pokud používáte symetrické klíče, nesdílejte symetrické klíče mezi zařízeními. Každé zařízení potřebuje jedinečné přihlašovací údaje, aby se zabránilo rozsáhlému ohrožení zabezpečení v případě úniku klíče. Další informace najdete v tématu Postupy zabezpečení pro výrobce zařízení.

• K zabezpečení připojení ze zařízení použijte protokol TLS (Transport Layer Security) 1.2: IoT Hub a IoT Central k zabezpečení připojení ze zařízení a služeb IoT. V současné době se podporují tři verze protokolu TLS: 1.0, 1.1 a 1.2. Protokoly TLS 1.0 a 1.1 se považují za starší. Další informace najdete v tématu Podpora protokolu TLS (Transport Layer Security) ve službě IoT Hub a podpoře protokolu TLS ve službě Azure IoT Hub Device Provisioning Service (DPS).

• Používejte silné šifrovací sady a udržujte kořenové certifikáty certifikační autority v aktualizovaném stavu: Pravidelně aktualizujte šifrovací sady a důvěryhodné kořenové certifikáty, aby se zachovala zabezpečená připojení. Další informace najdete v tématu Podpora protokolu TLS služby IoT Hub.

• Ujistěte se, že máte na svých zařízeních způsob, jak aktualizovat kořenový certifikát TLS: Kořenové certifikáty TLS trvají dlouho, ale jejich platnost může vypršet nebo být odvolána. Pokud nemůžete aktualizovat certifikát na zařízení, nemusí se zařízení později připojit ke službě IoT Hub, IoT Central ani žádné jiné cloudové službě. Další informace najdete v tématu Postup vrácení certifikátů zařízení X.509.

• Zvažte použití služby Azure Private Link: Azure Private Link umožňuje připojit vaše zařízení k privátnímu koncovému bodu ve virtuální síti, což vám umožní blokovat přístup k veřejným koncovým bodům ioT Hubu. Další informace najdete v tématu Připojení příchozího přenosu dat ke službě IoT Hub pomocí služby Azure Private Link a zabezpečení sítě pro IoT Central pomocí privátních koncových bodů.

• Omezit přístup k síti: Pomocí filtrování IP adres omezte přístup k důvěryhodným zdrojům a sítím. Další informace najdete v tématu Filtrování IP adres služby IoT Hub, privátních koncových bodů IoT Central a filtrování IP adres SLUŽBY DPS.

• Pokud není vyžadován přístup k veřejné síti, zakažte přístup k veřejné síti: Pokud je to možné, zakažte veřejné koncové body. Další informace najdete v tématu Přístup k veřejné síti služby IoT Hub a přístup k veřejné síti DPS.

• Izolace okrajových zařízení a služeb v zabezpečených síťových segmentech: Pomocí síťové segmentace a firewallů můžete izolovat zařízení a služby IoT Edge od ostatních síťových prostředků. Další informace najdete v tématu IoT Edge pro Linux v zabezpečení Windows.

Zabezpečení cloudu

Tato část obsahuje pokyny k zabezpečení cloudových služeb, což jsou služby, které zpracovávají a ukládají data zařízení IoT. Zabezpečení cloudových služeb je zásadní pro zajištění integrity a důvěrnosti vašich dat.

• Postupujte podle metodologie vývoje zabezpečeného softwaru: Vývoj zabezpečeného softwaru vyžaduje, abyste zvážili zabezpečení od vzniku projektu až po implementaci, testování a nasazení. Životní cyklus vývoje zabezpečení společnosti Microsoft poskytuje podrobný přístup k vytváření zabezpečeného softwaru.

• Výběr opensourcového softwaru s opatrností: Opensourcový software poskytuje příležitost rychle vyvíjet řešení. Při výběru opensourcového softwaru zvažte úroveň aktivity komunity pro každou opensourcovou komponentu. Aktivní komunita zajišťuje podporu softwaru a zjištění a řešení problémů. Nejasný a neaktivní opensourcový softwarový projekt nemusí být podporovaný a pravděpodobně se nezjistí problémy.

• Integrace s opatrností: Na hranici knihoven a rozhraní API existuje mnoho chyb zabezpečení softwaru. Funkce, které nejsou potřeba pro aktuální nasazení, můžou být stále dostupné prostřednictvím vrstvy rozhraní API. Pokud chcete zajistit celkové zabezpečení, zkontrolujte všechna rozhraní integrovaných komponent a zkontrolujte chyby zabezpečení.

• Ochrana cloudových přihlašovacích údajů: Útočník může pomocí přihlašovacích údajů cloudového ověřování, které používáte ke konfiguraci a provozu nasazení IoT, získat přístup k systému IoT a ohrozit ho. Přihlašovací údaje můžete chránit často změnou hesla a tyto přihlašovací údaje nepoužívejte na veřejných počítačích.

• Použijte Microsoft Entra ID a RBAC se službou IoT Hub: K povolení podrobného řízení přístupu na základě identit použijte Microsoft Entra ID a Azure RBAC pro přístup k rozhraní API pro správu služeb a správy. Další informace najdete v tématu Ověřování ID služby IoT Hub Entra a ověřování ID SLUŽBY DPS Entra.

• Pokud nejsou potřeba, zakažte zásady sdíleného přístupu: Omezte prostor pro útoky tím, že zakážete zásady a tokeny sdíleného přístupu, když je nepotřebujete. Další informace najdete v tématu Zásady sdíleného přístupu služby IoT Hub.

• Definujte řízení přístupu pro aplikaci IoT Central: Seznamte se s typem přístupu, který povolíte pro aplikaci IoT Central. Další informace najdete v následujících tématech:

  • Správa uživatelů a rolí v aplikaci IoT Central
  • Správa organizací IoT Central
  • Sledování aktivit v aplikaci IoT Central pomocí protokolů auditu
  • Ověřování a autorizace volání rozhraní IoT Central REST API

• Definování řízení přístupu pro back-endové služby: Ostatní služby Azure můžou využívat data, která vaše služba IoT Hub nebo aplikace IoT Central ingestuje z vašich zařízení. Zprávy ze zařízení můžete směrovat do jiných služeb Azure. Vysvětlení a konfigurace odpovídajících přístupových oprávnění pro IoT Hub nebo IoT Central pro připojení k těmto službám Další informace najdete v následujících tématech:

  • Čtení zpráv zařízení-cloud z integrovaného koncového bodu IoT Hubu
  • Použití směrování zpráv ioT Hubu k odesílání zpráv ze zařízení do cloudu do různých koncových bodů
  • Export dat IoT Central
  • Export dat IoT Central do zabezpečeného cíle ve službě Azure Virtual Network

• Udělte jenom minimální požadovaná oprávnění: Při přiřazování rolí a oprávnění uživatelům, aplikacím a zařízením použijte princip nejnižšího oprávnění. Další informace najdete v tématu Osvědčené postupy správy identit.

• Monitorování řešení IoT z cloudu: Monitorování celkového stavu řešení IoT pomocí metrik IoT Hubu ve službě Azure Monitor nebo Monitorování stavu aplikace IoT Central

• Nastavení diagnostiky: Monitorování operací protokolováním událostí ve vašem řešení a následné odeslání diagnostických protokolů do služby Azure Monitor. Další informace najdete v tématu Monitorování a diagnostika problémů ve službě IoT Hub.

Související obsah

• Zabezpečení ioT Hubu
• Průvodce zabezpečením IoT Central
• Postupy zabezpečení DPS
• Architektura zabezpečení IoT Edge
• Standardní hodnoty zabezpečení Azure pro Azure IoT Hub
• Přehledně navržená architektura v Azure IoT Hubu
• Standardní hodnoty zabezpečení Azure pro Kubernetes s podporou Azure Arc
• Koncepty pro zajištění zabezpečení úloh nativních pro cloud