Sdílet prostřednictvím


Zabezpečení IoT Edge pro Linux ve Windows

Platí pro: Značka zaškrtnutí IoT Edge 1.5 IoT Edge 1.5 Značka zaškrtnutí IoT Edge 1.4 IoT Edge 1.4

Důležité

Podporované verze ioT Edge 1.5 LTS a IoT Edge 1.4 LTS. IoT Edge 1.4 LTS je konec životnosti 12. listopadu 2024. Pokud používáte starší verzi, podívejte se na článek Aktualizace IoT Edge.

Azure IoT Edge pro Linux ve Windows přináší výhody ze všech nabídek zabezpečení, které běží na hostiteli klienta nebo serveru Windows a zajišťuje, aby všechny další komponenty zůstaly ve stejném prostředí zabezpečení. Tento článek obsahuje informace o různých prostorách zabezpečení, které jsou ve výchozím nastavení povolené, a některé z volitelných míst, které může uživatel povolit.

Zabezpečení virtuálních počítačů

Kurátorovaný virtuální počítač IoT Edge pro Linux (EFLOW) je založený na Microsoft CBL-Mariner. CBL-Mariner je interní linuxová distribuce pro cloudovou infrastrukturu a hraniční produkty a služby Microsoftu. CBL-Mariner je navržený tak, aby poskytoval konzistentní platformu pro tato zařízení a služby a vylepšuje schopnost Microsoftu zůstat aktuální v aktualizacích Linuxu. Další informace najdete v tématu zabezpečení CBL-Mariner.

Virtuální počítač EFLOW je založený na čtyřbodové komplexní platformě zabezpečení:

  1. Servisní aktualizace
  2. Kořenový systém souborů jen pro čtení
  3. Uzamčení brány firewall
  4. Dm-Verity

Servisní aktualizace

Když nastanou ohrožení zabezpečení, zpřístupní CBL-Mariner nejnovější opravy zabezpečení a opravy pro obsluhu prostřednictvím měsíčních aktualizací ELOW. Virtuální počítač nemá žádný správce balíčků, takže není možné balíčky RPM stáhnout a nainstalovat ručně. Všechny aktualizace virtuálního počítače se instalují pomocí mechanismu aktualizace EFLOW A/B. Další informace o aktualizacích EFLOW najdete v tématu Aktualizace IoT Edge pro Linux ve Windows.

Kořenový systém souborů jen pro čtení

Virtuální počítač EFLOW se skládá ze dvou hlavních oddílů rootfs a dat. Kořenové oddílyFS-A nebo rootFS-B jsou zaměnitelné a jeden z těchto dvou je připojený jako systém /souborů jen pro čtení , což znamená, že u souborů uložených v tomto oddílu nejsou povoleny žádné změny. Na druhou stranu je datový oddíl připojený k /var oddílu čitelný a zapisovatelný, takže uživatel může upravovat obsah uvnitř oddílu. Data uložená v tomto oddílu nejsou manipulována procesem aktualizace, a proto se v rámci aktualizací nezmění.

Vzhledem k tomu, že možná budete potřebovat přístup k zápisu do /etc, , /var /home/rootpro konkrétní případy použití, zapisovací přístup pro tyto adresáře se provádí jejich překrytím do našeho datového oddílu speciálně do adresáře ./var/.eflow/overlays Konečným výsledkem je, že uživatelé můžou napsat cokoli do výše uvedených adresářů. Další informace o překryvných vrstvách najdete v tématu překryvné vrstvy.

Rozložení oddílu EFLOW CR

Oddíl Velikost Popis
BootEFIA 8 MB Oddíl firmwaru A pro budoucí spuštění GRUBless
BootA 192 MB Obsahuje spouštěcí zavaděč pro oddíl A.
RootFS A 4 GB Jeden ze dvou aktivních/pasivních oddílů, které uchovávají kořenový systém souborů
BootEFIB 8 MB Oddíl firmwaru B pro budoucí spuštění GRUBless
BootB 192 MB Obsahuje zavaděč pro oddíl B.
RootFS B 4 GB Jeden ze dvou aktivních/pasivních oddílů, které uchovávají kořenový systém souborů
Protokol 1 GB nebo 6 GB Protokoly připojené ke konkrétnímu oddílu v /logs
Data 2 GB až 2 TB Stavový oddíl pro ukládání trvalých dat napříč aktualizacemi Rozšiřitelné podle konfigurace nasazení

Poznámka:

Rozložení oddílů představuje velikost logického disku a neukazuje fyzické místo, které bude virtuální počítač zabírat na disku s hostitelským operačním systémem.

Brána firewall

Ve výchozím nastavení používá virtuální počítač EFLOW nástroj iptables pro konfigurace brány firewall. Iptables se používá k nastavení, údržbě a kontrole tabulek pravidel filtru paketů PROTOKOLU IP v jádru Linuxu. Výchozí implementace povoluje příchozí provoz jenom na portu 22 (služba SSH) a jinak blokuje provoz. Konfiguraci iptables můžete zkontrolovat pomocí následujících kroků:

  1. Otevření relace PowerShellu se zvýšenými oprávněními

  2. Připojení k virtuálnímu počítači EFLOW

    Connect-EflowVm
    
  3. Výpis všech pravidel iptables

    sudo iptables -L
    

    Výchozí iptables EFLOW

Ověřené spuštění

Virtuální počítač EFLOW podporuje ověřené spouštění prostřednictvím funkce jádra dm-verity (device-mapper-verity), která zajišťuje transparentní kontrolu integrity blokových zařízení. Dm-verity pomáhá zabránit trvalým rootkitům, které mohou obsahovat kořenová oprávnění a ohrožená zařízení. Tato funkce zajišťuje, aby image základního softwaru virtuálního počítače byla stejná a nebyla změněna. Virtuální počítač pomocí funkce dm-verity zkontroluje konkrétní blokové zařízení, základní vrstvu úložiště systému souborů a určí, jestli odpovídá očekávané konfiguraci.

Ve výchozím nastavení je tato funkce ve virtuálním počítači zakázaná a dá se zapnout nebo vypnout. Další informace najdete v tématu dm-verity.

Čip TPM (Trusted Platform Module)

Technologie TPM (Trusted Platform Module) je navržená tak, aby poskytovala hardwarové funkce související se zabezpečením. Čip TPM je zabezpečený kryptografický procesor, který je navržený k provádění kryptografických operací. Čip obsahuje několik mechanismů fyzického zabezpečení, díky kterým je odolný vůči manipulaci a škodlivý software nemůže manipulovat s bezpečnostními funkcemi čipu TPM.

Virtuální počítač EFLOW nepodporuje virtuální počítač vTPM. Uživatel ale může povolit nebo zakázat funkci předávání TPM, která virtuálnímu počítači EFLOW umožňuje používat čip TPM hostitele Windows. To umožňuje dva hlavní scénáře:

Zabezpečená komunikace hostitele a virtuálního počítače

EFLOW nabízí několik způsobů interakce s virtuálním počítačem zveřejněním bohaté implementace modulu PowerShellu. Další informace najdete v tématu Funkce PowerShellu pro IoT Edge pro Linux ve Windows. Tento modul vyžaduje, aby se spustila relace se zvýšenými oprávněními a je podepsaná pomocí certifikátu Microsoft Corporation.

Veškerá komunikace mezi hostitelským operačním systémem Windows a virtuálním počítačem EFLOW vyžadovaným rutinami PowerShellu se provádí pomocí kanálu SSH. Ve výchozím nastavení služba SSH virtuálního počítače nepovolí ověřování pomocí uživatelského jména a hesla a je omezena na ověřování certifikátů. Certifikát se vytvoří během procesu nasazení EFLOW a je jedinečný pro každou instalaci EFLOW. Aby se zabránilo útokům hrubou silou SSH, virtuální počítač navíc zablokuje IP adresu, pokud se pokusí o více než tři připojení za minutu ke službě SSH.

Ve verzi EFLOW Continuous Release (CR) jsme zavedli změnu v přenosovém kanálu, která se používá k navázání připojení SSH. Služba SSH je původně spuštěná na portu TCP 22, ke kterému mají přístup všechna externí zařízení ve stejné síti pomocí soketu TCP na tento konkrétní port. Z bezpečnostních důvodů spouští EFLOW CR službu SSH přes sokety Hyper-V místo normálních soketů TCP. Veškerá komunikace přes sokety Hyper-V běží mezi hostitelským operačním systémem Windows a virtuálním počítačem EFLOW bez použití sítí. Tím omezíte přístup ke službě SSH a omezíte připojení jenom na hostitelský operační systém Windows. Další informace najdete v tématu Sokety Technologie Hyper-V.

Další kroky

Další informace o místním zabezpečení Windows IoT

Mějte přehled o nejnovějších aktualizacích IoT Edge pro Linux ve Windows.