Zabezpečení řešení IoT

Řešení IoT umožňují připojit, monitorovat a řídit zařízení a prostředky IoT ve velkém měřítku. V řešení připojeném ke cloudu se zařízení a prostředky připojují přímo ke cloudu. V řešení připojeném k okraji se zařízení a prostředky připojují k prostředí modulu runtime Edge. Abyste ochránili řešení IoT před hrozbami, musíte zabezpečit fyzické prostředky a zařízení, hraniční infrastrukturu a cloudové služby. Musíte také zabezpečit data, která procházejí vaším řešením IoT, ať už jsou na okraji sítě nebo v cloudu.

Tento článek obsahuje pokyny, jak nejlépe zabezpečit řešení IoT. Každá část obsahuje odkazy na obsah, který poskytuje další podrobnosti a pokyny.

Řešení připojené k okraji

Následující diagram znázorňuje přehledné zobrazení souvisejících komponent v typickém okrajově připojeném IoT řešení. Tento článek se zaměřuje na zabezpečení IoT řešení připojeného k síti na okraji.

V okrajově připojeném řešení IoT můžete zabezpečení rozdělit do následujících čtyř oblastí:

• Zabezpečení prostředků: Zabezpečte prostředek IoT, když je nasazený místně.

• Zabezpečení připojení: Zajistěte, aby všechna přenášená data mezi assetem, edge a cloudovými službami byla důvěrná a nenarušená.

• Zabezpečení edge: Zabezpečte svá data při procházení a jsou uložená na hraničním zařízení.

• Zabezpečení cloudu: Zabezpečte svá data při procházení a jsou uložená v cloudu.

Microsoft Defender pro IoT a kontejnery

Microsoft Defender for IoT je sjednocené řešení zabezpečení vytvořené speciálně pro identifikaci zařízení IoT a operačních technologií (OT), ohrožení zabezpečení a hrozeb. Microsoft Defender pro kontejnery je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných prostředků (clustery Kubernetes, uzly Kubernetes, úlohy Kubernetes, registry kontejnerů, image kontejnerů a další) a jejich aplikace v různých cloudových a místních prostředích.

Defender pro IoT i Defender pro kontejnery můžou automaticky monitorovat některá doporučení uvedená v tomto článku. Defender pro IoT a Defender pro kontejnery by měly být prvním obranným prvkem k ochraně řešení připojených na okrajových sítích. Další informace najdete v následujících tématech:

• Microsoft Defender pro kontejnery – přehled
• Microsoft Defender for IoT pro organizace – přehled.

Zabezpečení prostředků

Tato část obsahuje pokyny k zabezpečení prostředků, jako jsou průmyslová zařízení, senzory a další zařízení, která jsou součástí vašeho řešení IoT. Zabezpečení prostředku je nezbytné k zajištění integrity a důvěrnosti dat, která generuje a přenáší.

• Užívejte Azure Key Vault a rozšíření úložiště tajných kódů: K ukládání a správě citlivých informací prostředku, jako jsou klíče, hesla, certifikáty a tajné kódy, použijte Azure Key Vault. Operace Azure IoT používá Azure Key Vault jako řešení spravovaného trezoru v cloudu a používá rozšíření Azure Key Vault Secret Store pro Kubernetes k synchronizaci tajných kódů z cloudu a jejich ukládání na hraničních zařízeních jako tajné kódy Kubernetes. Další informace najdete v tématu Správa tajných informací pro nasazení s Operace Azure IoT.

• Nastavení zabezpečené správy certifikátů: Správa certifikátů je zásadní pro zajištění zabezpečené komunikace mezi prostředky a vaším hraničním prostředím runtime. Operace Azure IoT poskytuje nástroje pro správu certifikátů, včetně vydávání, obnovování a odvolávání certifikátů. Další informace najdete v tématu Správa certifikátů pro Operace Azure IoT interní komunikaci.

• Výběr hardwaru odolného proti manipulaci: Zvolte hardware prostředků s integrovanými mechanismy pro detekci fyzické manipulace, například otevření krytu zařízení nebo odebrání části zařízení. Tyto signály manipulace můžou být součástí datového proudu nahraného do cloudu a upozorňovat operátory na tyto události.

• Povolte zabezpečené aktualizace firmwaru prostředků: Používejte služby, které umožňují pro vaše prostředky přeletové aktualizace. Vytvářejte prostředky se zabezpečenými cestami pro aktualizace a kryptografické zajištění verzí firmwaru pro zabezpečení prostředků během a po aktualizacích.

• Bezpečně nasaďte hardware zařízení: Zajistěte, aby nasazení hardwaru bylo co nejvíce odolné proti manipulaci, zejména v nezabezpečených umístěních, jako jsou veřejné prostory nebo nesledovaná místa. Povolte pouze nezbytné funkce, které minimalizují nároky na fyzický útok, například bezpečné pokrytí portů USB, pokud nejsou potřeba.

• Postupujte podle osvědčených postupů zabezpečení a nasazení zařízení: Pokud výrobce zařízení poskytuje pokyny k zabezpečení a nasazení, postupujte podle těchto pokynů spolu s obecnými pokyny v tomto článku.

Zabezpečení připojení

Tato část poskytuje pokyny, jak zabezpečit připojení mezi vašimi majetky, hraničním runtime prostředím a cloudovými službami. Zabezpečení připojení je nezbytné k zajištění integrity a důvěrnosti přenášených dat.

• Použijte protokol TLS (Transport Layer Security) k zabezpečení připojení z prostředků: Veškerá komunikace v rámci Operace Azure IoT je šifrovaná pomocí protokolu TLS. Pokud chcete zajistit zabezpečené výchozí prostředí, které minimalizuje neúmyslné vystavení řešení připojeného k okraji útočníkům, Operace Azure IoT se nasadí s výchozí kořenovou certifikační autoritou a vystavitelem pro certifikáty serveru TLS. Pro produkční nasazení doporučujeme použít vlastní certifikační autoritu a podnikové řešení PKI.

• Přineste si vlastní certifikační autoritu pro produkční prostředí: Pro produkční nasazení nahraďte výchozí kořenovou certifikační autoritu podepsanou svým držitelem vlastním vystavitelem certifikační autority a integrujte ji s podnikovou pkI, abyste zajistili důvěryhodnost a dodržování předpisů. Další informace najdete v tématu Správa certifikátů pro Operace Azure IoT interní komunikaci.

• Zvažte použití podnikových bran firewall nebo proxy serverů ke správě odchozího provozu: Pokud používáte podnikové brány firewall nebo proxy servery, přidejte do seznamu povolených koncových bodů Operace Azure IoT.

• Šifrování interního provozu zprostředkovatele zpráv: Zajištění bezpečnosti interní komunikace ve vaší okrajové infrastruktuře je důležité pro zachování integrity a důvěrnosti dat. Zprostředkovatel MQTT byste měli nakonfigurovat tak, aby šifroval interní provoz a přenášená data mezi front-endem zprostředkovatele MQTT a back-endovými pody. Další informace najdete v tématu Konfigurace šifrování interního provozu zprostředkovatele a interních certifikátů.

• Konfigurujte protokol TLS s automatickou správou certifikátů pro naslouchací procesy ve zprostředkovateli MQTT: Operace Azure IoT poskytuje automatickou správu certifikátů pro naslouchací procesy ve zprostředkovateli MQTT. Tato funkce snižuje administrativní režii ruční správy certifikátů, zajišťuje včasné prodlužování platnosti a pomáhá udržovat dodržování zásad zabezpečení. Další informace najdete v tématu Zabezpečení komunikace zprostředkovatele MQTT pomocí BrokerListener.

• Nastavte zabezpečené připojení k serveru OPC UA: Při připojování k serveru OPC UA byste měli určit, kterým serverům OPC UA důvěřujete, abyste mohli bezpečně navázat relaci. Další informace najdete v tématu Konfigurace infrastruktury certifikátů OPC UA pro konektor pro OPC UA.

• Izolované a segmentační sítě: Pomocí segmentace sítě a bran firewall můžete izolovat clustery Operací IoT a hraniční zařízení od jiných síťových prostředků. Pokud používáte podnikové brány firewall nebo proxy servery, přidejte požadované koncové body do seznamu povolených. Další informace najdete v pokynech pro produkční nasazení – sítě.

Zabezpečení Edge

Tato část obsahuje pokyny k zabezpečení prostředí runtime na okrajové platformě, což je software, který běží na této platformě. Tento software zpracovává data vašich majetků a spravuje komunikaci mezi vašimi majetky a cloudovými službami. Zabezpečení hraničního prostředí runtime je nezbytné k zajištění integrity a důvěrnosti zpracovávaných a přenášených dat.

• Udržujte prostředí Runtime Edge aktuální: Udržujte váš cluster a nasazení Operace Azure IoT v aktuálním stavu s nejnovějšími opravami a dílčími verzemi, abyste získali všechny dostupné opravy zabezpečení a oprav chyb. V případě produkčních nasazení vypněte automatické aktualizace pro Azure Arc abyste měli úplnou kontrolu nad tím, kdy se na váš cluster použijí nové aktualizace. Místo toho podle potřeby agenty ručně upgradujte.

• Ověřte integritu obrázků kontejneru a helm: Před nasazením jakéhokoli obrázku do clusteru ověřte, že obrázek je podepsán Microsoftem. Další informace naleznete v ověřování podpisu obrázků.

• Pro ověřování pomocí zprostředkovatele MQTT vždy používejte certifikáty X.509 nebo tokeny účtu služby Kubernetes: Zprostředkovatel MQTT podporuje více metod ověřování pro klienty. Každý naslouchací port můžete nakonfigurovat tak, aby měl vlastní nastavení ověřování pomocí prostředku BrokerAuthentication. Další informace najdete v tématu Konfigurace ověřování zprostředkovatele MQTT.

• Poskytněte nejnižší úroveň oprávnění potřebnou pro prostředek tématu ve vašem MQTT brokeru: Zásady autorizace určují, jaké akce mohou klienti na brokeru provádět, například připojení, publikování nebo odběr témat. Nakonfigurujte zprostředkovatele MQTT tak, aby používal jednu nebo více zásad autorizace s prostředkem BrokerAuthorization. Další informace najdete v tématu Konfigurace autorizace zprostředkovatele MQTT.

Zabezpečení cloudu

Tato část obsahuje pokyny k zabezpečení cloudových služeb, což jsou služby, které zpracovávají a ukládají vaše data prostředků. Zabezpečení cloudových služeb je zásadní pro zajištění integrity a důvěrnosti vašich dat.

• Používejte spravované identity přiřazené uživatelem pro cloudová připojení: Vždy používejte ověřování spravované identity. Pokud je to možné, použijte spravovanou identitu přiřazenou uživatelem v koncových bodech toku dat pro flexibilitu a auditovatelnost. Další informace najdete na Povolit zabezpečená nastavení v Operace Azure IoT.

• Nasazení prostředků pro observabilitu a nastavení logů: Observabilita poskytuje přehled o každé vrstvě konfigurace Operace Azure IoT. Poskytuje přehled o skutečném chování problémů, což zvyšuje efektivitu techniky spolehlivosti lokality. Operace Azure IoT nabízí pozorovatelnost prostřednictvím vlastních kurátorovaných řídicích panelů Grafana hostovaných v Azure. Tyto řídicí panely využívají spravovanou službu Azure Monitor pro Prometheus a Container Insights. Nasadit prostředky pro sledovatelnost na vašem clusteru před nasazením Operace Azure IoT.

• Bezpečený přístup k prostředkům a koncovým bodům prostředků pomocí Azure RBAC: Prostředky a koncové body prostředků v Operace Azure IoT mají reprezentaci v clusteru Kubernetes i na portálu Azure. K zabezpečení přístupu k těmto prostředkům použijte Azure RBAC. Azure RBAC je autorizační systém, který umožňuje spravovat přístup k Azure prostředkům. Pomocí Azure RBAC udělte oprávnění uživatelům, skupinám a aplikacím v určitém rozsahu. Další informace najdete v tématu Zabezpečení přístupu k prostředkům a koncovým bodům prostředků.

Cloudové řešení

Následující diagram znázorňuje základní zobrazení komponent v typickém cloudovém řešení IoT. Tento článek se zaměřuje na zabezpečení v řešení IoT připojeném ke cloudu:

V řešení IoT připojeném ke cloudu můžete zabezpečení rozdělit do následujících tří oblastí:

• Zabezpečení zařízení: Zabezpečte zařízení IoT, když je nasazené místně.

• Zabezpečení připojení: Ujistěte se, že všechna data přenášená mezi zařízením IoT a cloudovými službami IoT jsou důvěrná a chráněná proti neoprávněné manipulaci.

• Zabezpečení cloudu: Zabezpečte svá data při procházení a jsou uložená v cloudu.

Doporučení v tomto článku vám pomůžou splnit bezpečnostní povinnosti popsané v modelu sdílené odpovědnosti.

Microsoft Defender for IoT

Microsoft Defender for IoT automaticky monitoruje některá doporučení v tomto článku. Microsoft Defender for IoT pravidelně analyzuje stav zabezpečení vašich Azure prostředků, aby identifikoval potenciální ohrožení zabezpečení a pak nabízí doporučení, jak je řešit. Další informace najdete v následujících tématech:

• Co je Microsoft Defender for IoT pro organizace?
• Co je Microsoft Defender for IoT pro tvůrce zařízení?
• Vylepšení stavu zabezpečení pomocí doporučení

Zabezpečení zařízení

Tato část obsahuje pokyny k zabezpečení zařízení IoT, což jsou hardwarové komponenty, které shromažďují a přenášejí data. Zabezpečení zařízení je nezbytné k zajištění integrity a důvěrnosti dat, která generuje a přenáší.

• Určení rozsahu hardwaru na minimální požadavky: Vyberte hardware zařízení, aby zahrnoval minimální funkce požadované pro jeho provoz a nic dalšího. Pokud jsou například potřeba pro provoz zařízení ve vašem řešení, zahrňte jenom porty USB. Další funkce můžou zařízení vystavit nežádoucím vektorům útoku.

• Výběr hardwaru odolného proti manipulaci: Vyberte hardware zařízení s integrovanými mechanismy pro detekci fyzické manipulace, například otevření krytu zařízení nebo odebrání části zařízení. Tyto signály manipulace můžou být součástí datového streamu nahraného do cloudu, což může upozorňovat operátory na tyto události.

• Vyberte zabezpečený hardware: Pokud je to možné, zvolte hardware zařízení, který zahrnuje funkce zabezpečení, jako je zabezpečené a šifrované úložiště a funkce spouštění založené na modulu Trusted Platform Module. Díky těmto funkcím jsou zařízení bezpečnější a pomáhají chránit celkovou infrastrukturu IoT.

• Povolit zabezpečené aktualizace: Používejte služby, jako je Aktualizace zařízení pro IoT Hub pro aktualizace vašich IoT zařízení. Vytvářejte zařízení se zabezpečenými cestami pro aktualizace a kryptografické zajištění verzí firmwaru, abyste svá zařízení zabezpečili během aktualizací a po aktualizaci.

• Postupujte podle metodologie vývoje zabezpečeného softwaru: Vývoj zabezpečeného softwaru vyžaduje, abyste zvážili zabezpečení od vzniku projektu až po implementaci, testování a nasazení. Microsoft Security Development Lifecycle poskytuje podrobný přístup k vytváření zabezpečeného softwaru.

• Sady SDK zařízení používejte, kdykoli je to možné: Sady SDK zařízení implementují různé funkce zabezpečení, jako je šifrování a ověřování, které vám pomůžou vyvíjet robustní a zabezpečené aplikace zařízení. Další informace najdete v Azure IoT SDK.

• Výběr opensourcového softwaru s opatrností: Opensourcový software poskytuje příležitost rychle vyvíjet řešení. Při výběru opensourcového softwaru zvažte úroveň aktivity komunity pro každou opensourcovou komponentu. Aktivní komunita zajišťuje podporu softwaru a zjištění a řešení problémů. Nejasný a neaktivní opensourcový softwarový projekt se nemusí podporovat a pravděpodobně se nezjistí problémy.

• Bezpečné nasazení hardwaru: Nasazení IoT může vyžadovat nasazení hardwaru v nezabezpečených umístěních, například ve veřejných prostorech nebo bez dohledu. V těchto situacích zajistěte, aby nasazení hardwaru bylo co nejodolnější proti manipulaci, a povolte pouze nezbytné funkce, které minimalizují potenciál fyzického útoku.

• Ukládání přihlašovacích údajů v modulech hardwarového zabezpečení (HSM): K bezpečnému ukládání tajných kódů zařízení, jako jsou privátní klíče a certifikáty, slouží k ochraně před extrakcí a manipulací. Další informace najdete v tématech IoT Hub ověřování X.509, DPS pokyny k HSM a IoT Edge správce zabezpečení.

• Pravidelně obměňujte klíče zařízení a certifikáty: Pravidelně obměňujte přihlašovací údaje, zejména po porušení zabezpečení nebo vypršení platnosti, abyste minimalizovali riziko neoprávněného přístupu. Další informace najdete v tématu Postup vrácení certifikátů ve službě DPS a správa certifikátů IoT Central X.509.

• Aktualizace a oprava: Udržujte všechny moduly runtime, sady SDK a komponenty operačního systému aktuální s nejnovějšími opravami zabezpečení a aktualizacemi. Další informace najdete v pokynech k aktualizaci IoT Edge.

• Ochrana před škodlivými aktivitami: Pokud operační systém povolí, nainstalujte do každého operačního systému zařízení nejnovější antivirové a antimalwarové funkce.

• Provádějte audit často: Auditujte infrastrukturu IoT kvůli problémům se zabezpečením, abyste mohli reagovat na bezpečnostní incidenty. Většina operačních systémů poskytuje integrované protokolování událostí. Kontrolujte protokoly často, abyste odhalili porušení zabezpečení. Zařízení může odesílat informace o auditu jako samostatný datový proud do cloudové služby, kde je můžete analyzovat.

• Postupujte podle osvědčených postupů zabezpečení a nasazení zařízení: Pokud výrobce zařízení poskytuje pokyny k zabezpečení a nasazení, postupujte podle těchto pokynů spolu s obecnými pokyny v tomto článku.

• Pomocí brány polí můžete poskytovat služby zabezpečení pro starší nebo omezená zařízení: Starší a omezená zařízení můžou mít možnost šifrovat data, připojovat se k internetu nebo poskytovat pokročilé auditování. V těchto případech může moderní a zabezpečená brána polí agregovat data ze starších zařízení a poskytovat zabezpečení potřebné pro připojení těchto zařízení přes internet. Zařízení IoT Edge lze použít jako bránu a poskytovat zabezpečené ověřování, vyjednávání šifrovaných relací, příjem příkazů z cloudu a mnoho dalších funkcí zabezpečení. Azure Sphere může fungovat jako modul strážce pro zabezpečení jiných zařízení, včetně stávajících starších systémů, které nejsou navržené pro důvěryhodné připojení.

• Šifrovat data v klidu: Použijte šifrování na úrovni OS, jako je BitLocker pro Windows, pro úložiště zařízení a edge, k ochraně dat v případě ztráty nebo odcizení zařízení. Další informace najdete v tématu IoT Edge zabezpečení.

Zabezpečení připojení

Tato část obsahuje pokyny k zabezpečení připojení mezi zařízeními IoT a cloudovými službami. Zabezpečení připojení je nezbytné k zajištění integrity a důvěrnosti přenášených dat.

• Použití certifikátů X.509 k ověření zařízení v IoT Hub nebo IoT Central: IoT Hub a IoT Central podporují certifikáty X509 pro ověřování zařízení. Ověřování založené na X509 použijte v produkčních prostředích, protože poskytuje větší zabezpečení než symetrické klíče. Další informace najdete v tématu Ověřování zařízení na IoT Hub a koncepty ověřování zařízení v IoT Central.

• Vyhněte se sdíleným symetrickým klíčům: Pokud používáte symetrické klíče, nesdílejte symetrické klíče mezi zařízeními. Každé zařízení potřebuje jedinečné přihlašovací údaje, aby se zabránilo rozsáhlému ohrožení zabezpečení v případě úniku klíče. Další informace najdete v tématu Postupy zabezpečení pro výrobce zařízení.

• Použít protokol TLS (Transport Layer Security) 1.2 k zabezpečení připojení ze zařízení: IoT Hub a IoT Central používají protokol TLS k zabezpečení připojení ze zařízení a služeb IoT. V současné době se podporují tři verze protokolu TLS: 1.0, 1.1 a 1.2. Protokoly TLS 1.0 a 1.1 se považují za starší. Další informace najdete v tématu Podpora tls (Transport Layer Security) v IoT Hub a podpoře TLS ve službě Azure IoT Hub Device Provisioning Service (DPS).

• Používejte silné šifrovací sady a udržujte kořenové certifikáty certifikační autority v aktualizovaném stavu: Pravidelně aktualizujte šifrovací sady a důvěryhodné kořenové certifikáty, aby se zachovala zabezpečená připojení. Další informace najdete v tématu IoT Hub podpora protokolu TLS.

• Ujistěte se, že máte na svých zařízeních způsob, jak aktualizovat kořenový certifikát TLS: Kořenové certifikáty TLS trvají dlouho, ale jejich platnost může vypršet nebo být odvolána. Pokud nemůžete aktualizovat certifikát na zařízení, nemusí se zařízení později připojit k IoT Hub, IoT Central ani žádné jiné cloudové službě. Další informace najdete v tématu Postup vrácení certifikátů zařízení X.509.

• Zvažte použití Azure Private Link: Azure Private Link umožňuje připojit vaše zařízení k privátnímu koncovému bodu ve vaší virtuální síti, což vám umožní blokovat přístup k veřejně přístupným koncovým bodům vašeho centra IoT Hub. Další informace najdete v tématu Vstupní připojení k IoT Hub pomocí Azure Private Link a síťová bezpečnost pro IoT Central pomocí privátních koncových bodů.

• Omezit přístup k síti: Pomocí filtrování IP adres omezte přístup k důvěryhodným zdrojům a sítím. Další informace najdete v tématech IoT Hub filtrování IP adres, soukromých koncových bodů a DPS IP filtrování.

• Pokud není vyžadován přístup k veřejné síti, zakažte přístup k veřejné síti: Pokud je to možné, zakažte veřejné koncové body. Další informace najdete v tématech veřejný přístup k IoT Hub a veřejný přístup k DPS.

• Izolovat hraniční zařízení a služby v zabezpečených síťových segmentech: K izolaci zařízení a služeb IoT Edge od jiných síťových prostředků použijte segmentaci sítě a brány firewall. Další informace najdete v tématu IoT Edge pro Linux na Windows: zabezpečení.

Zabezpečení cloudu

Tato část obsahuje pokyny k zabezpečení cloudových služeb, což jsou služby, které zpracovávají a ukládají data zařízení IoT. Zabezpečení cloudových služeb je zásadní pro zajištění integrity a důvěrnosti vašich dat.

• Postupujte podle metodologie vývoje zabezpečeného softwaru: Vývoj zabezpečeného softwaru vyžaduje, abyste zvážili zabezpečení od vzniku projektu až po implementaci, testování a nasazení. Microsoft Security Development Lifecycle poskytuje podrobný přístup k vytváření zabezpečeného softwaru.

• Výběr opensourcového softwaru s opatrností: Opensourcový software poskytuje příležitost rychle vyvíjet řešení. Při výběru opensourcového softwaru zvažte úroveň aktivity komunity pro každou opensourcovou komponentu. Aktivní komunita zajišťuje podporu softwaru a zjištění a řešení problémů. Nejasný a neaktivní opensourcový softwarový projekt nemusí být podporovaný a pravděpodobně se nezjistí problémy.

• Integrace s opatrností: Na hranici knihoven a rozhraní API existuje mnoho chyb zabezpečení softwaru. Funkce, které nejsou potřeba pro aktuální nasazení, můžou být stále dostupné prostřednictvím vrstvy rozhraní API. Pokud chcete zajistit celkové zabezpečení, zkontrolujte všechna rozhraní integrovaných komponent a zkontrolujte chyby zabezpečení.

• Ochrana cloudových přihlašovacích údajů: Útočník může pomocí přihlašovacích údajů cloudového ověřování, které používáte ke konfiguraci a provozu nasazení IoT, získat přístup k systému IoT a ohrozit ho. Přihlašovací údaje můžete chránit často změnou hesla a tyto přihlašovací údaje nepoužívejte na veřejných počítačích.

• Použití Microsoft Entra ID a RBAC s IoT Hub: Za účelem povolení podrobného řízení přístupu na základě identit použijte Microsoft Entra ID a Azure RBAC pro přístup ke službám a rozhraní API pro správu. Další informace najdete v tématu IoT Hub Entra ID ověřování a DPS Entra ID ověřování.

• Pokud nejsou potřeba, zakažte zásady sdíleného přístupu: Omezte prostor pro útoky tím, že zakážete zásady a tokeny sdíleného přístupu, když je nepotřebujete. Další informace najdete v tématu IoT Hub zásady sdíleného přístupu.

• Definujte řízení přístupu pro aplikaci IoT Central: Seznamte se s typem přístupu, který povolíte pro aplikaci IoT Central. Další informace najdete v následujících tématech:

  • Správa uživatelů a rolí v aplikaci IoT Central
  • Správa organizací IoT Central
  • Sledování aktivit v aplikaci IoT Central pomocí protokolů auditu
  • Ověřování a autorizace volání rozhraní IoT Central REST API

• Define řízení přístupu pro back-endové služby: Ostatní služby Azure můžou využívat data, která vaše služba IoT Hub nebo aplikace IoT Central ingestuje z vašich zařízení. Zprávy ze zařízení můžete směrovat do jiných služeb Azure. Vysvětlení a konfigurace odpovídajících přístupových oprávnění pro IoT Hub nebo IoT Central pro připojení k těmto službám Další informace najdete v následujících tématech:

  • Čtení zpráv z zařízení do cloudu z vestavěného koncového bodu IoT Hubu
  • Použití směrování zpráv IoT Hub k odesílání zpráv ze zařízení do cloudu do různých koncových bodů
  • Export dat IoT Central
  • Export dat IoT Central do zabezpečeného umístění na Azure Virtual Network

• Udělte jenom minimální požadovaná oprávnění: Při přiřazování rolí a oprávnění uživatelům, aplikacím a zařízením použijte princip nejnižšího oprávnění. Další informace najdete v tématu Osvědčené postupy správy identit.

• Monitorujte své řešení IoT z cloudu: Monitorování celkového stavu řešení IoT pomocí metrik IoT Hub v Azure Monitor nebo Monitor stavu aplikací IoT Central.

• Nastavte diagnostiku: Monitorujte operace protokolováním událostí v řešení a pak odešlete diagnostické protokoly do Azure Monitor. Další informace najdete v tématu Monitorování a diagnostika problémů ve službě IoT Hub.

Související obsah

• zabezpečení IoT Hub
• Průvodce zabezpečením IoT Central
• Postupy zabezpečení DPS
• IoT Edge bezpečnostní rámec
• Azure základní úroveň zabezpečení pro Azure IoT Hub
• Well-Architected Framework: pohled na Azure IoT Hub
• Baseline zabezpečení Azure pro Azure Arc-aktivované Kubernetes
• Koncepty pro zajištění zabezpečení úloh nativních pro cloud