Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
IoT Edge 1.1
Důležité
Datum ukončení podpory ioT Edge 1.1 bylo 13. prosince 2022. Informace o tom, jak se tento produkt, služba, technologie nebo rozhraní API podporují, najdete v životním cyklu produktů Společnosti Microsoft . Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu Aktualizace IoT Edge.
Azure IoT Edge pro Linux ve Windows přináší výhody ze všech nabídek zabezpečení, které běží na hostiteli klienta nebo serveru Windows a zajišťuje, aby všechny další komponenty zůstaly ve stejném prostředí zabezpečení. Tento článek obsahuje informace o různých prostorách zabezpečení, které jsou ve výchozím nastavení povolené, a některé z volitelných míst, které může uživatel povolit.
Zabezpečení virtuálních počítačů
Kurátorovaný virtuální počítač IoT Edge pro Linux (EFLOW) je založený na Microsoft CBL-Mariner. CBL-Mariner je interní linuxová distribuce pro cloudovou infrastrukturu a hraniční produkty a služby Microsoftu. CBL-Mariner je navržený tak, aby poskytoval konzistentní platformu pro tato zařízení a služby a vylepšuje schopnost Microsoftu zůstat aktuální v aktualizacích Linuxu. Další informace najdete v tématu CBL-Mariner zabezpečení.
Virtuální počítač EFLOW je založený na tříbodové komplexní platformě zabezpečení:
- Servisní aktualizace
- Kořenový systém souborů jen pro čtení
- Blokáda brány firewall
Servisní aktualizace
Když se objeví zranitelnosti zabezpečení, zpřístupní CBL-Mariner nejnovější bezpečnostní záplaty a opravy pro obsluhu prostřednictvím měsíčních aktualizací ELOW. Virtuální počítač nemá žádný správce balíčků, takže není možné balíčky RPM stáhnout a nainstalovat ručně. Všechny aktualizace virtuálního počítače se instalují pomocí mechanismu aktualizace EFLOW A/B. Další informace o aktualizacích EFLOW najdete v tématu Aktualizace IoT Edge pro Linux ve Windows.
Kořenový systém souborů jen pro čtení
Virtuální počítač EFLOW se skládá ze dvou hlavních oddílů rootfs a dat. Oddíly rootFS-A nebo rootFS-B lze zaměnit a jeden z těchto dvou je připojen jako souborový systém pouze pro čtení na /, což znamená, že soubory uložené v tomto oddílu nelze měnit. Na druhou stranu je datový oddíl připojený k /var oddílu čitelný a zapisovatelný, takže uživatel může upravovat obsah uvnitř oddílu. Data uložená v tomto oddílu nejsou manipulována procesem aktualizace, a proto se v rámci aktualizací nezmění.
Vzhledem k tomu, že možná budete potřebovat přístup k zápisu do /etc, , /home/root/varpro konkrétní případy použití, zapisovací přístup pro tyto adresáře se provádí jejich překrytím do našeho datového oddílu speciálně do adresáře ./var/.eflow/overlays Konečným výsledkem je, že uživatelé můžou napsat cokoli do výše uvedených adresářů. Další informace o překryvných vrstvách najdete v tématu překryvné vrstvy.
| Oddíl | Velikost | Popis |
|---|---|---|
| Bota | 192 MB | Obsahuje spouštěcí zavaděč. |
| RootFS A | 2 GB | Jeden ze dvou aktivních/pasivních oddílů, které uchovávají kořenový systém souborů |
| RootFS B | 2 GB | Jeden ze dvou aktivních/pasivních oddílů, které uchovávají kořenový systém souborů |
| Aktualizace AB | 2 GB | Obsahuje aktualizační soubory. Ujistěte se, že je na virtuálním počítači vždy dostatek místa pro aktualizace. |
| Údaje | 2 GB až 2 TB | Stavový oddíl pro ukládání trvalých dat napříč aktualizacemi Rozšiřitelné podle konfigurace nasazení |
Poznámka:
Rozložení oddílů představuje velikost logického disku a neukazuje fyzické místo, které bude virtuální počítač zabírat na disku s hostitelským operačním systémem.
Firewall (síťová brána)
Ve výchozím nastavení používá virtuální počítač EFLOW nástroj iptables pro konfigurace brány firewall. Iptables se používá k nastavení, údržbě a kontrole tabulek pravidel filtru paketů PROTOKOLU IP v jádru Linuxu. Výchozí implementace povoluje příchozí provoz jenom na portu 22 (služba SSH) a jinak blokuje provoz. Konfiguraci iptables můžete zkontrolovat pomocí následujících kroků:
Otevření relace PowerShellu se zvýšenými oprávněními
Připojení k virtuálnímu počítači EFLOW
Connect-EflowVmVýpis všech pravidel iptables
sudo iptables -L
Modul důvěryhodné platformy (TPM)
Technologie TPM (Trusted Platform Module) je navržená tak, aby poskytovala hardwarové funkce související se zabezpečením. Čip TPM je zabezpečený kryptografický procesor, který je navržený k provádění kryptografických operací. Čip obsahuje několik mechanismů fyzického zabezpečení, díky kterým je odolný vůči manipulaci a škodlivý software nemůže manipulovat s bezpečnostními funkcemi čipu TPM.
Virtuální počítač EFLOW nepodporuje vTPM. Uživatel ale může funkci předávání TPM povolit nebo zakázat, která virtuálnímu počítači EFLOW umožňuje používat čip TPM hostitele Windows. To umožňuje dva hlavní scénáře:
- Použití technologie TPM pro zřizování zařízení IoT Edge pomocí služby Device Provision Service (DPS). Další informace najdete v tématu Vytvoření a zřízení IoT Edge pro Linux na zařízení s Windows ve velkém měřítku pomocí čipu TPM.
- Přístup jen pro čtení k kryptografickým klíčům uloženým v čipu TPM. Další informace naleznete v části Set-EflowVmFeature pro povolení předávání TPM.
Zabezpečená komunikace hostitele a virtuálního počítače
EFLOW nabízí několik způsobů interakce s virtuálním počítačem zveřejněním bohaté implementace modulu PowerShellu. Další informace najdete v tématu Funkce PowerShellu pro IoT Edge pro Linux ve Windows. Tento modul vyžaduje, aby se spustila relace se zvýšenými oprávněními a je podepsaná pomocí certifikátu Microsoft Corporation.
Veškerá komunikace mezi hostitelským operačním systémem Windows a virtuálním počítačem EFLOW vyžadovaným rutinami PowerShellu se provádí pomocí kanálu SSH. Ve výchozím nastavení služba SSH virtuálního počítače nepovolí ověřování pomocí uživatelského jména a hesla a je omezena na ověřování certifikátů. Certifikát se vytvoří během procesu nasazení EFLOW a je jedinečný pro každou instalaci EFLOW. Aby se zabránilo útokům hrubou silou SSH, virtuální počítač navíc zablokuje IP adresu, pokud se pokusí o více než tři připojení za minutu ke službě SSH.
Další kroky
Další informace o místním zabezpečení Windows IoT
Zůstaňte up-toinformováni o nejnovějších aktualizacích IoT Edge pro Linux ve Windows.