Kontrola doporučení zabezpečení
Microsoft navrhuje následující doporučení zabezpečení pro jednotlivce a společnosti pracující na řešeních IoT. Implementace těchto doporučení vám pomůže splnit vaše bezpečnostní povinnosti, jak je popsáno v modelu sdílené odpovědnosti Microsoftu.
Některé z níže popsaných doporučení může Microsoft Defender for Cloud automaticky monitorovat. Microsoft Defender for Cloud (Azure Security Center a Azure Defender se teď nazývají Microsoft Defender for Cloud) je první linie ochrany vašich prostředků v Azure. Pravidelně analyzuje stav zabezpečení vašich prostředků Azure za účelem identifikace potenciálních ohrožení zabezpečení. Pak vám poskytne doporučení, jak je řešit.
OBECNÉ
Doporučení
Komentáře
Buďte v obraze.
Používejte nejnovější verze podporovaných platforem, programovacích jazyků, protokolů a architektur.
Zachovejte ověřovací klíče v bezpečí.
Po nasazení zachovejte ID zařízení a jejich ověřovací klíče fyzicky v bezpečí. Tím se zabrání maskování škodlivého zařízení jako registrovaného zařízení.
Pokud je to možné, používejte sady SDK zařízení.
Sady SDK zařízení implementují funkce zabezpečení, jako je šifrování, ověřování atd., a pomáhají vám při vývoji robustní a zabezpečené aplikace zařízení. Další investice Microsoftu do sad SDK znamenají, že budete těžit z podpory nových pokroků v oblasti zabezpečení.
Správa identit a přístupu
Doporučení
Komentáře
Definujte řízení přístupu pro centrum.
Seznamte se s typem přístupu, který bude mít každá komponenta v řešení IoT Hubu, a to na základě těchto funkcí. Povolená oprávnění jsou Čtení registru, RegistryReadWrite, Service Připojení a Device Připojení. Výchozí zásady sdíleného přístupu ve službě IoT Hub vám také můžou pomoct definovat oprávnění pro každou komponentu na základě její role.
Definujte řízení přístupu pro back-endové služby.
Data ingestovaná řešením IoT Hub je možné využívat jinými službami Azure, jako jsou Cosmos DB, Stream Analytics, App Service, Logic Apps a Blob Storage. Ujistěte se, že rozumíte a povolte příslušná přístupová oprávnění, jak je uvedeno v těchto službách.
Ochrana dat
Doporučení
Komentáře
Zabezpečené ověřování zařízení.
Zajistěte zabezpečenou komunikaci mezi zařízeními a centrem IoT pomocí jedinečného klíče identity nebo tokenu zabezpečení nebo certifikátu X.509 na zařízení pro každé zařízení. Použijte příslušnou metodu pro použití tokenů zabezpečení na základě zvoleného protokolu (MQTT, AMQP nebo HTTPS).
Zabezpečená komunikace zařízení.
IoT Hub zabezpečuje připojení k zařízením pomocí standardu TLS (Transport Layer Security), který podporuje verze 1.2 a 1.0. K zajištění maximálního zabezpečení použijte protokol TLS 1.2.
Zabezpečená komunikace se službami.
IoT Hub poskytuje koncové body pro připojení k back-endovým službám, jako je Azure Storage nebo Event Hubs, pouze pomocí protokolu TLS a žádný koncový bod není vystavený v nešifrovaném kanálu. Jakmile tato data dosáhnou těchto back-endových služeb pro ukládání nebo analýzu, nezapomeňte pro tuto službu použít vhodné metody zabezpečení a šifrování a chránit citlivé informace v back-endu.
Sítě
Doporučení
Komentáře
Chraňte přístup k vašim zařízením.
Zachovejte hardwarové porty v zařízeních na úplné minimum, abyste se vyhnuli nežádoucímu přístupu. Kromě toho můžete vytvářet mechanismy, které brání nebo detekují fyzickou manipulaci se zařízením. Podrobnosti najdete v osvědčených postupech zabezpečení IoT.
Vytvoření zabezpečeného hardwaru
Začleňte funkce zabezpečení, jako je šifrované úložiště nebo čip TPM (Trusted Platform Module), abyste zajistili lepší zabezpečení zařízení a infrastruktury. Udržujte operační systém a ovladače zařízení upgradované na nejnovější verze a v případě povolení místa nainstalujte antivirové a antimalwarové funkce. Přečtěte si architekturu zabezpečení IoT, abyste pochopili, jak to může pomoct zmírnit několik bezpečnostních hrozeb.
Sledování
Doporučení
Komentáře
Monitorujte neoprávněný přístup k vašim zařízením.
Pomocí funkce protokolování operačního systému vašeho zařízení můžete monitorovat porušení zabezpečení nebo fyzické manipulace se zařízením nebo jeho porty.
Monitorujte své řešení IoT z cloudu.
Pomocí metrik ve službě Azure Monitor monitorujte celkový stav vašeho řešení IoT Hub.
Nastavení diagnostiky
Pečlivě sledujte operace protokolováním událostí ve vašem řešení a odesláním diagnostických protokolů do služby Azure Monitor, abyste získali přehled o výkonu. Další informace najdete v článku Monitorování a diagnostika problémů ve službě IoT Hub.