Prozkoumání infrastruktury zabezpečení IoT od základů

  • 5 min

Internet věcí (IoT) představuje jedinečné výzvy zabezpečení, ochrany osobních údajů a dodržování předpisů pro firmy po celém světě. Na rozdíl od tradičních kybernetických technologií, kde se tyto problémy týkají softwaru a způsobu jeho implementace, se IoT obává, co se stane, když se kybernetický a fyzický svět konverguje. Ochrana řešení IoT vyžaduje zajištění zabezpečeného zřizování zařízení, zabezpečené připojení mezi těmito zařízeními a cloudem a zabezpečení ochrany dat v cloudu během zpracování a úložiště. Práce s těmito funkcemi jsou však zařízení s omezenými prostředky, geografická distribuce nasazení a velký počet zařízení v rámci řešení.

Microsoft Azure – zabezpečení infrastruktury IoT pro vaši firmu

Microsoft Azure nabízí kompletní cloudové řešení, které kombinuje neustále rostoucí kolekci integrovaných cloudových služeb – analýzy, strojové učení, úložiště, zabezpečení, sítě a web – s špičkovým závazkem k ochraně a ochraně osobních údajů vašich dat.

Systémy Microsoftu poskytují nepřetržitou detekci a prevenci neoprávněných vniknutí, prevenci útoků na služby, pravidelné penetrační testování a forenzní nástroje, které pomáhají identifikovat a zmírnit hrozby. Vícefaktorové ověřování poskytuje koncovým uživatelům další vrstvu zabezpečení pro přístup k síti. A pro aplikaci a poskytovatele hostitelů nabízí Microsoft řízení přístupu, monitorování, antimalwarový software, kontrolu ohrožení zabezpečení, opravy a správu konfigurace.

Azure IoT Hub nabízí plně spravovanou službu, která umožňuje spolehlivou a zabezpečenou obousměrnou komunikaci mezi zařízeními IoT a službami Azure, jako jsou Azure Machine Učení a Azure Stream Analytics, pomocí přihlašovacích údajů zabezpečení jednotlivých zařízení a řízení přístupu.

Zabezpečení zřizování a ověřování zařízení

Zabezpečené zřizování zařízení znamená poskytnutí jedinečného klíče identity pro každé zařízení, které může infrastruktura IoT používat ke komunikaci se zařízením během provozu. Vygenerovaný klíč s ID zařízení vybraným uživatelem tvoří základ tokenu používaného při veškeré komunikaci mezi zařízením a Azure IoT Hubem.

ID zařízení je možné přidružit k zařízení během výroby (tj. blikající v modulu důvěryhodnosti hardwaru) nebo použít existující pevnou identitu jako proxy server (například sériová čísla procesoru). Vzhledem k tomu, že změna této identifikace informací v zařízení není jednoduchá, je důležité zavést ID logických zařízení pro případ, že se základní hardware zařízení změní, ale logické zařízení zůstane stejné. V některých případech může dojít k přidružení identity zařízení v době nasazení zařízení (například ověřený technik v terénu fyzicky nakonfiguruje nové zařízení při komunikaci s back-endem řešení). Registr identit služby Azure IoT Hub poskytuje zabezpečené úložiště identit zařízení a klíčů zabezpečení pro řešení. Jednotlivé nebo skupiny identit zařízení je možné přidat do seznamu povolených nebo do seznamu blokovaných položek, čímž se povolí úplná kontrola přístupu zařízení.

Zásady řízení přístupu ke službě Azure IoT Hub v cloudu umožňují aktivaci a zakázání jakékoli identity zařízení a poskytují způsob, jak v případě potřeby zrušit přidružení zařízení od nasazení IoT. Toto přidružení a zrušení přidružení zařízení je založeno na každé identitě zařízení.

Mezi další funkce zabezpečení zařízení patří:

  • Zařízení nepřijímají nevyžádaná síťová připojení. Navazují všechna připojení a trasy pouze pro odchozí spojení. Aby zařízení přijalo příkaz z back-endu, musí zařízení zahájit připojení, aby zkontrolovalo, jestli se mají zpracovat všechny čekající příkazy. Jakmile je připojení mezi zařízením a IoT Hubem bezpečně navázáno, je možné transparentně odesílat zprávy z cloudu do zařízení a zařízení do cloudu.
  • Zařízení se připojují k dobře známým službám, se kterými jsou v partnerském vztahu, jako je Azure IoT Hub, nebo navazují trasy.
  • Autorizace a ověřování na úrovni systému používají identity pro jednotlivá zařízení, což umožňuje téměř okamžitě odvolat přístupové údaje a oprávnění.

Zabezpečené připojení

Azure IoT Hub podporuje zabezpečené připojení pomocí osvědčených protokolů – HTTPS, AMQP a MQTT.

Azure IoT Hub nabízí odolnost zasílání zpráv mezi cloudem a zařízeními prostřednictvím systému potvrzení v reakci na zprávy. Větší stálost zasílání zpráv se dosahuje ukládáním zpráv do mezipaměti ve službě IoT Hub po dobu až sedmi dnů pro telemetrii a dva dny pro příkazy. Tento přístup umožňuje, aby zařízení, která se připojují sporadicky, z důvodu problémů s napájením nebo připojením, dostávala tyto příkazy. Azure IoT Hub udržuje frontu pro každé zařízení pro každé zařízení.

Škálovatelnost vyžaduje možnost bezpečné spolupráce s širokou škálou zařízení. Azure IoT Hub umožňuje zabezpečené připojení k zařízením s povoleným PROTOKOLem IP i zařízením bez PROTOKOLU IP (pomocí zařízení IoT Edge jako brány).

Mezi další funkce zabezpečení připojení patří:

  • Komunikační cesta mezi zařízeními a službou Azure IoT Hub nebo mezi bránami a službou Azure IoT Hub je zabezpečená pomocí standardního protokolu TLS (Transport Layer Security) s Azure IoT Hubem ověřeným pomocí protokolu X.509.
  • Aby bylo možné chránit zařízení před nevyžádanými příchozími připojeními, Azure IoT Hub neotevře žádné připojení k zařízení. Zařízení inicializuje všechna připojení.
  • Azure IoT Hub trvale ukládá zprávy pro zařízení a čeká na připojení zařízení. Tyto příkazy se ukládají po dobu dvou dnů, což umožňuje, aby se zařízení připojovala sporadicky kvůli problémům s napájením nebo připojením, aby tyto příkazy přijímala. Azure IoT Hub udržuje frontu pro každé zařízení pro každé zařízení.

Zabezpečené zpracování a úložiště v cloudu

Azure IoT Hub s použitím ID Microsoft Entra pro ověřování a autorizaci uživatelů poskytuje model autorizace založený na zásadách pro data v cloudu, který umožňuje snadnou správu přístupu, kterou je možné auditovat a kontrolovat.

Jakmile jsou data v cloudu, můžete je zpracovat a uložit v libovolném uživatelsky definovaném pracovním postupu. Přístup k jednotlivým částem dat se řídí pomocí ID Microsoft Entra v závislosti na použité službě úložiště.

Všechny klíče používané infrastrukturou IoT se ukládají v cloudu v zabezpečeném úložišti, přičemž možnost převést klíče v případě, že je potřeba znovu vytvořit klíče. Data můžou být uložená ve službě Azure Cosmos DB nebo v databázích SQL, což umožňuje definici požadované úrovně zabezpečení. Kromě toho Azure poskytuje způsob, jak monitorovat a auditovat veškerý přístup k vašim datům, aby vás upozornil na případné neoprávněné vniknutí nebo neoprávněný přístup.

Zabezpečení sítí

Ve výchozím nastavení se názvy hostitelů služby IoT Hub mapují na veřejný koncový bod s veřejně směrovatelnou IP adresou přes internet. To umožňuje různým zákazníkům sdílet tento veřejný koncový bod služby IoT Hub a zajistit, aby zařízení IoT připojující se přes sítě v široké oblasti a místní sítě mohly přistupovat k vašemu centru. Existují ale situace, kdy můžete chtít omezit přístup k prostředkům Azure. Řešení Azure IoT podporují filtrování IP adres i virtuální sítě, aby v případě potřeby pomohla zabezpečit přístup.

Podrobné informace o zabezpečení přístupu k síti najdete v následujících zdrojích informací: