Sichern Ihrer IoT-Lösungen

Mit IoT-Lösungen können Sie Ihre IoT-Geräte und -Ressourcen im großen Maßstab verbinden, überwachen und steuern. In einer cloudbasierten Lösung stellen Geräte und Objekte eine direkte Verbindung mit der Cloud her. In einer edgebasierten Lösung stellen Geräte und Ressourcen eine Verbindung mit einer Edge-Laufzeitumgebung her. Sie müssen Ihre physischen Ressourcen und Geräte, Edgeinfrastruktur und Clouddienste schützen, um Ihre IoT-Lösung vor Bedrohungen zu schützen. Sie müssen auch die Daten schützen, die über Ihre IoT-Lösung fließen, unabhängig davon, ob sie sich am Edge oder in der Cloud befinden.

Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer IoT-Lösung. Jeder Abschnitt enthält Links zu Inhalten, die weitere Details und Anleitungen enthalten.

Edgebasierte Lösung

Das folgende Diagramm zeigt eine allgemeine Ansicht der Komponenten in einer typischen edgebasierten IoT-Lösung. Dieser Artikel konzentriert sich auf die Sicherheit einer edgebasierten IoT-Lösung:

In einer edgebasierten IoT-Lösung können Sie die Sicherheit in die folgenden vier Bereiche unterteilen:

• Ressourcensicherheit: Sichern Sie die IoT-Ressource, während sie lokal bereitgestellt wird.

• Verbindungssicherheit: Stellen Sie sicher, dass alle Daten während der Übertragung zwischen der Ressource, dem Edge und den Clouddiensten vertraulich und manipulationssicher sind.

• Edge-Sicherheit: Schützen Sie Ihre Daten während der Verschiebung und Speicherung am Edge.

• Cloudsicherheit: Sichern Sie Ihre Daten, während sie durch die Cloud übertragen werden und dort gespeichert sind.

Microsoft Defender for IoT und for Containers

Microsoft Defender for IoT ist eine einheitliche Sicherheitslösung, die speziell zum Bestimmen von IoT- und OT-Geräten (Operational Technology), Sicherheitsrisiken und Bedrohungen entwickelt wurde. Microsoft Defender for Containers ist eine cloudnative Lösung zum Verbessern, Überwachen und Verwalten der Sicherheit Ihrer containerisierten Ressourcen (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und vieles mehr) und deren Anwendungen in Multi-Cloud- und lokalen Umgebungen.

Sowohl Defender for IoT als auch Defender for Containers können einige der in diesem Artikel enthaltenen Empfehlungen automatisch überwachen. Defender for IoT und Defender for Containers sollten die erste Verteidigungsbasis darstellen, um Ihre edgebasierte Lösung zu schützen. Weitere Informationen finden Sie unter:

• Microsoft Defender for Containers – Übersicht
• Microsoft Defender for IoT für Organisationen – Übersicht

Anlagensicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Ressourcen, z. B. Industrielle Geräte, Sensoren und andere Geräte, die Teil Ihrer IoT-Lösung sind. Die Sicherheit des Vermögens ist entscheidend, um die Integrität und Vertraulichkeit der von ihr generierten und übertragenen Daten sicherzustellen.

• Verwenden Sie Azure Key Vault und die Erweiterung des geheimen Speichers: Verwenden Sie Azure Key Vault , um vertrauliche Informationen der Ressource wie Schlüssel, Kennwörter, Zertifikate und geheime Schlüssel zu speichern und zu verwalten. Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und die Azure Key Vault Secret Store-Erweiterung für Kubernetes, um Geheimnisse aus der Cloud zu synchronisieren und sie am Edge als Kubernetes-Geheimnisse zu speichern. Weitere Informationen finden Sie unter Verwalten von Geheimnissen für Ihre Azure IoT Einsatz-Bereitstellung.

• Einrichten der sicheren Zertifikatverwaltung: Die Verwaltung von Zertifikaten ist entscheidend für die sichere Kommunikation zwischen Ressourcen und Ihrer Edge-Laufzeitumgebung. Azure IoT Einsatz bietet Tools zum Verwalten von Zertifikaten, einschließlich des Ausstellens, Erneuerns und Widerrufens von Zertifikaten. Weitere Informationen finden Sie unter Zertifikatverwaltung für die interne Kommunikation von Azure IoT Einsatz.

• Wählen Sie manipulationssichere Hardware aus: Wählen Sie Asset-Hardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, z. B. das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.

• Ermöglichen von sicheren Updates für die Ressourcenfirmware: Verwenden Sie Dienste, die Over-The-Air-Updates für Ihre Ressourcen ermöglichen. Entwickeln Sie Ressourcen mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um die Ressourcen während und nach Updates zu schützen.

• Sicheres Bereitstellen von Ressourcenhardware: Stellen Sie sicher, dass die Bereitstellung von Ressourcenhardware möglichst weitgehend gegen Manipulation geschützt ist, insbesondere an unsicheren Orten wie öffentlichen Räumen oder nicht überwachten Gebietsschemas. Aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren, z. B. sichere Abdeckung von USB-Anschlüssen, wenn sie nicht benötigt werden.

• Befolgen Sie bewährte Methoden für Die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Sicherheits- und Bereitstellungsleitfaden bereitstellt, befolgen Sie diese Anleitung zusammen mit den allgemeinen Anleitungen in diesem Artikel.

Verbindungssicherheit

Dieser Abschnitt enthält Anleitungen zum Absichern der Verbindungen zwischen Ihren Assets, der Edge-Laufzeitumgebung und den Clouddiensten. Die Sicherheit der Verbindungen ist entscheidend, um die Integrität und Vertraulichkeit der übertragenen Daten sicherzustellen.

• Verwenden von Transport Layer Security (TLS) zum Sichern von Verbindungen von Ressourcen: Die gesamte Kommunikation innerhalb von Azure IoT Einsatz wird mithilfe von TLS verschlüsselt. Um eine standardmäßig sichere Erfahrung bereitzustellen, die die unbeabsichtigte Gefährdung Ihrer edgebasierten Lösung gegenüber Angreifern minimiert, wird Azure IoT Einsatz mit einer Standardstammzertifizierungsstelle und einem Aussteller für TLS-Serverzertifikate bereitgestellt. Für eine Produktionsbereitstellung empfehlen wir die Verwendung Ihres eigenen ZS-Ausstellers und einer Unternehmens-PKI-Lösung.

• Bringen Sie Ihre eigene Zertifizierungsstelle für die Produktion mit: Ersetzen Sie für Produktionsbereitstellungen die standardmäßige selbstsignierte Stammzertifizierungsstelle durch Ihren eigenen Zertifizierungsstellenherausgeber und integrieren Sie sie in eine Unternehmens-PKI, um Vertrauen und Compliance sicherzustellen. Weitere Informationen finden Sie unter Zertifikatverwaltung für die interne Kommunikation von Azure IoT Einsatz.

• Möglichkeit der Verwendung von Unternehmensfirewalls oder Proxys zum Verwalten ausgehenden Datenverkehrs: Wenn Sie Unternehmensfirewalls oder Proxys verwenden, fügen Sie der Zulassungsliste die Azure IoT Einsatz-Endpunkte hinzu.

• Verschlüsseln des internen Datenverkehrs des Nachrichtenbrokers: Die Gewährleistung der Sicherheit der internen Kommunikation innerhalb Ihrer Infrastruktur ist wichtig für die Aufrechterhaltung der Datenintegrität und -vertraulichkeit. Sie sollten den MQTT-Broker so konfigurieren dass interner Datenverkehr zwischen den Front-End- und Back-End-Pods des MQTT-Brokers verschlüsselt wird. Weitere Informationen finden Sie unter Konfigurieren der Verschlüsselung des internen Brokerdatenverkehrs und interner Zertifikate.

• Konfigurieren von TLS mit der automatischen Zertifikatverwaltung für Listener in Ihrem MQTT-Broker: Azure IoT Einsatz bietet eine automatische Zertifikatverwaltung für Listener in Ihrem MQTT-Broker. Diese Funktion reduziert den verwaltungstechnischen Aufwand bei der manuellen Verwaltung von Zertifikaten, stellt zeitnahe Erneuerungen sicher und hilft bei der Einhaltung von Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Schützen der MQTT-Broker-Kommunikation mit BrokerListener.

• Einrichten einer sicheren Verbindung mit dem OPC UA-Server: Beim Herstellen einer Verbindung mit einem OPC UA-Server sollten Sie bestimmen, mit welchen OPC UA-Servern Sie sicher eine Sitzung herstellen können. Weitere Informationen finden Sie unter Konfigurieren der OPC UA-Zertifikatinfrastruktur für den Anschluss für OPC UA.

• Isolieren und Segmentieren von Netzwerken: Verwenden Sie Netzwerksegmentierung und Firewalls, um IoT Operations-Cluster und Edgegeräte von anderen Netzwerkressourcen zu isolieren. Fügen Sie ihrer Zulassungsliste erforderliche Endpunkte hinzu, wenn Sie Unternehmensfirewalls oder Proxys verwenden. Weitere Informationen finden Sie in den Richtlinien für die Produktionsbereitstellung – Netzwerk.

Edgesicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Edge-Laufzeitumgebung, bei der es sich um die Software handelt, die auf Ihrer Edgeplattform ausgeführt wird. Diese Software verarbeitet Ihre Bestandsdaten und verwaltet die Kommunikation zwischen Ihren Ressourcen und Clouddiensten. Die Sicherheit der Edge-Laufzeitumgebung ist entscheidend, um die Integrität und Vertraulichkeit der verarbeiteten und übertragenen Daten sicherzustellen.

• Halten der Edge-Laufzeitumgebung auf dem neuesten Stand: Halten Sie die Bereitstellung Ihrer Cluster und von Azure IoT Einsatz mit aktuellen Patches und Nebenversionen auf dem neuesten Stand, um alle verfügbaren Sicherheits- und Fehlerbehebungen zu erhalten. Deaktivieren Sie für Produktionsbereitstellungen das automatische Upgrade für Azure Arc , um die vollständige Kontrolle darüber zu haben, wann neue Updates auf Ihren Cluster angewendet werden. Aktualisieren Sie stattdessen die Agents nach Bedarf manuell.

• Überprüfen Sie die Integrität von Container- und Helmimages: Stellen Sie vor der Bereitstellung eines Images für Ihren Cluster sicher, dass das Image von Microsoft signiert ist. Weitere Informationen finden Sie unter Überprüfen der Signierung von Images.

• Ausschließliches Verwenden von X.509-Zertifikaten oder Kubernetes-Dienstkontotoken für die Authentifizierung mit Ihrem MQTT-Broker: Ein MQTT-Broker unterstützt mehrere Authentifizierungsmethoden für Clients. Sie können jeden Listenerport so konfigurieren, dass er über eigene Authentifizierungseinstellungen mit einer BrokerAuthentication-Ressource verfügt. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerauthentifizierung.

• Bereitstellen der geringsten erforderlichen Rechte für die Themenressource in Ihrem MQTT-Broker: Mithilfe von Autorisierungsrichtlinien wird bestimmt, welche Aktionen die Clients mit dem Broker ausführen können, wie etwa Verbinden, Veröffentlichen oder Abonnieren von Themen. Konfigurieren Sie den MQTT-Broker für die Verwendung einer oder mehrerer Autorisierungsrichtlinien mithilfe der BrokerAuthorization-Ressource. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerautorisierung.

Cloudsicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Clouddienste, bei denen es sich um die Dienste handelt, die Ihre Bestandsdaten verarbeiten und speichern. Die Sicherheit der Clouddienste ist entscheidend, um die Integrität und Vertraulichkeit Ihrer Daten sicherzustellen.

• Verwenden von benutzerseitig zugewiesenen verwalteten Identitäten für Cloudverbindungen: Verwenden Sie immer die Authentifizierung mit verwalteter Identität. Verwenden Sie nach Möglichkeit die benutzerseitig zugewiesene verwaltete Identität in Datenflussendpunkten, um Flexibilität und Auditierbarkeit zu gewährleisten. Weitere Informationen finden Sie unter Aktivieren sicherer Einstellungen in Azure IoT Operations.

• Bereitstellen von Ressourcen für Einblicke und Einrichten von Protokollen: Erhalten Sie Einblicke in jede Ebene Ihrer Azure IoT Operations-Konfiguration. Sie erhalten Einblicke in das tatsächliche Verhalten von Problemen, wodurch die Effektivität des Zuverlässigkeits-Engineerings von Standorten erhöht wird. Azure IoT Operations bietet Observability über benutzerdefinierte kuratierte Grafana-Dashboards, die in Azure gehostet werden. Diese Dashboards werden von dem Azure Monitor verwalteter Dienst für Prometheus und von Container Insights unterstützt. Stellen Sie in Ihrem Cluster Ressourcen für Einblicke bereit.

• Sichern des Zugriffs auf Ressourcen und Ressourcenendpunkte mit Azure RBAC: Ressourcen und Ressourcenendpunkte in Azure IoT Einsatz sind sowohl im Kubernetes-Cluster als auch im Azure-Portal vertreten. Verwenden Sie Azure RBAC, um den Zugriff auf diese Ressourcen zu sichern. Azure RBAC ist ein Autorisierungssystem, über das Sie den Zugriff auf Azure-Ressourcen verwalten können. Verwenden Sie Azure RBAC, um Benutzern, Gruppen und Anwendungen Berechtigungen zu einem bestimmten Bereich zu erteilen. Weitere Informationen finden Sie unter Sicherer Zugriff auf Objekte und Objektendpunkte.

Cloudbasierte Lösung

Das folgende Diagramm zeigt eine allgemeine Ansicht der Komponenten in einer typischen cloudbasierten IoT-Lösung. Dieser Artikel konzentriert sich auf sicherheit in einer cloudbasierten IoT-Lösung:

In einer cloudbasierten IoT-Lösung können Sie die Sicherheit in die folgenden drei Bereiche unterteilen:

• Gerätesicherheit: Sichern Sie das IoT-Gerät, während es lokal bereitgestellt wird.

• Verbindungssicherheit: Sicherstellen, dass alle Daten, die zwischen IoT-Gerät und IoT-Hub übertragen werden, vertraulich und fälschungssicher sind.

• Cloudsicherheit: Sichern Sie Ihre Daten, während sie durch die Cloud übertragen werden und dort gespeichert sind.

Die Empfehlungen in diesem Artikel helfen Ihnen, die im Modell der gemeinsamen Verantwortung beschriebenen Sicherheitsverpflichtungen zu erfüllen.

Microsoft Defender für IoT

Microsoft Defender für IoT überwacht automatisch einige der Empfehlungen in diesem Artikel. Microsoft Defender für IoT analysiert in regelmäßigen Abständen den Sicherheitsstatus Ihrer Azure-Ressourcen, um potenzielle Sicherheitsrisiken zu identifizieren und bietet dann Empfehlungen zur Behebung dieser Sicherheitsrisiken. Weitere Informationen finden Sie unter:

• Was ist Microsoft Defender for IoT für Organisationen?
• Was ist Microsoft Defender for IoT für Gerätehersteller?
• Verbessern des Sicherheitsstatus mit Sicherheitsempfehlungen.

Gerätesicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer IoT-Geräte, bei denen es sich um die Hardwarekomponenten handelt, die Daten sammeln und übertragen. Die Sicherheit des Geräts ist entscheidend, um die Integrität und Vertraulichkeit der von ihr generierten und übertragenen Daten sicherzustellen.

• Einhalten der Mindestanforderungen für Hardware: Wählen Sie Ihre Gerätehardware so aus, dass sie lediglich die für ihren Betrieb erforderlichen Features enthält. Beziehen Sie beispielsweise nur USB-Anschlüsse ein, wenn sie für den Betrieb des Geräts in Ihrer Lösung erforderlich sind. Zusätzliche Features können das Gerät gegenüber unerwünschten Angriffsvektoren offenlegen.

• Wählen Sie manipulationssichere Hardware aus: Wählen Sie Gerätehardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, z. B. das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.

• Wählen Sie sichere Hardware aus: Wählen Sie nach Möglichkeit Gerätehardware aus, die Sicherheitsfeatures wie sichere und verschlüsselte Speicher- und Startfunktionen basierend auf einem Trusted Platform Module enthält. Diese Features verbessern die Sicherheit der Geräte und tragen zum Schutz der gesamten IoT-Infrastruktur bei.

• Aktivieren Sie sichere Updates: Verwenden Sie Dienste wie Device Update für IoT Hub für Over-the-Air-Updates Ihrer IoT-Geräte. Entwickeln Sie Geräte mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um Geräte während und nach Updates zu schützen.

• Befolgen einer sicheren Softwareentwicklungsmethodik: Sichere Software kann nur entwickelt werden, wenn Fragen der Sicherheit von Anfang an und in allen Phasen bedacht werden – zu Beginn des Projekts über die Implementierung und die Tests genauso wie bei der Bereitstellung. Der Microsoft Security Development Lifecycle bietet einen schrittweisen Ansatz für die Entwicklung sicherer Software.

• Geräte-SDKs verwenden, wenn möglich: Geräte-SDKs implementieren verschiedene Sicherheitsfeatures, wie Verschlüsselung und Authentifizierung, die Ihnen bei der Entwicklung robuster und sicherer Geräteanwendungen helfen. Weitere Informationen finden Sie unter Azure IoT SDKs.

• Open Source-Software mit Bedacht wählen: Open Source-Software ermöglicht eine schnelle Lösungsentwicklung. Berücksichtigen Sie bei der Auswahl von Open-Source-Software die Aktivitätsebene der Community für jede Open-Source-Komponente. Eine aktive Community stellt sicher, dass die Software ausreichend unterstützt wird und dass Probleme erkannt und behoben werden. Ein verdecktes und inaktives Open-Source-Softwareprojekt wird möglicherweise nicht unterstützt, und Probleme werden wahrscheinlich nicht erkannt.

• Sichere Bereitstellung von Hardware: IoT-Bereitstellungen erfordern möglicherweise die Bereitstellung von Hardware an unsicheren Standorten, z. B. in öffentlichen Räumen oder unbeaufsichtigten Orten. Machen Sie in diesen Situationen die Hardwarebereitstellung so manipulationssicher wie möglich, und aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren.

• Speichern Von Anmeldeinformationen in Hardwaresicherheitsmodulen (HARDWARE Security Modules, HSMs): Verwenden Sie HSMs, um geheime Geräteschlüssel wie private Schlüssel und Zertifikate sicher zu speichern, um vor Extraktion und Manipulation zu schützen. Weitere Informationen finden Sie unter IoT Hub X.509-Authentifizierung, DPS HSM-Anleitungen und IoT Edge Security Manager.

• Erneuern Sie Geräteschlüssel und Zertifikate regelmäßig: Aktualisieren Sie regelmäßig Zugangsdaten, insbesondere nach einer Sicherheitsverletzung oder einem Ablaufdatum, um das Risiko eines unbefugten Zugriffs zu minimieren. Weitere Informationen finden Sie unter Wie Zertifikate in DPS verwaltet werden und IoT Central X.509-Zertifikateverwaltung.

• Update und Patch: Halten Sie alle Laufzeiten, SDKs und Betriebssystemkomponenten mit den neuesten Sicherheitspatches und -updates auf dem neuesten Stand. Weitere Informationen finden Sie in den IoT Edge-Updateanleitungen.

• Schutz vor schädlichen Aktivitäten: Wenn es das Betriebssystem zulässt, sollten Sie die neueste Antivirus- und Antischadsoftware auf jedem Gerätebetriebssystem installieren.

• Häufig überwachen: Überwachen Sie die IoT-Infrastruktur auf Sicherheitsprobleme, damit Sie auf Sicherheitsvorfälle reagieren können. Die meisten Betriebssysteme bieten integrierte Ereignisprotokollierung. Überprüfen Sie häufig Protokolle, um auf Sicherheitsverletzungen zu überprüfen. Ein Gerät kann Überwachungsinformationen als separater Datenstrom an den Clouddienst senden, in dem Sie sie analysieren können.

• Befolgen Sie bewährte Methoden für Die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Sicherheits- und Bereitstellungsleitfaden bereitstellt, befolgen Sie diese Anleitung zusammen mit den allgemeinen Anleitungen in diesem Artikel.

• Verwenden eines Feldgateways, um Sicherheitsdienste für ältere oder eingeschränkte Geräte bereitzustellen: Veraltete und eingeschränkte Geräte verfügen möglicherweise nicht über die Möglichkeit, Daten zu verschlüsseln, eine Verbindung mit dem Internet herzustellen oder erweiterte Überwachung bereitzustellen. In diesen Fällen kann ein modernes und sicheres Feldgateway Daten von älteren Geräten aggregieren und die Sicherheit bereitstellen, die erforderlich ist, um diese Geräte über das Internet zu verbinden. Ein IoT Edge-Gerät kann als Gateway verwendet werden und somit eine sichere Authentifizierung, die Aushandlung von verschlüsselten Sitzungen sowie den Empfang von Befehlen aus der Cloud ermöglichen. Außerdem bieten diese Gateways noch viele andere Sicherheitsfunktionen. Azure Sphere kann als Schutzmodul fungieren, um andere Geräte zu schützen, einschließlich vorhandener legacy-Systeme, die nicht für vertrauenswürdige Konnektivität ausgelegt sind.

• Verschlüsseln ruhender Daten: Verwenden Sie verschlüsselung auf Betriebssystemebene, z. B. BitLocker für Windows, für Geräte und Edgespeicher, um Daten zu schützen, wenn Geräte verloren gehen oder gestohlen werden. Weitere Informationen finden Sie unter IoT Edge-Sicherheit.

Verbindungssicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern der Verbindungen zwischen Ihren IoT-Geräten und Clouddiensten. Die Sicherheit der Verbindungen ist entscheidend, um die Integrität und Vertraulichkeit der übertragenen Daten sicherzustellen.

• Verwenden Sie X.509-Zertifikate, um Ihre Geräte bei IoT Hub oder IoT Central zu authentifizieren: IoT Hub und IoT Central unterstützen X509-Zertifikate für die Geräteauthentifizierung. Verwenden Sie die X509-basierte Authentifizierung in Produktionsumgebungen, da sie mehr Sicherheit bietet als symmetrische Schlüssel. Weitere Informationen finden Sie unter Authentifizieren eines Geräts für IoT Hub und Geräteauthentifizierungskonzepte in IoT Central.

• Vermeiden Sie gemeinsam genutzte symmetrische Schlüssel: Wenn Sie symmetrische Schlüssel verwenden, teilen Sie keine symmetrischen Schlüssel auf allen Geräten. Jedes Gerät benötigt eindeutige Anmeldeinformationen, um eine weit verbreitete Kompromittierung zu verhindern, wenn ein Schlüssel verloren geht. Weitere Informationen finden Sie unter "Sicherheitspraktiken für Gerätehersteller".

• Verwenden von Transport Layer Security (TLS) 1.2 für sichere Verbindungen von Geräten: IoT Hub und IoT Central verwenden TLS für sichere Verbindungen von IoT-Geräten und -Diensten. Derzeit werden drei Versionen des TLS-Protokolls unterstützt: 1.0, 1.1 und 1.2. TLS 1.0 und 1.1 gelten als Legacy. Weitere Informationen finden Sie unter TLS-Unterstützung (Transport Layer Security) in IoT Hub und TLS-Unterstützung in Azure IoT Hub Device Provisioning Service (DPS).

• Verwenden Sie starke Chiffriersammlungen und halten Sie Stammzertifikate auf dem neuesten Stand: Aktualisieren Sie regelmäßig Chiffriersammlungen und vertrauenswürdige Stammzertifikate, um sichere Verbindungen aufrechtzuerhalten. Weitere Informationen finden Sie unter IoT Hub TLS-Unterstützung.

• Stellen Sie sicher, dass Sie eine Möglichkeit haben, das TLS-Stammzertifikat auf Ihren Geräten zu aktualisieren: TLS-Stammzertifikate dauern lange, können aber ablaufen oder widerrufen werden. Wenn Sie das Zertifikat auf dem Gerät nicht aktualisieren können, kann das Gerät möglicherweise keine Verbindung mit IoT Hub, IoT Central oder einem anderen Clouddienst zu einem späteren Zeitpunkt herstellen. Weitere Informationen finden Sie unter Rollen von X.509-Gerätezertifikaten.

• Nachdenken über die Verwendung von Azure Private Link: Mit Azure Private Link können Sie Ihre Geräte mit einem privaten Endpunkt in Ihrem virtuellen Netzwerk verbinden, sodass Sie den Zugriff auf die öffentlichen Endpunkte Ihres IoT-Hubs blockieren können. Weitere Informationen finden Sie unter Eingehende Konnektivität mit IoT Hub mithilfe von Azure Private Link und Netzwerksicherheit für IoT Central mithilfe privater Endpunkte.

• Einschränken des Netzwerkzugriffs: Verwenden Sie DIE IP-Filterung, um den Zugriff auf vertrauenswürdige Quellen und Netzwerke einzuschränken. Weitere Informationen finden Sie unter IoT Hub IP-Filterung, IoT Central private Endpunkte und DPS-IP-Filterung.

• Deaktivieren Sie den öffentlichen Netzwerkzugriff, falls nicht erforderlich: Verhindern Sie die Gefährdung des öffentlichen Internets, indem Sie öffentliche Endpunkte deaktivieren, wenn Sie dies erreichen können. Weitere Informationen finden Sie unter Öffentlicher Netzwerkzugang des IoT-Hubs und Öffentlicher Netzwerkzugang des DPS.

• Isolieren Sie Edgegeräte und Dienste in sicheren Netzwerksegmenten: Verwenden Sie Netzwerksegmentierung und Firewalls, um IoT Edge-Geräte und -Dienste von anderen Netzwerkressourcen zu isolieren. Weitere Informationen finden Sie unter IoT Edge für Linux unter Windows-Sicherheit.

Cloudsicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Clouddienste, bei denen es sich um die Dienste handelt, die Ihre IoT-Gerätedaten verarbeiten und speichern. Die Sicherheit der Clouddienste ist entscheidend, um die Integrität und Vertraulichkeit Ihrer Daten sicherzustellen.

• Befolgen einer sicheren Softwareentwicklungsmethodik: Sichere Software kann nur entwickelt werden, wenn Fragen der Sicherheit von Anfang an und in allen Phasen bedacht werden – zu Beginn des Projekts über die Implementierung und die Tests genauso wie bei der Bereitstellung. Der Microsoft Security Development Lifecycle bietet einen schrittweisen Ansatz für die Entwicklung sicherer Software.

• Open Source-Software mit Bedacht wählen: Open Source-Software ermöglicht eine schnelle Lösungsentwicklung. Beim Auswählen von Open Source-Software sollten Sie jedoch berücksichtigen, wie aktiv die Community für die jeweilige Open Source-Komponente ist. Eine aktive Community stellt sicher, dass die Software ausreichend unterstützt wird und dass Probleme erkannt und behoben werden. Ein wenig bekanntes Open Source-Softwareprojekt, zu dem es keine aktive Community gibt, wird unter Umständen nicht unterstützt, und Probleme werden wahrscheinlich nicht entdeckt.

• Sorgfältiges Integrieren: Viele Software-Sicherheitsschwachstellen befinden sich an der Grenze zwischen Bibliotheken und APIs. Funktionen, die für die aktuelle Bereitstellung nicht erforderlich sind, sind möglicherweise noch über eine API-Ebene verfügbar. Um die Gesamtsicherheit zu gewährleisten, überprüfen Sie alle Schnittstellen integrierter Komponenten auf Sicherheitsfehler.

• Schützen von Cloudanmeldeinformationen: Ein Angreifer kann die Anmeldeinformationen für die Cloudauthentifizierung verwenden, die Sie verwenden, um Ihre IoT-Bereitstellung zu konfigurieren und zu betreiben, um Zugriff auf Ihr IoT-System zu erhalten und zu kompromittieren. Schützen Sie die Anmeldeinformationen, indem Sie das Kennwort häufig ändern und diese Anmeldeinformationen nicht auf öffentlichen Computern verwenden.

• Verwenden Sie Microsoft Entra ID und RBAC mit IoT Hub: Verwenden Sie Microsoft Entra ID und Azure RBAC für den Dienst- und Verwaltungs-API-Zugriff, um eine präzise, identitätsbasierte Zugriffssteuerung zu ermöglichen. Weitere Informationen finden Sie unter IoT Hub Entra ID-Authentifizierung und DPS Entra ID-Authentifizierung.

• Deaktivieren Sie bei Bedarf freigegebene Zugriffsrichtlinien: Reduzieren Sie die Angriffsfläche, indem Sie freigegebene Zugriffsrichtlinien und Token deaktivieren, wenn Sie sie nicht benötigen. Weitere Informationen finden Sie unter IoT Hub–Richtlinien für den freigegebenen Zugriff.

• Definieren von Zugriffssteuerelementen für Ihre IoT Central-Anwendung: Verstehen und Definieren des Zugriffstyps, den Sie für Ihre IoT Central-Anwendung aktivieren. Weitere Informationen finden Sie unter:

  • Verwalten von Benutzern und Rollen in Ihrer IoT Central-Anwendung
  • Verwalten von IoT Central-Organisationen
  • Verwenden Sie Überwachungsprotokolle zum Nachverfolgen von Aktivitäten in Ihrer IoT Central-Anwendung
  • Wie Sie IoT Central-REST-API-Aufrufe authentifizieren und autorisieren

• Definieren von Zugriffssteuerelementen für Back-End-Dienste: Andere Azure-Dienste können die Daten nutzen, die Ihre IoT Hub- oder IoT Central-Anwendung von Ihren Geräten erfasst. Sie können Nachrichten von Ihren Geräten an andere Azure-Dienste weiterleiten. Verstehen und Konfigurieren geeigneter Zugriffsberechtigungen für IoT Hub oder IoT Central zum Herstellen einer Verbindung mit diesen Diensten. Weitere Informationen finden Sie unter:

  • Lesen von D2C-Nachrichten vom integrierten IoT Hub-Endpunkt
  • Verwenden des IoT Hub-Nachrichtenroutings zum Senden von Gerät-zu-Cloud-Nachrichten an verschiedene Endpunkte
  • Exportieren von IoT Central-Daten
  • Exportieren von IoT Central-Daten in ein sicheres Ziel in einem Azure Virtual Network

• Erteilen Sie nur die erforderlichen Mindestberechtigungen: Wenden Sie das Prinzip der geringsten Berechtigungen an, wenn Sie Benutzern, Apps und Geräten Rollen und Berechtigungen zuweisen. Weitere Informationen finden Sie unter "Bewährte Methoden zur Identitätsverwaltung".

• Überwachen Sie Ihre IoT-Lösung aus der Cloud: Überwachen Sie den Gesamtzustand Ihrer IoT-Lösung mithilfe von IoT Hub-Metriken in Azure Monitor oder Überwachen des IoT Central-Anwendungsstatus.

• Einrichten der Diagnose: Überwachen Sie Ihre Vorgänge, indem Sie Ereignisse in Ihrer Lösung protokollieren und dann die Diagnoseprotokolle an Azure Monitor senden. Weitere Informationen finden Sie unter Überwachen und Diagnostizieren von Problemen in Ihrem IoT-Hub.

Verwandte Inhalte

• IoT Hub-Sicherheit
• Sicherheitsleitfaden für IoT Central
• DPS-Sicherheitspraktiken
• IoT Edge-Sicherheitsframework
• Azure-Sicherheitsbaseline für Azure IoT Hub
• Well-Architected Framework-Perspektive in Azure IoT Hub
• Azure-Sicherheitsbaseline für Kubernetes mit Azure Arc-Unterstützung
• Konzepte für die dauerhafte Sicherheit Ihrer cloudnativen Workload