Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
IoT Edge 1.5
Wichtig
IoT Edge 1.5 LTS ist das unterstützte Release. IoT Edge 1.4 LTS wurde am 12. November 2024 eingestellt. Wenn Sie ein früheres Release verwenden, finden Sie weitere Informationen unter Aktualisieren von IoT Edge.
Azure IoT Edge für Linux unter Windows verwendet alle Sicherheitsfeatures eines Windows-Clients oder Serverhosts und stellt sicher, dass alle zusätzlichen Komponenten den gleichen Sicherheitsgrundsätzen entsprechen. In diesem Artikel werden die verschiedenen Sicherheitsprinzipien erläutert, die standardmäßig aktiviert sind, und einige optionale Prinzipien, die Sie aktivieren können.
Sicherheit virtueller Computer
Die kuratierte EFLOW-VM (IoT Edge für Linux) basiert auf Microsoft CBL-Mariner. CBL-Mariner ist eine interne Linux-Verteilung für die Cloudinfrastruktur, Edgeprodukte und -dienste von Microsoft. CBL-Mariner bietet eine konsistente Plattform für diese Geräte und Dienste und hilft Microsoft dabei, auf Linux-Updates auf dem neuesten Stand zu bleiben. Weitere Informationen finden Sie unter CBL-Mariner: Sicherheit.
Der virtuelle EFLOW-Computer verwendet eine vierpunkt umfassende Sicherheitsplattform.
- Wartungsaktualisierungen
- Schreibgeschütztes Stammdateisystem
- Firewallsperrung
- DM-Verity
Wartungsaktualisierungen
Wenn Sicherheitsrisiken auftreten, stellt CBL-Mariner die neuesten Sicherheitspatches und Fixes über monatliche EFLOW-Updates bereit. Der virtuelle Computer verfügt nicht über einen Paket-Manager, sodass Sie RPM-Pakete nicht manuell herunterladen oder installieren können. EFLOW installiert alle Updates auf dem virtuellen Computer mithilfe des A/B-Updatemechanismus. Weitere Informationen zu EFLOW-Updates finden Sie unter Aktualisieren von IoT Edge für Linux unter Windows.
Schreibgeschütztes Stammdateisystem
Der virtuelle EFLOW-Computer verfügt über zwei Hauptpartitionen: Rootfs und Daten. Die Partitionen rootFS-A oder rootFS-B sind austauschbar, und eine wird als nur-lesendes Dateisystem bei / eingebunden, sodass Sie Dateien in dieser Partition nicht ändern können. Die Datenpartition, die unter /var eingehängt ist, ist sowohl lesbar als auch beschreibbar, sodass Sie den Inhalt ändern können. Der Aktualisierungsprozess ändert die in dieser Partition gespeicherten Daten nicht, sodass sie nicht über Updates hinweg geändert werden.
Da Sie möglicherweise Schreibzugriff auf /etc, /home, /rootund /var für bestimmte Anwendungsfälle benötigen, überlagert EFLOW diese Verzeichnisse auf der Datenpartition, /var/.eflow/overlays um Schreibzugriff zu ermöglichen. Mit diesem Setup können Sie in diese Verzeichnisse schreiben. Weitere Informationen zu Überlagerungen finden Sie unter overlayfs.
| Partitionierung | Größe | Beschreibung |
|---|---|---|
| BootEFIA | 8 MB | Firmwarepartition A für den zukünftigen GRUBless-Start |
| BootA | 192 MB | Enthält den Bootloader für Partition A |
| RootFS A | 4 GB | Eine von zwei Aktiv/Passiv-Partitionen mit dem Stammdateisystem |
| BootEFIB | 8 MB | Firmwarepartition B für den zukünftigen GRUBless-Start |
| BootB | 192 MB | Enthält den Bootloader für Partition B |
| RootFS B | 4 GB | Eine von zwei Aktiv/Passiv-Partitionen mit dem Stammdateisystem |
| Protokoll | 1 GB oder 6 GB | Protokolliert bestimmte Partition, eingebunden unter „/logs“ |
| Daten | 2 GB bis 2 TB | Zustandsbehaftete Partition zum Speichern persistenter Daten über Updates hinweg. Erweiterbar gemäß der Bereitstellungskonfiguration. |
Hinweis
Das Partitionslayout stellt die logische Datenträgergröße dar und gibt nicht den physischen Speicherplatz an, den der virtuelle Computer auf dem Hostbetriebssystemdatenträger verwendet.
Brandmauer
Standardmäßig verwendet der virtuelle EFLOW-Computer das Hilfsprogramm iptables für Firewallkonfigurationen. Iptables richten die Tabellen der IP-Paketfilterregeln im Linux-Kernel ein, verwaltet und überprüft sie. Die Standardimplementierung ermöglicht eingehenden Datenverkehr an Port 22 (SSH-Dienst) und blockiert anderen Datenverkehr. Überprüfen Sie die IPTables-Konfiguration mit den folgenden Schritten:
Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten.
Stellen Sie eine Verbindung mit der EFLOW-VM her.
Connect-EflowVmListen Sie alle iptables-Regeln auf.
sudo iptables -L
Verifizierter Start
Die EFLOW-VM unterstützt den verifizierten Start über das enthaltene Kernelfeature device-mapper-verity (dm-verity), das eine transparente Integritätsprüfung von Blockgeräten ermöglicht. dm-verity hilft, persistente Rootkits zu verhindern, die root-Berechtigungen beibehalten und Geräte kompromittieren können. Dieses Feature stellt sicher, dass das Basissoftwareimage des virtuellen Computers identisch ist und nicht geändert wird. Der virtuelle Computer verwendet das Dm-Verity-Feature , um ein bestimmtes Blockgerät, die zugrunde liegende Speicherebene des Dateisystems zu überprüfen und festzustellen, ob es mit der erwarteten Konfiguration übereinstimmt.
Dieses Feature ist standardmäßig auf dem virtuellen Computer deaktiviert, Sie können es aber aktivieren oder deaktivieren. Weitere Informationen finden Sie unter dm-verity.
TPM (Trusted Platform Module)
Die TPM-Technologie stellt hardwarebasierte, sicherheitsbezogene Funktionen bereit. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der für die Ausführung kryptografischer Vorgänge ausgelegt ist. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren.
Die EFLOW-VM unterstützt vTPM nicht. Sie können jedoch die TPM-Durchleitungsfunktion aktivieren oder deaktivieren, mit der die virtuelle EFLOW-Maschine das TPM des Windows-Hostbetriebssystems verwenden kann. Auf diese Weise können Sie zwei Hauptszenarien ausführen:
- Verwenden Sie die TPM-Technologie für die Bereitstellung von IoT Edge-Geräten mit Device Provision Service (DPS). Weitere Informationen finden Sie unter Bedarfsgerechtes Erstellen und Bereitstellen eines IoT Edge für Linux unter Windows-Geräts mithilfe eines TPM.
- Schreibgeschützter Zugriff auf kryptografische Schlüssel, die im TPM gespeichert sind. Weitere Informationen finden Sie unter Set-EflowVmFeature zum Aktivieren von TPM-Passthrough.
Schützen der Kommunikation zwischen Host und VM
Mit EFLOW können Sie mit dem virtuellen Computer mithilfe eines PowerShell-Moduls interagieren. Weitere Informationen finden Sie unter PowerShell-Funktionen für IoT Edge für Linux unter Windows. Dieses Modul benötigt eine Sitzung mit erhöhten Rechten und ist mit einem Microsoft Corporation Zertifikat signiert.
Die gesamte Kommunikation zwischen dem Windows-Hostbetriebssystem und dem virtuellen EFLOW-Computer, den PowerShell-Cmdlets benötigen, verwendet einen SSH-Kanal. Standardmäßig lässt der SSH-Dienst des virtuellen Computers keine Authentifizierung mit einem Benutzernamen und Kennwort zu und lässt nur die Zertifikatauthentifizierung zu. Das Zertifikat wird während des EFLOW-Bereitstellungsprozesses erstellt und ist für jede EFLOW-Installation eindeutig. Um SSH-Brute-Force-Angriffe zu verhindern, blockiert der virtuelle Computer eine IP-Adresse, wenn mehr als drei Verbindungen pro Minute mit dem SSH-Dienst versucht werden.
In der EFLOW Continuous Release (CR)-Version ändert sich der Transportkanal für die SSH-Verbindung. Ursprünglich wird der SSH-Dienst auf TCP-Port 22 ausgeführt, auf den jedes externe Gerät im selben Netzwerk über einen TCP-Socket zugreifen kann. Zur Sicherheit führt EFLOW CR den SSH-Dienst über Hyper-V Sockets anstelle regulärer TCP-Sockets aus. Die gesamte Kommunikation über Hyper-V Sockets bleibt zwischen dem Windows-Hostbetriebssystem und dem virtuellen EFLOW-Computer, ohne Netzwerk zu verwenden. Dieses Setup schränkt den SSH-Dienstzugriff ein, indem Verbindungen nur auf das Windows-Hostbetriebssystem beschränkt werden. Weitere Informationen finden Sie unter Hyper-V-Sockets.
Nächste Schritte
Erfahren Sie mehr über Windows-IoT-Sicherheitsvorgaben.
Bleiben Sie auf dem neuesten Stand mit dem neuesten IoT Edge für Linux unter Windows-Updates.