Linux-Gerätebereitschaft für die Microsoft-Sicherheits- und Verwaltungssuite
Artikel
Durch eine Kombination aus umfangreichen Clouddiensten und kompakten effizienten geräteseitigen Komponenten bietet Microsoft grundlegende Sicherheits- und Verwaltungsfunktionen für mit Azure IoT verbundene Geräte. Zu diesen Funktionen gehören Bedrohungsverwaltung, Workloadverwaltung, Konfigurationsverwaltung und Updateverwaltung.
Unternehmen und Lösungsentwickler möchten sich konsequent an der Spitze des Stapels konzentrieren. Beispiel: Differenzierter Wert durch KI, operative Erkenntnisse und Kundenerlebnisse. Microsoft bietet standardmäßige Sicherheits- und Verwaltungsdienste, sodass Sie oder Ihre Kunden sich auf die Differenzierung konzentrieren und nicht die Grundlagen neu erfinden können.
Wenn Sie die kostenlos zu installierenden Microsoft-Komponenten in Ihre Geräte einschließen, können Sie oder Ihre Kunden jederzeit die Azure-Verwaltungs- und Sicherheitsfeatures aktivieren und verwenden. Das Hinzufügen geräteseitiger Komponenten später im Entwurfs- oder Bereitstellungslebenszyklus kann langsam und kostspielig sein. Daher empfehlen wir Erstellern, diese geräteseitigen Komponenten zu einem frühen Zeitpunkt im Lebenszyklus einzuschließen.
Azure IoT Edge ist das Tool von Microsoft für die Remotebereitstellung und sichere Bereitstellung und Verwaltung cloudnativer Workloads wie KI, Azure-Dienste oder Ihrer eigenen Geschäftslogik, die direkt auf Ihren IoT-Geräten ausgeführt werden können. IoT Edge können verwendet werden, um die Cloudausgaben zu optimieren und Es Ihren Geräten zu ermöglichen, schneller auf lokale Änderungen zu reagieren und auch in längeren Offlinezeiten zuverlässig zu arbeiten. Mit IoT Edge haben Sie folgende Möglichkeiten:
Stellen Sie Azure IoT Edge lokal bereit, um Datensilos aufzubrechen und betriebsbezogene Daten in der Azure Cloud im großen Stil zu konsolidieren.
Remotebereitstellung und sicheres Bereitstellen und Verwalten von cloudnativen Workloads wie KI, Azure-Diensten oder Ihrer eigenen Geschäftslogik, um sie direkt auf Ihren IoT-Geräten auszuführen.
Optimieren Sie die Cloudausgaben, und ermöglichen Sie Es Ihren Geräten, schneller auf lokale Änderungen zu reagieren und auch in längeren Offlinezeiten zuverlässig zu arbeiten.
Defender für IoT bietet eine umfassende Reihe von Sicherheitsfeatures und -funktionen, die während des Entwicklungsprozesses in ihre Produkte integriert werden können. Dies trägt dazu bei, Geräte von Grund auf zu schützen und das Risiko von Sicherheitsrisiken und Angriffen zu verringern. Die Lösung kann an die spezifischen Sicherheitsanforderungen verschiedener IoT-Geräte angepasst und in die vorhandenen Entwicklungstools und -prozesse des Geräteherstellers integriert werden. Mit Defender für IoT können Sie:
Einhaltung von Branchenvorschriften und Standards: Defender für IoT unterstützt Gerätehersteller bei der Einhaltung relevanter Sicherheitsvorschriften und Standards wie dem NIST Cybersecurity Framework, indem umfassende Sicherheitskontrollen bereitgestellt werden.
Proaktive Überwachung des Sicherheitsstatus eines IoT-Geräts: Defender für IoT bietet Empfehlungen zum Sicherheitsstatus basierend auf dem CIS-Benchmark sowie gerätespezifische Empfehlungen. Mit dem Micro-Agent können Benutzer auch Einblick in die Sicherheit des Betriebssystems erhalten, einschließlich Betriebssystemkonfiguration, Firewalleinstellungen und Berechtigungen.
Schützen Sie Ihre Produkte vor Cyberbedrohungen: Die Lösung bietet Echtzeitüberwachung und -schutz (EDR - Endpoint Detection and Response) vor Schadsoftware, Hackerangriffen, nicht autorisiertem Zugriff und anderen Sicherheitsbedrohungen, um die Sicherheit von IoT-Geräten während ihres gesamten Lebenszyklus zu gewährleisten.
Stellen Sie die Interoperabilität mit Microsoft SIEM/SOAR und XDR sicher, um Angriffe mit automatisierter domänenübergreifender Sicherheit und integrierter KI zu stoppen.
Zusammengefasst bietet Defender für IoT Geräteentwicklern eine umfassende Reihe von Sicherheitsfeatures und -funktionen, die dazu beitragen, IoT-Geräte von Grund auf abzusichern und das Risiko von Sicherheitsrisiken und Angriffen zu verringern. Gerätehersteller können ihren Kunden sichere, konforme und vertrauenswürdige IoT-Produkte bereitstellen.
Bei Device Update for Azure IoT Hub handelt es sich um einen Dienst, mit dem Sie Over-The-Air-Updates für Ihre IoT-Geräte bereitstellen können.
Da IoT-Lösungen (Internet of Things, Internet der Dinge) weiterhin mit zunehmender Geschwindigkeit eingeführt werden, ist es wichtig, dass die Geräte, die diese Lösungen bilden, einfach verbunden und im großen Stil verwaltet werden können. Device Update for IoT Hub ist eine End-to-End-Plattform, mit der Kunden OTA-Updates (Over-the-Air) für alles, von winzigen Sensoren bis zu Geräten auf Gatewayebene, veröffentlichen, verteilen und verwalten können.
Um die Vorteile der IoT-gestützten digitalen Transformation voll ausschöpfen zu können, benötigen Kunden die Fähigkeit, Geräte in großem Umfang zu betreiben, zu verwalten und zu aktualisieren. Device Update for IoT Hub entsperrt Funktionen wie:
Schnelle Reaktion auf Sicherheitsbedrohungen
Bereitstellen neuer Features zum Erreichen von Geschäftszielen
Vermeiden Sie die zusätzlichen Entwicklungs- und Wartungskosten für den Aufbau eigener Updateplattformen.
IoT Hub automatische Geräteverwaltung- und zwillingsbasierte Workflows sind mit der OSConfig-Komponente von Microsoft auf Geräten verknüpft, um eine End-to-End-Konfigurationsverwaltung zu ermöglichen. Zum Beispiel:
Automatisches Bereitstellen von Firewallregeln für Geräte zur Bereitstellungszeit basierend auf dem Standort oder der Rolle des Geräts
Überwachen der Netzwerkkonfiguration auf einzelnen Geräten oder im großen Stil
Problembehandlung und Diagnose
Automatisches Konfigurieren von Paket-Manager-Quellen, damit Geräte Pakete aus Ihren genehmigten Repositorys abrufen
Abrufen und Festlegen von Hostnamen, Hostdateien usw.
Abrufen von Geräteinformationen, einschließlich Hardwareeigenschaften, Betriebssystemversionseigenschaften oder Sicherheitsprozessorstatus
Remoteneustart eines problematischen Geräts oder vieler Geräte nach einem Zeitplan
Im weiteren Verlauf dieses Dokuments wird erläutert, wie Sie Geräte vorbereiten, indem Sie die erforderlichen geräteseitigen Komponenten installieren. Weitere Informationen zu Den Clouddiensten und operativen Nutzungsszenarien finden Sie unter Nächste Schritte.
Welche geräteseitigen Komponenten installiert werden sollen und wie sie installiert werden
Liste der geräteseitigen Komponenten
Komponente
Notizen
Azure IoT Edge Runtime or für kleinere Geräte: Azure IoT Identity Service
Die Edge-Runtime ist am besten für die Containerverwaltung bekannt, bietet aber auch mehrere zusätzliche Dienste auf dem Gerät. Die Identity Service-Unterkomponente ermöglicht es allen Komponenten auf dem Gerät, nahtlos mit Ihrem IoT Hub zu arbeiten. Installieren Sie für die vollständige Funktionalität die IoT Edge Runtime (auch bekannt als aziot-edge), die den Identitätsdienst enthält. Für kleinere Geräte, auf denen keine Container ausgeführt werden, können Sie nur den Identitätsdienst (auch bekannt als aziot-identity-service) installieren, um Speicherplatz zu sparen. Installationsdetails finden Sie im folgenden Abschnitt dieses Artikels.
Microsoft Defender für IoT
Installationsdetails finden Sie im folgenden Abschnitt dieses Artikels.
Device Update für IoT Hub
Installationsdetails finden Sie im folgenden Abschnitt dieses Artikels.
Microsoft OSConfig
Installationsdetails finden Sie im folgenden Abschnitt dieses Artikels.
Für Ubuntu-Geräte auf x86_64- oder Aarch64-Prozessoren können Sie das Edge Config Tool v2 verwenden, um alles zu installieren und mit Azure zu verbinden.
Derzeit installiert das Edge Config Tool v2 keinen Geräteupdateclient.
Installationspakete für jede Komponente der Suite sind unter packages.microsoft.comverfügbar.
Derzeit variiert die Paketverfügbarkeit je nach Disto und CPU-Architektur. Beispielsweise verfügen alle Komponenten über Pakete, die für Ubuntu Server 18.04 (x86_64 und Aarch64) veröffentlicht wurden, und einige Komponenten verfügen über Pakete, die für viele zusätzliche Linux-Umgebungen verfügbar sind. Wenn Sie eine Distributions- oder CPU-Architektur verwenden, bei der kein Paket für eine bestimmte Komponente verfügbar ist, sollten Sie den Pfad build-from-source in Betracht ziehen.
Erstellen einer Geräteidentität in der Cloud
Richten Sie in IoT Hub eine Identität für das Gerät ein, wie in diesem Beispiel: Registrieren Ihres Geräts.
Hinweis
Überspringen Sie den obigen Schritt, wenn Sie software derzeit nur vorinstallieren (keine Verbindung mit Azure herstellen).
Der Einfachheit halber wird in diesem Beispiel ein manuell bereitgestellter symmetrischer Schlüssel verwendet. Für Produktionsskalierung und Sicherheit stehen umfangreiche Optionen zur Verfügung, z. B. die x.509-basierte Authentifizierung und die bedarfsgesteuerte Identitätsbereitstellung über den Device Provisioning Service.
Installieren des ersten Pakets
Fügen Sie packages.microsoft.com als Paketquelle auf dem Gerät hinzu, und installieren Sie IoT Edge (oder nur den Identitätsdienst für kleinere Geräte), wie in diesem Beispiel: Installieren IoT Edge
Hinweis
Ändern Sie für kleinere Geräte, auf denen keine Container ausgeführt werden, den obigen Schritt wie folgt:
Installieren Sie keine Container-Engine.
Installieren Des aziot-identity-service Pakets anstelle von aziot-edge
Abrufen der Authentifizierung des Geräts bei Azure
Überspringen Sie den obigen Schritt, wenn Sie zu diesem Zeitpunkt nur Software vorinstallieren (keine Verbindung mit Azure herstellen).
Verwenden Sie für kleinere Geräte mit nur dem Identity Service anstelle der vollständigen IoT Edge Runtime das Befehlszeilentool aziotctl statt iotedge im obigen Schritt. Obwohl die Tools unterschiedliche Namen haben, verwenden sie dieselben Argumente zum Einrichten der Geräteidentität.
Installieren der verbleibenden Pakete
Beispiel: Auf einem apt-basierten System wie Ubuntu:
Das Erstellen aus der Quelle ist der flexibelste Ansatz, wenn Sie die geräteseitigen Komponenten an Ihre einzigartigen Geräte, Distributionen oder CPU-Architekturen anpassen müssen.
Microsoft arbeitet mit Partnern zusammen, um dem Ökosystem den Kauf von Geräten mit bereits installierten Komponenten zu ermöglichen. Beispielsweise erfordert das Edge Secured-Core (Preview)- Programm, dass Geräte einen hardwaregestützten Sicherheitsstatus mit Secure Boot usw. implementieren. und diese Komponenten für Die Sicherheit und Verwaltung von Azure einschließen.
In der Zwischenzeit erreichen einige Geräte bereits den Katalog, wobei eine Teilmenge der Suite enthalten ist. Die folgenden Geräte enthalten beispielsweise bereits die IoT Edge Runtime, die Defender für IoT-Komponente und die OSConfig-Komponente:
Dies ist eine kurze Zusammenfassung der Einrichtungsoptionen. Eine vollständige Setupdokumentation einschließlich Konfigurationsparametern für jede Komponente finden Sie unter:
