Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf IoT Central an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für IoT Central definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.
Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.
Hinweis
Features , die nicht für IoT Central gelten, wurden ausgeschlossen. Informationen dazu, wie IoT Central vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, finden Sie in der vollständigen IoT Central-Sicherheitsbaselinezuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von IoT Central mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | IoT |
| Der Kunde kann auf HOST/Betriebssystem zugreifen | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | False |
| Speichert ruhende Kundeninhalte | True |
Netzwerksicherheit
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: IoT Central unterstützt keine direkte Bereitstellung in einem virtuellen Netzwerk. Um IoT Central in einer privaten Netzwerkumgebung zu schützen, verwenden Sie Azure Private Link.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Azure Private Link
Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Die private Konnektivität ist für Geräteverbindungen aktiviert und erfordert, dass Benutzer den DPS-Endpunkt des Geräts aktualisieren, um Datenverkehr über einen privaten Endpunkt zu aktivieren.
Konfigurationsleitfaden: Verbinden Sie Ihre Geräte mit Ihrer IoT Central-Anwendung mithilfe eines privaten Endpunkts in einer Azure Virtual Network. Private Endpunkte verwenden private IP-Adressen aus einem Adressraum eines virtuellen Netzwerks, um Ihre Geräte privat mit Ihrer IoT Central-Anwendung zu verbinden.
Referenz: Erstellen und Konfigurieren eines privaten Endpunkts für IoT Central
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Derzeit ist die private Konnektivität nur für Geräteverbindungen mit den zugrunde liegenden IoT Hubs und DPS in der IoT Central-Anwendung aktiviert. Die IoT-Central Web-UI und -APIs funktionieren weiterhin über ihre öffentlichen Endpunkte.
Konfigurationsleitfaden: IoT Central unterstützt das Deaktivieren des öffentlichen Zugriffs für die Gerätekonnektivität, sodass der gesamte Gerätedatenverkehr nur über einen privaten Endpunkt oder über angegebene IP-Regeln erreichbar ist.
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Azure AD-Identitäten werden für den gesamten Datenebenenzugriff in IoT Central unterstützt. AD-Benutzer können IoT Central-Anwendungen für den Zugriff über das Portal hinzugefügt werden, und die zugehörigen AAD-Bearertoken können zur Authentifizierung mit der REST-API verwendet werden. AD-Dienstprinzipale können auch zum Zugriff auf Die Datenebene von IoT Central hinzugefügt werden, um die für REST-API-Aufrufe erforderliche Autorisierung zu erhalten.
Konfigurationsleitfaden: IoT Central unterstützt zwei Möglichkeiten zum Autorisieren von REST-API-Aufrufen
- Azure AD-Bearertoken: Ein Bearertoken ist einem Azure Active Directory-Benutzerkonto oder -Dienstprinzipal zugeordnet. Das Token gewährt dem Aufrufer die gleichen Berechtigungen wie dem Benutzer oder Dienstprinzipal in der IoT Central-Anwendung.
- API-Token: Erstellen Sie ein bestimmtes API-Token in der IoT Central-Anwendung, und ordnen Sie es einer Rolle zu.
Verwenden Sie ein Ihrem Benutzerkonto zugeordnetes Bearertoken, während Sie Automatisierung und Skripts entwickeln und testen, die die REST-API nutzen. Verwenden Sie für die Produktionsautomatisierung und Skripts ein Bearertoken, das einem Dienstprinzipal zugeordnet ist. Ziehen Sie ein Bearertoken einem API-Token vor, um das Risiko von Verlusten und Problemen beim Ablauf von Token zu verringern.
Referenz: Autorisieren der REST-API in Azure IoT Central
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.
Konfigurationsleitfaden: IoT Central bietet lokale Authentifizierungsmethoden für 2 Szenarien
- Geräteauthentifizierung durch SAS-Token (Shared Access Signature)
- REST-API-Authentifizierung über API-Token
Geräte authentifizieren sich bei der IoT Central-Anwendung entweder mithilfe eines Shared Access Signature-Tokens (SAS) oder eines X.509-Zertifikats. In Produktionsumgebungen werden X.509-Zertifikate empfohlen.
Um mithilfe der REST-API auf eine IoT Central-Anwendung zuzugreifen, können Sie zusätzlich zu einem Azure Active Directory Bearer-Token ein IoT Central-API-Token erstellen und verwenden. Es ist derzeit nicht möglich, eine solche lokale Authentifizierung zu blockieren/zu deaktivieren, aber die Möglichkeit zum Erstellen/Verwalten von API-Token wird durch rollenbasierte Access Control (Role Based Access Control, RBAC) und Organisationen geregelt.
Referenz: Geräteauthentifizierung
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: IoT Central unterstützt systemseitig zugewiesene verwaltete Identitäten, um die Konnektivität mit Datenausgangszielen zu sichern, die über das Feature zum fortlaufenden Datenexport konfiguriert wurden.
Weitere Informationen zum Konfigurieren einer verwalteten Identität für IoT Central-Anwendungen
Weitere Informationen zur Verwendung von verwalteten Identitäten zum Sichern der Verbindung mit Exportzielen
Referenz: Konfigurieren einer verwalteten Identität
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Zusätzliche Anleitung: IoT Central unterstützt das Hinzufügen von Dienstprinzipalen zum Zugriff auf Datenebene. Der Dienstprinzipal muss zum gleichen Azure Active Directory-Mandanten gehören wie das Azure-Abonnement, das der IoT Central-Anwendung zugeordnet ist.
Weitere Informationen zum Hinzufügen von Dienstprinzipalen als Benutzer
Das Azure Active Directory-Bearertoken, das dem Dienstprinzipal zugeordnet ist, kann auch zum Authentifizieren und Autorisieren von REST-API-Aufrufen verwendet werden.
Weitere Informationen zum Authentifizieren und Autorisieren von IoT Central-REST-API-Aufrufen
Referenz: Azure IoT Central-API-Dienstprinzipalauthentifizierung
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für Datenebene
Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: IoT Central unterstützt derzeit nicht Azure Role-Based Access Control (Azure RBAC), bietet jedoch ähnliche Funktionen in IoT Central-Anwendungen über umfangreiche RBAC, benutzerdefinierte Rollen, die den gesamten Anwendungsoberflächenbereich und Organisationen abdecken.
Mit Rollen können Sie steuern, wer in Ihrer Organisation verschiedene Aufgaben in IoT Central ausführen darf. Es gibt drei integrierte Rollen, die Sie Benutzern Ihrer Anwendung zuweisen können. Sie können auch benutzerdefinierte Rollen erstellen, wenn Sie eine präzisere Steuerung benötigen.
Weitere Informationen zum Verwalten von Benutzern und Rollen undzum Ceating einer benutzerdefinierten Rolle
Mit Organisationen können Sie eine Hierarchie definieren, mit der Sie verwalten, welche Benutzer welche Geräte in Ihrer IoT Central-Anwendung anzeigen können. Die Rolle des Benutzers bestimmt, welche Geräte er sehen und auf welche Umgebungen er zugreifen kann. Verwenden Sie Organisationen, um eine Anwendung mit mehreren Mandanten zu implementieren.
Weitere Informationen zum Verwalten von IoT Central-Organisationen
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Schutz von Daten
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/-verlusten
Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (im Inhalt des Kunden) zu überwachen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Datenverschlüsselung während der Übertragung für die Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Tls (Data In-Transit Encryption) ist im Dienst standardmäßig aktiviert.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.
Referenz: Standardmäßige Verschlüsselung ruhender Azure-Daten
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Asset-Management
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | False | Kunde |
Konfigurationsleitfaden: Azure IoT Central unterstützt Azure Policy und bietet eine Vielzahl integrierter Richtlinien zur Unterstützung der Netzwerkisolation.
Referenz: Azure Policy integrierten Richtliniendefinitionen
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Featurehinweise: Dienstmetriken werden unterstützt, aber keine Ressourcenprotokolle.
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Sicherung und Wiederherstellung
Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Dienstnative Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (wenn er nicht Azure Backup verwendet). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.
Nächste Schritte
- Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark –Übersicht.
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.