Angeben von Sicherheitsanforderungen für IoT-Workloads
In dieser Lerneinheit wird die Azure-Sicherheitsbaseline für IoT Hub zusammengefasst, um Sie bei der Erstellung neuer Anforderungsspezifikationen für IoT-Workloads zu unterstützen.
Weitere Informationen zur Microsoft Cloud Security Benchmark finden Sie unter Einführung in die Microsoft Cybersecurity Reference Architecture und in die Cloud Security Benchmark.
In der folgenden Tabelle sind Steuerelemente aus der vollständigen Baseline enthalten, wobei Folgendes gilt:
- Sicherheitssteuerelemente wurden unterstützt, aber nicht standardmäßig aktiviert.
- Es gab eine explizite Anleitung mit den von Kunden zu ergreifenden Maßnahmen.
| Bereich | Control | Komponente | Zusammenfassung der Anleitung |
|---|---|---|---|
| Netzwerksicherheit | NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen | Azure Private Link | Stellen Sie private Endpunkte für alle Azure-Ressourcen bereit, die das Private Link-Feature unterstützen, um einen privaten Zugriffspunkt für die Ressourcen einzurichten. |
| NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen | Deaktivieren des Zugriffs aus öffentlichen Netzwerken | Deaktivieren Sie den öffentlichen Netzwerkzugriff entweder mithilfe der IP-ACL-Filterregel auf Dienstebene oder einem Umschalter für den Zugriff auf öffentliche Netzwerke. | |
| Identitätsverwaltung | IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene | Schränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene ein. Verwenden Sie stattdessen Microsoft Entra ID als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern. |
| IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten | Verwaltete Identitäten | Verwenden Sie, falls möglich, verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Microsoft Entra-Authentifizierung unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden. | |
| Dienstprinzipale | Für die Konfiguration dieser Funktion gibt es aktuell keinen Leitfaden von Microsoft. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte. | ||
| IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen | Bedingter Zugriff für Datenebene | Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Microsoft Entra-Zugriff in der Workload. | |
| Privilegierter Zugriff | PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte) | Azure RBAC für die Datenebene | Bei Azure AD und Azure RBAC erfordert IoT Hub, dass der Prinzipal, der die API anfordert, über eine ausreichende Berechtigungsebene für die Autorisierung verfügt. Um dem Prinzipal die Berechtigung zu erteilen, weisen Sie ihm eine Rolle zu. |
| Datenschutz | DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses | Schlüsselverwaltung in Azure Key Vault | Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. |
| Asset-Management | AM-2: Ausschließliches Verwenden genehmigter Dienste | Azure Policy-Unterstützung | Verwenden Sie Microsoft Defender für Cloud, um Azure Policy für die Überwachung und Durchsetzung von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. |
| Protokollierung und Bedrohungserkennung | LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung | Azure-Ressourcenprotokolle | Aktivieren Sie Ressourcenprotokolle für den Dienst. |