Preparación de dispositivos Linux para el conjunto de administración y seguridad de Microsoft
Artículo
A través de una combinación de servicios en la nubeenriquecidos y componentes eficientes del dispositivo, Microsoft proporciona funcionalidades fundamentales de seguridad y administración para dispositivos conectados a Azure IoT. Estas funcionalidades incluyen administración de amenazas, administración de cargas de trabajo, administración de configuración y administración de actualizaciones.
Las empresas y los creadores de soluciones quieren centrarse de forma coherente en la parte superior de la pila. Por ejemplo: valor diferenciado a través de la inteligencia artificial, la información operativa y las experiencias de los clientes. Microsoft proporciona servicios de administración y seguridad fuera de los estantes para que usted o sus clientes puedan centrarse en la diferenciación, no volver a inventar los aspectos básicos.
Al incluir los componentes de instalación gratuita de Microsoft en los dispositivos, usted o sus clientes estarán listos para activar y usar las características de seguridad y administración de Azure en cualquier momento. Agregar componentes del lado del dispositivo más adelante en el ciclo de vida de diseño o implementación puede ser lento y costoso, por lo que animamos a los generadores a incluir estos componentes del lado del dispositivo al principio del ciclo de vida.
Características del conjunto de administración y seguridad
Entre los aspectos destacados del conjunto se incluyen:
Azure IoT Edge es la herramienta de Microsoft para implementar y administrar de forma remota y segura cargas de trabajo nativas de la nube, como inteligencia artificial, servicios de Azure o su propia lógica de negocios, para ejecutarse directamente en los dispositivos IoT. IoT Edge se puede usar para optimizar el gasto en la nube y permitir que los dispositivos reaccionen más rápido a los cambios locales y funcionen de forma confiable incluso en períodos prolongados sin conexión. Con IoT Edge, puede:
Implemente Azure IoT Edge local para dividir los silos de datos y consolidar los datos operativos a escala en la nube de Azure.
Implemente y administre de forma remota y segura las cargas de trabajo nativas de la nube, como la inteligencia artificial, los servicios de Azure o su propia lógica de negocios, para ejecutarse directamente en los dispositivos IoT.
Optimice el gasto en la nube y permita que los dispositivos reaccionen más rápido a los cambios locales y funcionen de forma confiable incluso en períodos prolongados sin conexión.
Defender para IoT proporciona un conjunto completo de características y funcionalidades de seguridad que se pueden integrar en sus productos durante el proceso de desarrollo. Esto ayuda a proteger los dispositivos desde cero y reduce el riesgo de vulnerabilidades y ataques. La solución se puede personalizar para satisfacer las necesidades de seguridad específicas de diferentes dispositivos IoT y se puede integrar con las herramientas y procesos de desarrollo existentes del generador de dispositivos. Con Defender para IoT, puede:
Cumplir con las normativas y estándares del sector: Defender para IoT ayuda a los creadores de dispositivos a cumplir con las normativas y estándares de seguridad pertinentes, como el marco de ciberseguridad de NIST, proporcionando un conjunto completo de controles de seguridad.
Supervisión proactiva de la posición de seguridad de un dispositivo IoT: Defender para IoT proporciona recomendaciones de posición de seguridad basadas en la prueba comparativa de CIS, junto con recomendaciones específicas del dispositivo. Con el microagente, los usuarios también pueden obtener visibilidad sobre la seguridad del sistema operativo, incluida la configuración del sistema operativo, la configuración del firewall y los permisos.
Proteger sus productos frente a amenazas cibernéticas: la solución proporciona protección y supervisión en tiempo real (EDR- Detección y respuesta de puntos de conexión) contra malware, piratería, acceso no autorizado y otras amenazas de seguridad, lo que ayuda a garantizar la seguridad de los dispositivos IoT durante todo su ciclo de vida.
Asegúrese de la interoperabilidad con Microsoft SIEM/SOAR y XDR para detener los ataques con seguridad automatizada, entre dominios y inteligencia artificial integrada.
En resumen, Defender para IoT proporciona a los creadores de dispositivos un conjunto completo de características y funcionalidades de seguridad que ayudan a proteger dispositivos IoT desde el principio y reducir el riesgo de vulnerabilidades y ataques. Permite a los creadores de dispositivos entregar productos de IoT seguros, compatibles y de confianza a sus clientes.
Device Update para Azure IoT Hub es un servicio que permite implementar actualizaciones por vía inalámbrica para los dispositivos de IoT.
Mientras las soluciones de Internet de las cosas (IoT) se sigan adoptando a velocidades crecientes, es esencial que los dispositivos que formen estas soluciones sean fáciles de conectar y administrar a gran escala. Device Update para IoT Hub es una plataforma de un extremo a otro que los clientes pueden usar para publicar, distribuir y administrar actualizaciones de forma inalámbrica para todos los elementos, desde minúsculos sensores hasta dispositivos de nivel de puerta de enlace.
Para sacar el máximo partido de la transformación digital habilitada para IoT, los clientes necesitan esta capacidad para operar, mantener y actualizar dispositivos a gran escala. Device Update for IoT Hub desbloquea funcionalidades como:
Respuesta rápida a las amenazas de seguridad
Implementación de nuevas características para obtener objetivos empresariales
Ahorro de los costos adicionales de desarrollo y mantenimiento de la creación de plataformas de actualización propias.
Los flujos de trabajo de IoT Hub automatic Administración de dispositivos y basados en gemelos se vinculan con el componente OSConfig de Microsoft en dispositivos para ofrecer administración de configuración de un extremo a otro. Por ejemplo:
Aprovisionar automáticamente reglas de firewall para dispositivos, en el momento de la implementación, en función del sitio o rol del dispositivo
Auditar la configuración de red en dispositivos individuales o a escala
Solución de problemas y diagnósticos
Configurar automáticamente los orígenes del administrador de paquetes, por lo que los dispositivos extraen paquetes de los repositorios aprobados
Obtener y establecer nombres de host, archivos de hosts, etc.
Obtención de información del dispositivo, incluidas las propiedades de hardware, las propiedades de la versión del sistema operativo o el estado del procesador de seguridad
Reiniciar de forma remota un dispositivo problemático o muchos dispositivos según una programación
El resto de este documento se centra en cómo preparar los dispositivos mediante la instalación de los componentes necesarios del lado del dispositivo. Para más información sobre los servicios en la nube y los escenarios de uso operativo, consulte Pasos siguientes.
Qué componentes del lado del dispositivo se van a instalar y cómo instalarlos
Lista de componentes del lado del dispositivo
Componente
Notas
Tiempo de ejecución de Azure IoT Edge or para dispositivos más pequeños: Azure IoT Identity Service
El entorno de ejecución de Edge es más conocido para la administración de contenedores, pero también proporciona varios servicios adicionales en el dispositivo. El subcomponente Identity Service permite que todos los componentes del dispositivo funcionen sin problemas con la IoT Hub. Para obtener una funcionalidad completa, instale el entorno de ejecución de IoT Edge (también conocido como aziot-edge) que incluye identity Service. Para dispositivos más pequeños que no ejecutarán contenedores, puede instalar solo Identity Service (también conocido como aziot-identity-service) para ahorrar espacio. Para obtener más información sobre la instalación, consulte la sección siguiente de este artículo.
Microsoft Defender para IoT
Para obtener más información sobre la instalación, consulte la sección siguiente de este artículo.
Device Update para IoT Hub
Para obtener más información sobre la instalación, consulte la sección siguiente de este artículo.
Microsoft OSConfig
Para obtener más información sobre la instalación, consulte la sección siguiente de este artículo.
Cómo instalar los componentes del lado del dispositivo
En el caso de los dispositivos Ubuntu en procesadores x86_64 o Aarch64, puede usar la herramienta de configuración de Edge v2 para obtener todo lo instalado y conectado a Azure.
En este momento, la herramienta de configuración de Edge v2 no instala un cliente de Device Update.
Los paquetes de instalación de cada componente del conjunto están disponibles en packages.microsoft.com.
En este momento, la disponibilidad del paquete varía según la arquitectura de CPU y . Por ejemplo, todos los componentes tienen paquetes publicados para Ubuntu Server 18.04 (x86_64 y Aarch64) y algunos componentes tienen paquetes disponibles para muchos entornos de Linux adicionales. Si usa una distribución o una arquitectura de CPU donde no hay ningún paquete disponible para un componente determinado, considere la ruta de acceso de compilación desde origen.
Creación de una identidad de dispositivo en la nube
En IoT Hub, establezca una identidad para el dispositivo como en este ejemplo: Registrar el dispositivo
Nota
Omita el paso anterior si solo va a instalar software previamente en este momento (no se conecta a Azure).
Para simplificar este ejemplo, se usa una clave simétrica aprovisionada manualmente. Para la escala de producción y la seguridad, hay opciones enriquecidas disponibles, como la autenticación basada en x.509 y el aprovisionamiento de identidades a escala a través del servicio Device Provisioning.
Instalación del primer paquete
Agregue packages.microsoft.com como origen de paquete en el dispositivo e instale IoT Edge (o simplemente Identity Service para dispositivos más pequeños), como en este ejemplo: Instalar IoT Edge
Nota
Para dispositivos más pequeños que no ejecutarán contenedores, modifique el paso anterior de la siguiente manera:
No instalar un motor de contenedor
Instalación del aziot-identity-service paquete en lugar de aziot-edge
Obtención de la autenticación del dispositivo en Azure
Omita el paso anterior si solo va a instalar software previamente en este momento (no se conecta a Azure).
Para dispositivos más pequeños con solo Identity Service en lugar del entorno de ejecución completo de IoT Edge, use la herramienta aziotctl de línea de comandos en lugar iotedge de en el paso anterior. Aunque las herramientas tienen nombres diferentes, usan los mismos argumentos para configurar la identidad del dispositivo.
Instalación de los paquetes restantes
Por ejemplo, en un sistema basado en apt como Ubuntu:
La creación a partir del origen es el enfoque más flexible cuando necesita adaptar los componentes del lado del dispositivo a los dispositivos, distribuciones o arquitecturas de CPU únicos.
Microsoft está trabajando con asociados para permitir que el ecosistema compre dispositivos con los componentes ya instalados. Por ejemplo, el programa Edge Secured-core (versión preliminar) requiere que los dispositivos implementen una posición de seguridad respaldada por hardware con arranque seguro, etc. e incluyen estos componentes para la administración y seguridad de Azure.
Mientras tanto, algunos dispositivos ya están llegando al catálogo con un subconjunto del conjunto de aplicaciones incluido. Por ejemplo, los siguientes dispositivos ya incluyen el entorno de ejecución de IoT Edge, el componente Defender para IoT y el componente OSConfig:
Este ha sido un breve resumen de las opciones de configuración. Para obtener documentación completa sobre la configuración, incluidos los parámetros de configuración de cada componente, consulte: