Compartir a través de


Seguridad de IoT Edge para Linux en Windows

Se aplica a: icono IoT Edge 1.1

Importante

IoT Edge 1.1: la fecha de finalización del soporte técnico fue el 13 de diciembre de 2022. Consulte la página del ciclo de vida de productos de Microsoft para obtener información sobre cómo se admite este producto, servicio, tecnología o API. Para más información sobre cómo actualizar a la versión más reciente de IoT Edge, consulte Actualización de IoT Edge.

Azure IoT Edge para Linux en Windows se beneficia de todas las capacidades de seguridad que se obtienen al ejecutar en un host de cliente o servidor de Windows y garantiza que todos los componentes adicionales mantengan el mismo entorno de seguridad. En este artículo se proporciona información sobre las distintas instalaciones de seguridad que están habilitadas de forma predeterminada y algunas de las instalaciones opcionales que el usuario puede habilitar.

Seguridad de máquina virtual

La máquina virtual mantenida IoT Edge para Linux (EFLOW) se basa en Microsoft CBL-Mariner. CBL-Mariner es una distribución interna de Linux para la infraestructura en la nube y los servicios y productos perimetrales de Microsoft. CBL-Mariner está diseñado para proporcionar una plataforma coherente para estos dispositivos y servicios y mejora la capacidad de Microsoft de mantenerse al día en las actualizaciones de Linux. Para más información, consulte Seguridad de CBL-Mariner.

La máquina virtual EFLOW se basa en una plataforma de seguridad completa de tres puntos:

  1. Actualizaciones de mantenimiento
  2. Sistema de archivos raíz de solo lectura
  3. Bloqueo del firewall

Actualizaciones de mantenimiento

Cuando surgen vulnerabilidades de seguridad, CBL-Mariner hace que las revisiones y correcciones de seguridad más recientes estén disponibles para su servicio a través de las actualizaciones mensuales de EFLOW. La máquina virtual no tiene ningún administrador de paquetes, por lo que no es posible descargar e instalar manualmente paquetes RPM. Todas las actualizaciones de la máquina virtual se instalan mediante el mecanismo de actualización EFLOW A/B. Para más información sobre las actualizaciones de EFLOW, consulte Actualización de IoT Edge para Linux en Windows

Sistema de archivos raíz de solo lectura

La máquina virtual EFLOW se compone de dos particiones principales rootfs y datos. Las particiones rootFS-A o rootFS-B son intercambiables y una de las dos se monta como un sistema de archivos de solo lectura en /, lo que significa que no se permiten cambios en los archivos almacenados dentro de esta partición. Por otro lado, la partición de datos montada en /var es legible y grabable, lo que permite al usuario modificar el contenido dentro de la partición. El proceso de actualización no manipula los datos almacenados en esta partición y, por tanto, no se modificarán entre las actualizaciones.

Dado que es posible que necesite acceso de escritura a /etc, /home, /root, /var para casos de uso específicos, el acceso de escritura para estos directorios se realiza superponiéndolos a nuestra partición de datos específicamente en el directorio /var/.eflow/overlays. El resultado final de esto es que los usuarios pueden escribir cualquier cosa en los directorios mencionados anteriormente. Para obtener más información sobre las superposiciones, vea Superposiciones.

Diseño de partición EFLOW 1.1LTS

Partición Size Descripción
Arranque 192 MB Contiene el cargador de arranque
RootFS A 2 GB Una de las dos particiones activas o pasivas que contienen el sistema de archivos raíz
RootFS B 2 GB Una de las dos particiones activas o pasivas que contienen el sistema de archivos raíz
Actualización AB 2 GB Contiene los archivos de actualización. Asegúrese de que siempre hay suficiente espacio en la máquina virtual para las actualizaciones
Data De 2 GB a 2 TB Partición con estado para almacenar datos persistentes entre actualizaciones. Expandible según la configuración de implementación

Nota:

El diseño de partición representa el tamaño del disco lógico y no indica el espacio físico que ocupará la máquina virtual en el disco del sistema operativo host.

Firewall

De forma predeterminada, la máquina virtual EFLOW usa la utilidad iptables para las configuraciones de firewall. Iptables se usa para configurar, mantener e inspeccionar las tablas de reglas de filtro de paquetes IP en el kernel de Linux. La implementación predeterminada solo permite el tráfico entrante en el puerto 22 (servicio SSH) y bloquea el tráfico en el caso contrario. Puede comprobar la configuración de iptables con los pasos siguientes:

  1. Abra una sesión de PowerShell con privilegios elevados

  2. Conexión a la máquina virtual EFLOW

    Connect-EflowVm
    
  3. Enumerar todas las reglas de iptables

    sudo iptables -L
    

    iptables EFLOW predeterminadas

Módulo de plataforma segura (TPM)

La tecnología del Módulo de plataforma segura (TPM) está diseñada para ofrecer funciones relacionadas con la seguridad y el hardware. El chip del TPM es un procesador de criptografía seguro diseñado para realizar operaciones criptográficas. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones.

La máquina virtual EFLOW no admite vTPM. Sin embargo, el usuario puede habilitar o deshabilitar la característica de paso directo de TPM, que permite que la máquina virtual EFLOW use el TPM del sistema operativo host de Windows. Esto habilita dos escenarios principales:

Proteger la comunicación de la máquina virtual y del host

EFLOW proporciona varias maneras de interactuar con la máquina virtual mediante la exposición de una implementación enriquecida del módulo de PowerShell. Para obtener más información, vea Funciones de PowerShell para IoT Edge para Linux en Windows. Este módulo requiere una sesión con privilegios elevados para ejecutarse y se firma mediante un certificado de Microsoft Corporation.

Todas las comunicaciones entre el sistema operativo host de Windows y la máquina virtual EFLOW requerida por los cmdlets de PowerShell se realizan mediante un canal SSH. De forma predeterminada, el servicio SSH de máquina virtual no permitirá la autenticación a través del nombre de usuario y la contraseña, y se limita a la autenticación de certificados. El certificado se crea durante el proceso de implementación de EFLOW y es único para cada instalación de EFLOW. Además, para evitar ataques por fuerza bruta SSH, la máquina virtual bloqueará una dirección IP si intenta más de tres conexiones por minuto al servicio SSH.

Pasos siguientes

Más información sobre entornos de seguridad de IoT de Windows

Manténgase al día de las actualizaciones más recientes de IoT Edge para Linux en Windows.