Seguridad

Windows IoT Enterprise incluye una serie de ofertas de seguridad que puede aprovechar para adaptarse mejor a la solución de Windows IoT Enterprise.

Centro de respuesta de seguridad de Microsoft

El mundo está más conectado hoy que nunca. La tecnología está profundamente en nuestras vidas y se ha convertido en parte de nuestra rutina. Con grandes avances, también hemos visto una mayor dinámica jugando entre los actores de amenazas y los defensores. El Centro de respuestas de seguridad de Microsoft (MSRC) forma parte de la comunidad de defender y en la primera línea de evolución de la respuesta de seguridad. Durante más de veinte años, MSRC ha estado trabajando para mejorar la seguridad de nuestros clientes, aprendiendo de los éxitos y los errores. El tiempo solo ha reafirmado el compromiso de MSRC para proteger mejor a los clientes y al ecosistema más amplio.

La misión de MSRC es proteger a los clientes frente a vulnerabilidades de seguridad en los productos y servicios de Microsoft. Al compilar la solución con Windows IoT Enterprise, tiene el compromiso del Centro de respuestas de seguridad de Microsoft hacia la seguridad. Revise su Guía de actualización de seguridad para asegurarse de que los dispositivos están actualizados y protegidos.

Características de seguridad completas

Windows IoT Enterprise, aporta seguridad empresarial a los dispositivos IoT.

Windows IoT Enterprise se basa en una plataforma de seguridad completa de cinco puntos:

  1. Protección de dispositivos
  2. Resistencia a amenazas
  3. Protección de datos en movimiento
  4. Seguridad en la nube
  5. Respuesta

1. Protección de dispositivos

Seguridad de Windows proporciona las siguientes opciones de seguridad integradas para ayudar a proteger el dispositivo frente a ataques de software malintencionados. Como dicen, una defensa fuerte, es una ofensa fuerte.

Módulo de plataforma segura (TPM)

La tecnología del módulo de plataforma segura (TPM) está diseñada para proporcionar funciones relacionadas con la seguridad basadas en hardware. El chip del TPM es un procesador de criptografía seguro diseñado para realizar operaciones criptográficas. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones. Algunas de las principales ventajas de usar la tecnología TPM son que permiten:

  • Generar, almacenar y limitar el uso de claves criptográficas.
  • Usar la tecnología del TPM para la autenticación de dispositivos de plataforma mediante el uso de la clave RSA exclusiva del TPM, que se grabará en sí misma.
  • Garantizar la integridad de la plataforma llevando y almacenando medidas de seguridad.
Atestación de estado del dispositivo Windows

El malware moderno se está volviendo más sofisticado y más sofisticado. Algunos de ellos, específicamente bootkits, son capaces de iniciarse antes de Windows. La atestación de estado del dispositivo se puede usar para detectar y corregir en el evento poco probable en el que un dispositivo está infectado. El firmware del dispositivo registra el proceso de arranque y Windows puede enviarlo a un servidor de atestación de estado de confianza que pueda evaluar objetivamente el estado del dispositivo.

Arranque seguro

El arranque seguro es un estándar de seguridad desarrollado por los miembros del sector del equipo para ayudar a asegurarse de que un dispositivo arranca usando solo software de confianza para el fabricante de equipos originales (OEM). Cuando se inicia el equipo, el firmware comprueba la firma de cada elemento de software de arranque, incluidos los controladores de firmware UEFI (también conocidos como ROM de opción) y el sistema operativo. Si las firmas son válidas, el equipo arranca y el firmware proporciona control al sistema operativo.

El OEM puede usar instrucciones del fabricante del firmware para crear claves de arranque seguras y almacenarlas en el firmware del equipo. Al agregar controladores UEFI, también deberá asegurarse de que están firmados e incluidos en la base de datos de arranque seguro.

Para obtener información sobre cómo funciona el proceso de arranque seguro, incluido el arranque seguro y el arranque medido, consulta Proteger el proceso de arranque de Windows.

Bitlocker

Cualquier lugar en el que se almacenen los datos confidenciales debe estar protegido contra el acceso no autorizado. Windows tiene una larga historia de proporción de soluciones de protección de datos en reposo que protegen frente a atacantes malintencionados, empezando por el sistema de archivo cifrado en el sistema operativo Windows 2000. Más recientemente, BitLocker ha proporcionado cifrado para unidades completas y unidades portátiles. Windows mejora de forma coherente la protección de datos optimizando las opciones existentes y proporcionando nuevas estrategias. Para más información, consulte Preguntas más frecuentes sobre los requisitos y la información general de BitLocker.

2. Resistencia a amenazas

Proporcionamos un conjunto de herramientas de seguridad para Windows para proteger una amplia gama de amenazas contra la ejecución de scripts y código no autorizado, red y ataques de malware. Poder identificar, evaluar y corregir de forma eficaz las vulnerabilidades de los puntos de conexión es fundamental para ejecutar un programa de seguridad adecuado y reducir el riesgo de la organización. La Administración de amenazas y vulnerabilidades sirve como infraestructura para reducir la exposición de la organización e incrementar su resistencia, además de reforzar el área expuesta de puntos de conexión.

Firewall de Windows Defender

Firewall de Windows Defender es un firewall de host con estado que ayuda a proteger el dispositivo, ya que permite crear reglas que determinan qué tráfico de red se permite entrar en el dispositivo desde la red y el tráfico de red que el dispositivo puede enviar a la red. Firewall de Windows Defender también admite la seguridad del protocolo de Internet (IPsec), que puede usar para requerir autenticación desde cualquier dispositivo que intente comunicarse con el dispositivo. Cuando se requiere autenticación, los dispositivos que no se pueden autenticar como un dispositivo de confianza no se pueden comunicar con el dispositivo. También puede usar IPsec para requerir que se cifre cierto tráfico de red para evitar que los analizadores de paquetes de red puedan estar conectados a la red por un usuario malintencionado.

Windows Defender

Microsoft Defender para punto de conexión es una plataforma unificada para la protección preventiva, la detección posterior a la vulneración, la investigación automatizada y la respuesta. Defender para punto de conexión protege los puntos de conexión frente a amenazas cibernéticas, detecta ataques avanzados e infracciones de datos, automatiza los incidentes de seguridad y mejora la posición de seguridad.

3. Protección de datos en movimiento

La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados. Esto incluye la detección, clasificación, protección y supervisión de recursos de datos confidenciales mediante el control de acceso, el cifrado y el registro.

Protocolo de enlace basado en TLS y cifrado X.509/TLS

Seguridad de la capa de transporte (TLS), como Capa de sockets seguros (SSL), es un protocolo de cifrado diseñado para mantener los datos seguros al transferirlos a través de una red. En estos artículos se describen los pasos necesarios para asegurarse de que Configuration Manager comunicación segura usa el protocolo TLS 1.2.

4. Seguridad en la nube

Microsoft Azure incluye herramientas para proteger los datos de acuerdo con las necesidades de seguridad y cumplimiento de su empresa.

Para más información, visite Seguridad de Azure.

5. Respuesta

Microsoft tiene todas las herramientas para proporcionar asistencia y soporte técnico inmediatos.

Administración del dispositivo

Microsoft proporciona un conjunto completo de soluciones de administración de dispositivos para mantener los dispositivos seguros y supervisar la actividad en todo momento. La administración de un dispositivo es ahora más fácil que nunca en Windows IoT Enterprise. Hay varias opciones entre las que su organización puede elegir para administrar mejor los dispositivos, como Microsoft Intune, Endpoint Manager y herramientas de administración basadas en OMA-DM de terceros. Los OEM también pueden seleccionar Agente de dispositivo de Azure, que lo deja a sus clientes para seleccionar la solución de administración de dispositivos que mejor se adapte a ellos.

Recuperación de dispositivos

En caso de que algo vaya mal con el dispositivo, Windows IoT Enterprise admite dos opciones de recuperación de dispositivos:

Opción 1: Aislar el dispositivo mediante herramientas de administración de dispositivos o configuración de red

Opción 2: Vuelva a cambiar la imagen del dispositivo a la configuración de fábrica.

La atestación de estado del dispositivo De Windows IoT permite al operador evaluar si un dispositivo se inicia en un estado de confianza y conforme, y realiza las acciones correctivas adecuadas si es necesario.

Núcleo protegido perimetral

Edge Secured-core es una nueva certificación en el programa Azure Certified Device para dispositivos IoT que ejecutan un sistema operativo completo, como Windows IoT Enterprise. Los dispositivos certificados de Edge Secured-Core cumplen requisitos de seguridad adicionales en torno a la identidad del dispositivo, el arranque seguro, la protección del sistema operativo, las actualizaciones de dispositivos, la protección de datos y las divulgaciones de vulnerabilidades. Todo esto está diseñado para ayudar a evitar ataques, proteger sus datos y defenderse contra aquellos que intentan infiltrarse en la infraestructura.

Basándose en la experiencia que Microsoft desarrolló en torno a Secured-core para equipos de Windows 10 comerciales, Edge Secured-core adopta un enfoque similar para los dispositivos IoT. Esta certificación se puede usar para validar que los dispositivos certificados incluyen tecnología de hardware de seguridad específica, tienen un sistema operativo con seguridad integrada y usan servicios de IoT como Microsoft Defender para IoT que supervisan continuamente las amenazas en el dispositivo.

En el caso de las empresas que crean dispositivos, Edge Secured-core proporciona un diferenciador de bajo costo que permite a los clientes identificar fácilmente el dispositivo que se ha configurado para satisfacer un estándar de seguridad superior.

Seguridad escalable de unidades de núcleo protegidas perimetrales

Mediante el uso de Edge Secured-core, las empresas pueden confiar en que los dispositivos IoT se crean con una base de seguridad y se pueden implementar sin problemas y de forma segura.

También proporciona a las empresas y creadores de soluciones la confianza de que los dispositivos que compran ofrecen las siguientes promesas de seguridad:

  • Identidad de dispositivo basada en hardware
  • Capacidad de aplicar la integridad del sistema
  • Permanece actualizado y se administra de forma remota
  • Proporciona protección de datos en reposo
  • Proporciona protección de datos en tránsito
  • Agente de seguridad integrado y protección

Para más información sobre cómo empezar, consulte Requisitos básicos de Edge Secured-Core para dispositivos Windows IoT Enterprise.

Recursos adicionales