Sécuriser vos solutions IoT

Les solutions IoT vous permettent de connecter, de surveiller et de contrôler vos appareils et ressources IoT à grande échelle. Dans une solution cloud, les appareils et les ressources se connectent directement au cloud. Dans une solution basée sur la périphérie, les appareils et les ressources se connectent à un environnement d’exécution de périphérie. Vous devez sécuriser vos ressources physiques et appareils, votre infrastructure de périphérie et vos services cloud pour protéger votre solution IoT contre les menaces. Vous devez également sécuriser les données qui circulent via votre solution IoT, qu’elles soient en périphérie ou dans le cloud.

Cet article fournit des conseils sur la meilleure sécurisation de votre solution IoT. Chaque section inclut des liens vers du contenu qui fournit des détails et des conseils supplémentaires.

Solution de périphérie

Le diagramme suivant montre une vue générale des composants d’une solution IoT basée sur la périphérie classique. Cet article décrit la sécurité d’une solution IoT basée sur la périphérie :

Dans une solution IoT basée sur la périphérie, vous pouvez diviser la sécurité en quatre domaines suivants :

• Sécurité des ressources : sécurisez la ressource IoT lors du déploiement local.

• Sécurité des connexions : vérifiez que toutes les données en transit entre la ressource, la périphérie et les services cloud sont confidentielles et inviolables.

• Sécurité edge : sécurisez vos données au fur et à mesure qu’elles transitent et sont stockées à la périphérie.

• Sécurité cloud : sécurisez vos données au fur et à mesure qu’elles transitent et sont stockées dans le cloud.

Microsoft Defender pour IoT et pour les conteneurs

Microsoft Defender pour IoT est une solution de sécurité unifiée spécialement conçue pour identifier les appareil de technologie opérationnelle (OT) et IoT, les vulnérabilités et les menaces. Microsoft Defender pour les conteneurs est une solution native cloud qui permet d’améliorer, de surveiller et de maintenir la sécurité de vos ressources conteneurisées (clusters Kubernetes, nœuds Kubernetes, charges de travail Kubernetes, registres de conteneurs, images conteneur et plus encore) et de leurs applications dans des environnements multiclouds et locaux.

Defender pour IoT et Defender pour les conteneurs peuvent monitorer automatiquement certaines des recommandations fournies dans cet article. Defender pour IoT et Defender pour les conteneurs doivent constituer la première ligne de défense pour protéger votre solution basée sur la périphérie. Pour plus d'informations, consultez les rubriques suivantes :

• Microsoft Defender pour les conteneurs - Vue d'ensemble
• Microsoft Defender pour IoT pour les organisations - Vue d'ensemble.

Sécurité des ressources

Cette section fournit des conseils sur la sécurisation de vos ressources, telles que l’équipement industriel, les capteurs et d’autres appareils qui font partie de votre solution IoT. La sécurité de l'actif est essentielle pour garantir l’intégrité et la confidentialité des données qu'il génère et transmet.

• Utilisez Azure Key Vault et l’extension de magasin de secrets : utilisez Azure Key Vault pour stocker et gérer les informations sensibles de la ressource, telles que les clés, les mots de passe, les certificats et les secrets. Opérations Azure IoT utilise Azure Key Vault comme solution de coffre managée sur le cloud et utilise l’extension Magasin des secrets Azure Key Vault pour Kubernetes pour synchroniser les secrets à partir du cloud et les stocker à la périphérie en tant que secrets Kubernetes. Pour en savoir plus, consultez Gérer les secrets pour votre déploiement d’Opérations Azure IoT.

• Configurer la gestion sécurisée des certificats : la gestion des certificats est essentielle pour garantir la communication sécurisée entre les ressources et votre environnement d’exécution de périphérie. Opérations Azure IoT fournit des outils pour gérer les certificats, notamment l’émission, le renouvellement et la révocation de certificats. Pour en savoir plus, consultez Gestion des certificats pour la communication interne des Opérations Azure IoT.

• Sélectionnez du matériel inviolable : choisissez du matériel avec des mécanismes intégrés pour détecter toute falsification physique, comme l’ouverture du couvercle de l’appareil ou le retrait d’une partie de celui-ci. Ces signaux de violation peuvent être inclus dans le flux de données chargé sur le cloud, permettant d’informer les opérateurs de ces événements.

• Activer les mises à jour sécurisées pour les microprogrammes des ressources : utilisez des services qui activent des mises à jour à distance pour vos ressources. Concevez des ressources avec des chemins sécurisés pour les mises à jour et la garantie du chiffrement des versions du microprogramme, afin de sécuriser vos ressources pendant et après les mises à jour.

• Déployer des ressources matérielles de manière sécurisée : vérifiez que le déploiement de la ressource matérielle est aussi inviolable que possible, en particulier dans des emplacements non sécurisés comme les espaces publics ou les paramètres régionaux non supervisés. Activez uniquement les fonctionnalités nécessaires pour réduire l’empreinte d’attaque physique, par exemple couvrir en toute sécurité les ports USB s’ils ne sont pas nécessaires.

• Suivez les bonnes pratiques de sécurité et de déploiement du fabricant d’appareils : si le fabricant de l’appareil fournit des conseils de sécurité et de déploiement, suivez ces instructions ainsi que les conseils généraux de cet article.

Sécurité de la connexion

Cette section fournit des conseils sur la sécurisation des connexions entre vos ressources, votre environnement d’exécution de périphérie et les services cloud. La sécurité des connexions est essentielle pour garantir l’intégrité et la confidentialité des données transmises.

• Utiliser le protocole TLS (Transport Layer Security) pour sécuriser les connexions à partir des ressources : toutes les communications dans Opérations Azure IoT sont chiffrées avec le protocole TLS. Pour fournir une expérience sécurisée par défaut qui réduit l’exposition par inadvertance de votre solution basée sur la périphérie aux attaquants, Azure IoT Operations est déployé avec une autorité de certification racine et un émetteur par défaut pour des certificats de serveur TLS. Pour un déploiement en production, nous vous recommandons d’utiliser votre propre émetteur d’autorité de certification et une solution PKI d’entreprise.

• Apportez votre propre autorité de certification pour la production : pour les déploiements de production, remplacez l’autorité de certification racine auto-signée par défaut par votre propre émetteur d’autorité de certification et intégrez-la à une infrastructure à clé publique d’entreprise pour garantir la confiance et la conformité. Pour en savoir plus, consultez Gestion des certificats pour la communication interne des Opérations Azure IoT.

• Utiliser des pare-feu d’entreprise ou des proxys pour gérer le trafic sortant : si vous utilisez des pare-feu d’entreprise ou des proxys, ajoutez les points de terminaison Opérations Azure IoT à votre liste d’autorisation.

• Chiffrer le trafic interne du répartiteur de messages : la garantie de la sécurité des communications internes au sein de votre infrastructure périphérique est importante pour maintenir l’intégrité et la confidentialité des données. Vous devez configurer l’Agent MQTT pour chiffrer le trafic interne et les données en transit entre les pods de front-end et de back-end de l’Agent MQTT. Pour en savoir plus, voyez Configurer le chiffrement du trafic interne du courtier et des certificats internes.

• Configurer le protocole TLS avec la gestion automatique des certificats pour les écouteurs dans votre Agent MQTT : Opérations Azure IoT fournit une gestion automatique des certificats pour les écouteurs de votre Agent MQTT. Cette fonctionnalité réduit la surcharge administrative liée à la gestion manuelle des certificats, garantit les renouvellements en temps opportun et permet de maintenir la conformité aux stratégies de sécurité. Pour en savoir plus, consultez Sécuriser la communication de l’Agent MQTT avec BrokerListener.

• Configurer une connexion sécurisée au serveur OPC UA : quand vous vous connectez à un serveur OPC UA, vous devez déterminer les serveurs OPC UA auxquels vous faites confiance pour établir une session de manière sécurisée. Pour en savoir plus, consultez Configurer l’infrastructure des certificats OPC UA pour le Connecteur OPC UA.

• Isoler et segmenter des réseaux : utilisez la segmentation et les pare-feu réseau pour isoler les clusters IoT Operations et les appareils de périphérie d’autres ressources réseau. Ajoutez les points de terminaison requis à votre liste verte si vous utilisez des pare-feu d’entreprise ou des proxys. Pour en savoir plus, consultez les instructions de déploiement de production : Mise en réseau.

Sécurité de la périphérie

Cette section fournit des conseils sur la sécurisation de votre environnement d’exécution edge, qui est le logiciel qui s’exécute sur votre plateforme edge. Ce logiciel traite vos données de ressources et gère la communication entre vos ressources et vos services cloud. La sécurité de l’environnement d’exécution de périphérie est essentielle pour garantir l’intégrité et la confidentialité des données traitées et transmises.

• Maintenir à jour l’environnement d’exécution à la périphérie : maintenez votre cluster et votre déploiement Opérations Azure IoT à jour avec les derniers correctifs et les dernières versions mineures pour obtenir tous les correctifs de sécurité et de bogues disponibles. Pour les déploiements de production, désactivez la mise à niveau automatique pour Azure Arc afin d’avoir un contrôle total sur le moment où de nouvelles mises à jour sont appliquées à votre cluster. Au lieu de cela, mettez à niveau manuellement les agents si nécessaire.

• Vérifiez l’intégrité des images conteneur et helm : avant de déployer une image sur votre cluster, vérifiez que l’image est signée par Microsoft. Pour plus d’informations, consultez Valider la signature des images.

• Toujours utiliser des certificats X.509 ou des jetons de compte de service Kubernetes pour l’authentification avec votre Agent MQTT : un Agent MQTT prend en charge plusieurs méthodes d’authentification pour les clients. Vous pouvez configurer chaque port d’écoute pour qu’il ait ses propres paramètres d’authentification avec une ressource BrokerAuthentication. Pour en savoir plus, consultez Configurer l’authentification de l’Agent MQTT.

• Fournir le plus petit privilège nécessaire à la ressource de rubrique dans votre broker MQTT : les politiques d’autorisation déterminent les actions que les clients peuvent effectuer sur le broker, comme la connexion, la publication ou l’abonnement aux rubriques. Configurer l’agent MQTT pour qu’il utilise une ou plusieurs stratégies d’autorisation à l’aide de la ressource BrokerAuthorization. Pour en savoir plus, consultez Configurer l’autorisation de l’Agent MQTT.

Sécurité du cloud

Cette section fournit des conseils sur la sécurisation de vos services cloud, qui sont les services qui traitent et stockent vos données de ressources. La sécurité des services cloud est essentielle pour garantir l’intégrité et la confidentialité de vos données.

• Utiliser des identités managées affectées par l’utilisateur pour les connexions cloud : utilisez toujours l’authentification d’identité managée. Si possible, utilisez l’identité managée affectée par l’utilisateur dans les points de terminaison de flux de données pour plus de flexibilité et d’auditabilité. Pour plus d’informations, consultez Activer les paramètres sécurisés dans Les opérations Azure IoT.

• Déployer les ressources d'observabilité et mettre en place des journaux : l’observabilité offre une visibilité sur chaque couche de votre configuration Opérations Azure IoT. Elle vous donne un aperçu du comportement réel des problèmes, ce qui augmente l’efficacité de l’ingénierie de fiabilité du site. Azure IoT Opérations offre une observabilité avec des tableaux de bord Grafana organisés et personnalisés hébergés dans Azure. Ces tableaux de bord sont alimentés par le service géré Azure Monitor pour Prometheus et par Container Insights. Déployez des ressources d’observabilité sur votre cluster avant de déployer Opérations Azure IoT.

• Sécuriser l’accès aux ressources et aux points de terminaison de ressource avec RBAC Azure : les ressources et les points de terminaison de ressource dans Opérations Azure IoT ont des représentations dans le cluster Kubernetes et le portail Azure. Utilisez Azure RBAC pour sécuriser l’accès à ces ressources. Azure RBAC est un système d’autorisation qui vous permet de gérer l’accès aux ressources Azure. Utilisez Azure RBAC pour accorder des autorisations aux utilisateurs, aux groupes et aux applications dans une certaine étendue. Pour en savoir plus, consultez Sécuriser l’accès aux ressources et aux points de terminaison de ressource.

Solution basée sur le cloud

Le diagramme suivant montre une vue générale des composants d’une solution IoT basée sur le cloud classique. Cet article se concentre sur la sécurité dans une solution IoT basée sur le cloud :

Dans une solution IoT basée sur le cloud, vous pouvez diviser la sécurité en trois domaines suivants :

• Sécurité de l’appareil : sécurisez l’appareil IoT pendant son déploiement en local.

• Sécurité des connexions : Vérifiez que toutes les données transmises entre l’appareil IoT et les services cloud IoT sont confidentielles et infalsifiables.

• Sécurité cloud : sécurisez vos données au fur et à mesure qu’elles transitent et sont stockées dans le cloud.

Les recommandations de cet article vous aident à respecter les obligations de sécurité décrites dans le modèle de responsabilité partagée.

Microsoft Defender pour IoT

Microsoft Defender pour IoT surveille automatiquement certaines des recommandations de cet article. Microsoft Defender pour IoT analyse régulièrement l’état de sécurité de vos ressources Azure pour identifier les vulnérabilités de sécurité potentielles, puis propose des recommandations sur la façon de les traiter. Pour plus d'informations, consultez les rubriques suivantes :

• Présentation de Microsoft Defender pour IoT pour les organisations.
• Présentation de Microsoft Defender pour IoT pour les fabricants d’appareils.
• Améliorer la posture de sécurité avec des recommandations de sécurité.

Sécurité de l'appareil

Cette section fournit des conseils sur la sécurisation de vos appareils IoT, qui sont les composants matériels qui collectent et transmettent des données. La sécurité de l’appareil est essentielle pour garantir l’intégrité et la confidentialité des données qu’il génère et transmet.

• Concevoir le matériel en fonction des exigences minimales : sélectionnez votre matériel de façon à inclure les fonctionnalités minimales requises pour son fonctionnement, et rien de plus. Par exemple, incluez des ports USB uniquement s’ils sont nécessaires au fonctionnement de l’appareil dans votre solution. Des fonctionnalités supplémentaires peuvent exposer l’appareil à des vecteurs d’attaque indésirables.

• Sélectionnez du matériel anti-effraction : choisissez le matériel de l’appareil avec des mécanismes intégrés pour détecter la falsification physique, comme l’ouverture du couvercle de l’appareil ou le retrait d’une partie de l’appareil. Ces signaux de falsification peuvent être inclus dans le flux de données chargé sur le cloud, permettant d’informer les opérateurs de ces événements.

• Sélectionnez matériel sécurisé : si possible, choisissez le matériel d’appareil qui inclut des fonctionnalités de sécurité telles que le stockage sécurisé et chiffré et les fonctionnalités de démarrage basées sur un module de plateforme approuvée. Ces fonctionnalités renforcent la sécurité des appareils et facilitent la protection de l’infrastructure IoT globale.

• Activer des mises à jour sécurisées : utilisez des services tels que Device Update pour IoT Hub pour les mises à jour aériennes de vos appareils IoT. Concevez des appareils avec des chemins sécurisés pour les mises à jour et la garantie du chiffrement des versions du microprogramme, afin de sécuriser vos appareils pendant et après les mises à jour.

• Respecter une méthodologie de développement de logiciels sécurisés : le développement de logiciels sécurisés nécessite de prendre en compte la sécurité depuis le lancement du projet jusqu’à son implémentation, les tests et le déploiement. Le cycle de développement Microsoft Security Development Lifecycle offre une approche pas à pas de la création de logiciels sécurisés.

• Utiliser des kits SDK d’appareil dans la mesure du possible : les kits SDK d’appareil implémentent différentes fonctionnalités de sécurité, telles que le chiffrement et l’authentification, qui vous aident à développer des applications d’appareil robustes et sécurisées. Pour plus d’informations, consultez SDKs Azure IoT.

• Choisir des logiciels open source avec précaution : les logiciels open source permettent de développer des solutions rapidement. Lorsque vous choisissez un logiciel open source, tenez compte du niveau d’activité de la communauté pour chaque composant open source. Avec une communauté active, les logiciels bénéficient d’un vaste soutien, et les problèmes sont identifiés et traités. Un projet logiciel open source obscur et inactif peut ne pas être pris en charge, et les problèmes ne sont probablement pas détectés.

• Déployer du matériel de manière sécurisée : les déploiements IoT peuvent vous obliger à déployer du matériel dans des emplacements non sécurisés, tels que dans des espaces publics ou des paramètres régionaux non supervisés. Dans ces situations, rendez le déploiement matériel aussi à l'abri de toute altération que possible et activez uniquement les fonctionnalités nécessaires pour réduire la vulnérabilité aux attaques physiques.

• Stocker les informations d’identification dans les modules de sécurité matériels (HSM) : utilisez des modules HSM pour stocker en toute sécurité les secrets d’appareil, tels que les clés privées et les certificats, pour vous protéger contre l’extraction et la falsification. Pour plus d’informations, consultez l’authentification IoT Hub X.509, les conseils sur le HSM DPS et le gestionnaire de sécurité IoT Edge.

• Faire pivoter régulièrement les clés d’appareil et les certificats : faire pivoter régulièrement les informations d’identification, en particulier après une violation ou une expiration, afin de réduire le risque d’accès non autorisé. Pour plus d’informations, consultez Comment déployer des certificats dans DPS et la gestion des certificats IoT Central X.509.

• Mise à jour et correctif : conservez tous les runtimes, kits sdk et composants du système d’exploitation à jour avec les derniers correctifs et mises à jour de sécurité. Pour en savoir plus, consultez les instructions de mise à jour IoT Edge.

• Protéger le système contre les activités malveillantes : si le système d'exploitation le permet, installez les dernières fonctionnalités de protection antivirus et anti-programme malveillant sur le système d’exploitation de chaque appareil.

• Auditez fréquemment : auditez l’infrastructure IoT pour les problèmes de sécurité afin de vous permettre de répondre aux incidents de sécurité. La plupart des systèmes d’exploitation fournissent une journalisation des événements intégrée. Passez en revue les journaux fréquemment pour vérifier les violations de sécurité. Un appareil peut envoyer des informations d’audit en tant que flux de données distincts au service cloud, où vous pouvez l’analyser.

• Suivez les bonnes pratiques de sécurité et de déploiement du fabricant d’appareils : si le fabricant de l’appareil fournit des conseils de sécurité et de déploiement, suivez ces instructions ainsi que les conseils généraux de cet article.

• Utiliser une passerelle de champ pour fournir des services de sécurité aux appareils hérités ou contraints : les appareils hérités et contraints peuvent ne pas avoir la capacité à chiffrer les données, à se connecter à Internet ou à fournir un audit avancé. Dans ce cas, une passerelle de champ moderne et sécurisée peut agréger des données à partir d’appareils hérités et fournir la sécurité nécessaire pour connecter ces appareils via Internet. Un appareil IoT Edge peut être utilisé comme passerelle et fournit une authentification sécurisée, la négociation de sessions chiffrées, la réception des commandes du cloud et beaucoup d’autres fonctionnalités de sécurité. Azure Sphere peut agir en tant que module guardian pour sécuriser d’autres appareils, y compris les systèmes hérités existants qui ne sont pas conçus pour une connectivité approuvée.

• Chiffrer les données au repos : utilisez le chiffrement au niveau du système d’exploitation, tel que BitLocker pour Windows, pour l’appareil et le stockage de périphérie pour protéger les données si les appareils sont perdus ou volés. Pour en savoir plus, consultez sécurité IoT Edge.

Sécurité de la connexion

Cette section fournit des conseils sur la sécurisation des connexions entre vos appareils IoT et vos services cloud. La sécurité des connexions est essentielle pour garantir l’intégrité et la confidentialité des données transmises.

• Utilisez des certificats X.509 pour authentifier vos appareils auprès d’IoT Hub ou IoT Central : IoT Hub et IoT Central prennent en charge les certificats X509 pour l’authentification des appareils. Utilisez l’authentification X509 dans les environnements de production, car elle offre une sécurité supérieure à celle des clés symétriques. Pour plus d’informations, consultez Authentification d’un appareil auprès d’IoT Hub et Concepts relatifs à l’authentification des appareils dans IoT Central.

• Évitez les clés symétriques partagées : si vous utilisez des clés symétriques, ne partagez pas de clés symétriques entre les appareils. Chaque appareil a besoin d’informations d’identification uniques pour éviter une compromission généralisée si une clé est divulguée. Pour en savoir plus, consultez les pratiques de sécurité pour les fabricants d’appareils.

• Utiliser TLS (Transport Layer Security) 1.2 pour sécuriser les connexions à partir d’appareils : IoT Hub et IoT Central utilisent TLS pour sécuriser les connexions en provenance d’appareils et de services IoT. Trois versions du protocole TLS sont actuellement prises en charge : 1.0, 1.1 et 1.2. TLS 1.0 et 1.1 sont considérés comme hérités. Pour plus d’informations, consultez Prise en charge du protocole TLS (Transport Layer Security) dans IoT Hub et Prise en charge de TLS dans Azure IoT Hub Device Provisioning Service (DPS).

• Utilisez des suites de chiffrement fortes et conservez les certificats d’autorité de certification racine à jour : mettez à jour les suites de chiffrement et les certificats racines approuvés régulièrement pour maintenir des connexions sécurisées. Pour plus d’informations, consultez la prise en charge TLS par IoT Hub.

• Vérifiez que vous disposez d’un moyen de mettre à jour le certificat racine TLS sur vos appareils : les certificats racines TLS dureront longtemps, mais ils peuvent expirer ou être révoqués. Si vous ne pouvez pas mettre à jour le certificat sur l’appareil, l’appareil peut ne pas être en mesure de se connecter à IoT Hub, IoT Central ou tout autre service cloud à une date ultérieure. Pour en savoir plus, consultez Comment renouveler les certificats d’appareil X.509.

• Envisager l’utilisation d’Azure Private Link : Azure Private Link vous permet de connecter vos appareils à un point de terminaison privé sur votre réseau virtuel, ce qui vous permet de bloquer l’accès aux points de terminaison publics de votre hub IoT. Pour en savoir plus, consultez Connectivité d’entrée vers IoT Hub avec Azure Private Link et Sécurité réseau pour IoT Central à l’aide de points de terminaison privés.

• Restreindre l’accès réseau : utilisez le filtrage IP pour limiter l’accès aux sources et réseaux approuvés. Pour en savoir plus, consultez le filtrage IP IoT Hub, les points de terminaison privés IoT Central et le filtrage IP DPS.

• Désactivez l’accès au réseau public s’il n’est pas nécessaire : empêchez l’exposition à l’Internet public en désactivant les points de terminaison publics lorsque vous le pouvez. Pour en savoir plus, consultez l’accès au réseau public IoT Hub et l’accès au réseau public DPS.

• Isoler les périphériques et les services dans des segments réseau sécurisés : utilisez la segmentation et les pare-feu réseau pour isoler les appareils et services IoT Edge d’autres ressources réseau. Pour plus d’informations, consultez IoT Edge pour Linux sur la sécurité Windows.

Sécurité du cloud

Cette section fournit des conseils sur la sécurisation de vos services cloud, qui sont les services qui traitent et stockent vos données d’appareil IoT. La sécurité des services cloud est essentielle pour garantir l’intégrité et la confidentialité de vos données.

• Respecter une méthodologie de développement de logiciels sécurisés : le développement de logiciels sécurisés nécessite de prendre en compte la sécurité depuis le lancement du projet jusqu’à son implémentation, les tests et le déploiement. Le cycle de développement Microsoft Security Development Lifecycle offre une approche pas à pas de la création de logiciels sécurisés.

• Choisir des logiciels open source avec précaution : les logiciels open source permettent de développer des solutions rapidement. Quand vous choisissez des logiciels open source, tenez compte du niveau d’activité de la communauté vis-à-vis de chaque composant open source. Avec une communauté active, les logiciels bénéficient d’un vaste soutien, et les problèmes sont identifiés et traités. Un projet de logiciel open source obscur et inactif pourrait ne pas être soutenu et il est peu probable que les problèmes soient découverts.

• Intégrer les composants avec précaution : les failles de sécurité logicielle se situent, pour nombre d’entre elles, à la limite des bibliothèques et des API. Les fonctionnalités qui ne sont pas requises pour le déploiement actuel peuvent toujours être disponibles via une couche API. Pour garantir la sécurité globale, vérifiez toutes les interfaces des composants intégrés pour connaître les failles de sécurité.

• Protéger les informations d’identification cloud : un attaquant peut utiliser les informations d’identification d’authentification cloud que vous utilisez pour configurer et exploiter votre déploiement IoT en vue d’accéder à votre système IoT et de le compromettre. Protégez les informations d’identification en modifiant souvent le mot de passe et n’utilisez pas ces informations d’identification sur des ordinateurs publics.

• Utilisez l’ID Microsoft Entra et RBAC avec IoT Hub : utilisez l’ID Microsoft Entra et le RBAC Azure pour l’accès aux API de service et de gestion pour activer un contrôle d’accès granulaire basé sur l’identité. Pour plus d’informations, consultez l’authentification IoT Hub Entra ID et l’authentification DPS Entra ID.

• Désactivez les stratégies d’accès partagé si nécessaire : réduisez la surface d’attaque en désactivant les stratégies d’accès partagé et les jetons lorsque vous n’en avez pas besoin. Pour en savoir plus, consultez les stratégies d’accès partagé IoT Hub.

• Définir des contrôles d’accès pour votre application IoT Central : comprenez et définissez le type d’accès que vous activez pour votre application IoT Central. Pour plus d'informations, consultez les rubriques suivantes :

  • Gérer les utilisateurs et rôles dans votre application Azure IoT Central
  • Gérer des organisations IoT Central
  • Utiliser des journaux d’audit pour suivre l’activité dans votre application IoT Central
  • Comment authentifier et autoriser les appels d’API REST IoT Central

• Définir des contrôles d’accès pour les services back-end : d’autres services Azure peuvent consommer les données que votre application IoT Hub ou IoT Central ingère à partir de vos appareils. Vous pouvez router les messages de vos appareils vers d’autres services Azure. Comprenez et configurez les autorisations d’accès appropriées pour qu’IoT Hub ou IoT Central se connecte à ces services. Pour plus d'informations, consultez les rubriques suivantes :

  • Lire les messages de l'appareil vers le cloud à partir du point de terminaison intégré du IoT Hub
  • Utiliser le routage des messages IoT Hub pour envoyer des messages appareil-à-cloud à différents points de terminaison
  • Exporter des données IoT Central
  • Exporter des données IoT Central vers une destination sécurisée sur un Réseau virtuel Azure

• Accordez uniquement les autorisations minimales requises : appliquez le principe du privilège minimum lorsque vous attribuez des rôles et des autorisations aux utilisateurs, aux applications et aux appareils. Pour en savoir plus, consultez les meilleures pratiques de gestion des identités.

• Surveillez votre solution IoT depuis le cloud : Surveillez l’intégrité globale de votre solution IoT en utilisant les métriques IoT Hub dans Azure Monitor ou surveillez l’intégrité de l’application IoT Central.

• Configurez les diagnostics : surveillez vos opérations en journalisant les événements dans votre solution, puis envoyez les journaux de diagnostic à Azure Monitor. Pour plus d’informations, consultez Superviser et diagnostiquer les problèmes dans votre hub IoT.

Contenu connexe

• Sécurité IoT Hub
• Guide de sécurité IoT Central
• Pratiques de sécurité DPS
• Infrastructure de sécurité IoT Edge
• Base de référence de sécurité Azure pour Azure IoT Hub
• Perspective du Well-Architected Framework sur Azure IoT Hub
• Base de référence de sécurité Azure pour Kubernetes avec Azure Arc
• Concepts pour assurer la sécurité de votre charge de travail native Cloud