Meilleures pratiques de sécurité pour les solutions IoT

Cette vue d’ensemble présente les concepts clés relatifs à la sécurisation d’une solution Azure IoT classique. Chaque section inclut des liens vers du contenu qui fournit des détails et des conseils supplémentaires.

Solution de périphérie

Le diagramme suivant montre une vue générale des composants d’une solution IoT de périphérie classique. Cet article décrit la sécurité d’une solution IoT basée sur la périphérie :

Vous pouvez diviser la sécurité d’une solution IoT basée sur la périphérie dans les trois domaines suivants :

• Sécurité des ressources : sécurisez l’élément physique ou virtuel de valeur que vous voulez gérer, monitorer et à partir duquel vous souhaitez collecter des données.

• Sécurité des connexions : vérifiez que toutes les données en transit entre la ressource, la périphérie et les services cloud sont confidentielles et inviolables.

• Sécurité de la périphérie : sécurisez vos données quand elles transitent à la périphérie et y sont stockées.

• Sécurité du cloud : Sécurisez vos données durant leur transit et leur stockage dans le cloud.

En règle générale, avec une solution basée sur la périphérie, vous souhaitez sécuriser vos opérations de bout en bout en utilisant des fonctionnalités de sécurité Azure. Opérations Azure IoT offre des fonctionnalités de sécurité intégrées comme la gestion des secrets, la gestion des certificats et les paramètres sécurisés sur un cluster Kubernetes avec Azure Arc. Quand un cluster Kubernetes est connecté à Azure, une connexion sortante à Azure est lancée, avec le protocole SSL standard pour sécuriser les données en transit, et plusieurs autres fonctionnalités de sécurité sont activées, par exemple :

• Voir et superviser vos clusters à l’aide d’Azure Monitor pour les conteneurs.
• Appliquer la protection contre les menaces avec Microsoft Defender pour les conteneurs.
• Assurez la gouvernance en appliquant des stratégies avec Azure Policy pour Kubernetes.
• Accorder l’accès à vos clusters Kubernetes et vous y connecter en tout lieu, tout en gérant l’accès en utilisant le contrôle d’accès en fonction du rôle (RBAC) Azure sur votre cluster.

Microsoft Defender pour IoT et pour les conteneurs

Microsoft Defender pour IoT est une solution de sécurité unifiée spécialement conçue pour identifier les appareil de technologie opérationnelle (OT) et IoT, les vulnérabilités et les menaces. Microsoft Defender pour les conteneurs est une solution native cloud qui permet d’améliorer, de surveiller et de maintenir la sécurité de vos ressources conteneurisées (clusters Kubernetes, nœuds Kubernetes, charges de travail Kubernetes, registres de conteneurs, images conteneur et plus encore) et de leurs applications dans des environnements multiclouds et locaux.

Defender pour IoT et Defender pour les conteneurs peuvent monitorer automatiquement certaines des recommandations fournies dans cet article. Defender pour IoT et Defender pour les conteneurs doivent constituer la première ligne de défense pour protéger votre solution basée sur la périphérie. Pour plus d'informations, consultez les rubriques suivantes :

• Microsoft Defender pour les conteneurs - Vue d'ensemble
• Microsoft Defender pour IoT pour les organisations - Vue d'ensemble.

Sécurité des ressources

• Gestion des secrets : utilisez Azure Key Vault pour stocker et gérer les informations sensibles de la ressource, comme les clés, les mots de passe, les certificats et les secrets. Opérations Azure IoT utilise Azure Key Vault comme solution de coffre managée sur le cloud et utilise l’extension Magasin des secrets Azure Key Vault pour Kubernetes pour synchroniser les secrets à partir du cloud et les stocker à la périphérie en tant que secrets Kubernetes. Pour en savoir plus, consultez Gérer les secrets pour votre déploiement d’Opérations Azure IoT.

• Gestion des certificats : la gestion des certificats est essentielle pour garantir une communication sécurisée entre les ressources et votre environnement d’exécution à la périphérie. Opérations Azure IoT fournit des outils pour gérer les certificats, notamment l’émission, le renouvellement et la révocation de certificats. Pour en savoir plus, consultez Gestion des certificats pour la communication interne des Opérations Azure IoT.

• Sélectionner du matériel inviolable pour les ressources : choisissez des ressources matérielles intégrant des mécanismes qui détectent toute violation physique, comme l’ouverture du capot ou la suppression d’une partie de l’appareil. Ces signaux de violation peuvent être inclus dans le flux de données chargé sur le cloud, permettant d’informer les opérateurs de ces événements.

• Activer les mises à jour sécurisées pour les microprogrammes des ressources : utilisez des services qui activent des mises à jour à distance pour vos ressources. Concevez des ressources avec des chemins sécurisés pour les mises à jour et la garantie du chiffrement des versions du microprogramme, afin de sécuriser vos ressources pendant et après les mises à jour.

• Déployer des ressources matérielles de manière sécurisée : vérifiez que le déploiement de la ressource matérielle est aussi inviolable que possible, en particulier dans des emplacements non sécurisés comme les espaces publics ou les paramètres régionaux non supervisés. Activez uniquement les fonctionnalités nécessaires pour réduire l’empreinte d’attaque physique, par exemple en couvrant de manière sécurisée les ports USB s’ils ne sont pas nécessaires.

• Suivre les meilleures pratiques en matière de sécurité et de déploiement préconisées par le fabricant de l’appareil : si le fabricant de l’appareil fournit des instructions relatives à la sécurité et au déploiement, suivez ces instructions en plus des instructions génériques répertoriées dans cet article.

Sécurité de la connexion

• Utiliser le protocole TLS (Transport Layer Security) pour sécuriser les connexions à partir des ressources : toutes les communications dans Opérations Azure IoT sont chiffrées avec le protocole TLS. Pour fournir une expérience sécurisée par défaut qui réduit l’exposition par inadvertance de votre solution basée sur la périphérie aux attaquants, Opérations Azure IoT est déployé avec une autorité de certification racine et un émetteur par défaut pour les certificats de serveur TLS. Pour un déploiement en production, nous vous recommandons d’utiliser votre propre émetteur d’autorité de certification et une solution PKI d’entreprise.

• Utiliser des pare-feu d’entreprise ou des proxys pour gérer le trafic sortant : si vous utilisez des pare-feu d’entreprise ou des proxys, ajoutez les points de terminaison Opérations Azure IoT à votre liste d’autorisation.

• Chiffrer le trafic interne du répartiteur de messages : la garantie de la sécurité des communications internes au sein de votre infrastructure périphérique est importante pour maintenir l’intégrité et la confidentialité des données. Vous devez configurer l’Agent MQTT pour chiffrer le trafic interne et les données en transit entre les pods de front-end et de back-end de l’Agent MQTT. Pour en savoir plus, Configurer le chiffrement du trafic interne et des certificats internes de l’Agent.

• Configurer le protocole TLS avec la gestion automatique des certificats pour les écouteurs dans votre Agent MQTT : Opérations Azure IoT fournit une gestion automatique des certificats pour les écouteurs de votre Agent MQTT. Cela réduit la surcharge administrative liée à la gestion manuelle des certificats, garantit les renouvellements en temps opportun et permet de maintenir la conformité avec les stratégies de sécurité. Pour en savoir plus, consultez Sécuriser la communication de l’Agent MQTT avec BrokerListener.

• Configurer une connexion sécurisée au serveur OPC UA : quand vous vous connectez à un serveur OPC UA, vous devez déterminer les serveurs OPC UA auxquels vous faites confiance pour établir une session de manière sécurisée. Pour en savoir plus, consultez Configurer l’infrastructure des certificats OPC UA pour le Connecteur OPC UA.

Sécurité de la périphérie

• Maintenir à jour l’environnement d’exécution à la périphérie : maintenez votre cluster et votre déploiement Opérations Azure IoT à jour avec les derniers correctifs et les dernières versions mineures pour obtenir tous les correctifs de sécurité et de bogues disponibles. Pour les déploiements en production, désactivez la mise à niveau automatique d’Azure Arc afin d’avoir un contrôle total sur l’application des nouvelles mises à jour à votre cluster. Au lieu de cela, mettez à niveau manuellement les agents si nécessaire.

• Vérifier l’intégrité des images docker et helm : avant de déployer une image sur votre cluster, vérifiez que l’image est signée par Microsoft. Pour plus d’informations, consultez Valider la signature des images.

• Toujours utiliser des certificats X.509 ou des jetons de compte de service Kubernetes pour l’authentification avec votre Agent MQTT : un Agent MQTT prend en charge plusieurs méthodes d’authentification pour les clients. Vous pouvez configurer chaque port d’écoute pour qu’il ait ses propres paramètres d’authentification avec une ressource BrokerAuthentication. Pour en savoir plus, consultez Configurer l’authentification de l’Agent MQTT.

• Fournir le plus petit privilège nécessaire à la ressource de rubrique dans votre Agent MQTT : les stratégies d’autorisation déterminent les actions que les clients peuvent effectuer sur l’Agent, comme la connexion, la publication ou l’abonnement aux rubriques. Configurer l’agent MQTT pour qu’il utilise une ou plusieurs stratégies d’autorisation à l’aide de la ressource BrokerAuthorization. Pour en savoir plus, consultez Configurer l’autorisation de l’Agent MQTT.

• Configurer des environnements réseau isolés en utilisant la Gestion de réseau en couches Azure IoT (préversion) : la Gestion de réseau en couches Azure IoT (préversion) est un composant qui facilite la connexion entre Azure et les clusters dans des environnements réseau isolés. Dans les scénarios industriels, les réseaux isolés suivent l’architecture du réseau PurdueISA-95/. Pour en savoir plus, consultez Qu’est-ce que la Gestion de réseau en couches Azure IoT (préversion) ?.

Sécurité du cloud

• Utiliser des identités managées affectées par l’utilisateur pour les connexions cloud : utilisez toujours l’authentification d’identité managée. Si possible, utilisez l’identité managée affectée par l’utilisateur dans les points de terminaison de flux de données pour plus de flexibilité et d’auditabilité.

• Déployer l’observabilité des ressources et configurer des journaux : l’observabilité offre une visibilité sur chaque couche de votre configuration Opérations Azure IoT. Elle vous donne un aperçu du comportement réel des problèmes, ce qui augmente l’efficacité de l’ingénierie de fiabilité du site. Opérations Azure IoT offre une observabilité via des tableaux de bord Grafana organisés personnalisés hébergés dans Azure. Ces tableaux de bord sont alimentés par le service géré Azure Monitor pour Prometheus et par Container Insights. Déployez des ressources d’observabilité sur votre cluster avant de déployer Opérations Azure IoT.

• Sécuriser l’accès aux ressources et aux points de terminaison de ressource avec RBAC Azure : les ressources et les points de terminaison de ressource dans Opérations Azure IoT ont des représentations dans le cluster Kubernetes et le portail Azure. Vous pouvez utiliser RBAC Azure pour sécuriser l’accès à ces ressources. Azure RBAC est un système d’autorisation qui vous permet de gérer l’accès aux ressources Azure. Vous pouvez utiliser la fonction de contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour garantir des autorisations à des utilisateurs, groupes et applications dans une certaine étendue. Pour en savoir plus, consultez Sécuriser l’accès aux ressources et aux points de terminaison de ressource.

Solution cloud

Le diagramme suivant montre une vue générale des composants d’une solution IoT cloud classique. Cet article décrit la sécurité d’une solution IoT basée sur le cloud :

Vous pouvez diviser la sécurité d’une solution IoT basée sur le cloud dans les trois domaines suivants :

• Sécurité des appareils : Sécurisez l’appareil IoT durant son déploiement.

• Sécurité des connexions : Vérifiez que toutes les données transmises entre l’appareil IoT et les services cloud IoT sont confidentielles et infalsifiables.

• Sécurité du cloud : Sécurisez vos données durant leur transit et leur stockage dans le cloud.

L’implémentation des recommandations de cet article vous aidera à respecter les obligations de en matière de sécurité décrites dans le modèle de responsabilité partagée.

Microsoft Defender pour IoT

Microsoft Defender pour IoT peut superviser automatiquement certaines des recommandations fournies dans cet article. Microsoft Defender pour IoT doit être la première ligne de défense pour protéger votre solution basée sur le cloud. Microsoft Defender pour IoT analyse périodiquement l’état de sécurité de vos ressources Azure pour identifier les failles de sécurité potentielles. Il fournit ensuite des recommandations sur la façon de les corriger. Pour plus d'informations, consultez les rubriques suivantes :

• Améliorer la posture de sécurité avec des recommandations de sécurité.
• Présentation de Microsoft Defender pour IoT pour les organisations.
• Présentation de Microsoft Defender pour IoT pour les fabricants d’appareils.

Sécurité de l'appareil

• Concevoir le matériel en fonction des exigences minimales : sélectionnez votre matériel de façon à inclure les fonctionnalités minimales requises pour son fonctionnement, et rien de plus. Par exemple, incluez des ports USB uniquement s’ils sont nécessaires au fonctionnement de l’appareil dans votre solution. Des fonctionnalités supplémentaires peuvent exposer l’appareil à des vecteurs d’attaque indésirables.

• Sélectionner du matériel résistant aux falsifications : sélectionnez du matériel intégrant des mécanismes permettant de détecter toute falsification physique telle que l’ouverture du capot ou la suppression d’une partie de l’appareil. Ces signaux de falsification peuvent être inclus dans le flux de données chargé sur le cloud, permettant d’informer les opérateurs de ces événements.

• Sélectionner du matériel sécurisé : dans la mesure du possible, choisissez un appareil matériel qui intègre des fonctionnalités de sécurité, comme le stockage sécurisé et chiffré, et une fonctionnalité de démarrage basée sur un module de plateforme sécurisée(TPM). Ces fonctionnalités renforcent la sécurité des appareils et facilitent la protection de l’infrastructure IoT globale.

• Activer les mises à jour sécurisées : utilisez des services de type Device Update pour IoT Hub afin de déployer des mises à jour à distance pour vos appareils IoT. Concevez des appareils avec des chemins sécurisés pour les mises à jour et la garantie du chiffrement des versions du microprogramme, afin de sécuriser vos appareils pendant et après les mises à jour.

• Respecter une méthodologie de développement de logiciels sécurisés : le développement de logiciels sécurisés nécessite de prendre en compte la sécurité depuis le lancement du projet jusqu’à son implémentation, les tests et le déploiement. Le cycle de développement Microsoft Security Development Lifecycle offre une approche pas à pas de la création de logiciels sécurisés.

• Utiliser des kits SDK d’appareil dans la mesure du possible : les kits SDK d’appareil implémentent différentes fonctionnalités de sécurité, telles que le chiffrement et l’authentification, qui vous aident à développer des applications d’appareil robustes et sécurisées. Pour plus d’informations, consultez Kits SDK Azure IoT.

• Choisir des logiciels open source avec précaution : les logiciels open source permettent de développer des solutions rapidement. Quand vous choisissez des logiciels open source, tenez compte du niveau d’activité de la communauté vis-à-vis de chaque composant open source. Avec une communauté active, les logiciels bénéficient d’un vaste soutien, et les problèmes sont identifiés et traités. Ce n’est pas nécessairement le cas d’un projet logiciel open source obscur et inactif : les problèmes ne sont probablement pas identifiés.

• Déployer le matériel de façon sécurisée : les déploiements IoT risquent de vous faire déployer du matériel dans des lieux non sécurisés, par exemple dans des espaces publics ou des lieux non surveillés. Dans ce type de situation, vérifiez que le déploiement du matériel est aussi inviolable que possible et que seules les fonctionnalités nécessaires sont activées pour réduire l’empreinte d’attaque physique. Par exemple, si le matériel a des ports USB, veillez à ce qu’ils soient couverts de manière sécurisée.

• Protéger les clés d’authentification : lors du déploiement, chaque appareil requiert des ID et les clés d’authentification associées générées par le service cloud. Conservez ces clés en lieu sûr et utilisez des informations d’identification renouvelables. Un appareil malveillant peut utiliser n’importe quelle clé compromise pour usurper l’identité d’un appareil existant.

• Garder le système à jour : vérifiez que les systèmes d’exploitation et tous les pilotes des appareils sont au niveau des dernières versions. Tenir à jour les systèmes d’exploitation permet également de les protéger contre les attaques malveillantes.

• Protéger le système contre les activités malveillantes : si le système d'exploitation le permet, installez les dernières fonctionnalités de protection antivirus et anti-programme malveillant sur le système d’exploitation de chaque appareil.

• Effectuer des audits fréquemment : il est essentiel de rechercher les problèmes de sécurité au sein de l’infrastructure IoT pour traiter les incidents de sécurité. La plupart des systèmes d’exploitation offrent une journalisation des événements intégrée. Examinez les journaux fréquemment pour vérifier qu’aucune violation de sécurité n’a été détectée. Un appareil peut envoyer des informations d’audit sous la forme d’un flux de télémétrie au service cloud, où elles peuvent être analysées.

• Suivre les meilleures pratiques en matière de sécurité et de déploiement préconisées par le fabricant de l’appareil : si le fabricant de l’appareil fournit des instructions relatives à la sécurité et au déploiement, suivez ces instructions en plus des instructions génériques répertoriées dans cet article.

• Utiliser une passerelle de champ pour fournir des services de sécurité aux appareils hérités ou contraints : les appareils hérités et contraints peuvent ne pas avoir la capacité à chiffrer les données, à se connecter à Internet ou à fournir un audit avancé. Dans ce cas, une passerelle de champ moderne et sécurisée peut agréger les données des appareils existants et offrir la sécurité requise pour connecter ces appareils à Internet. Un appareil IoT Edge peut être utilisé comme passerelle et fournit une authentification sécurisée, la négociation de sessions chiffrées, la réception des commandes du cloud et beaucoup d’autres fonctionnalités de sécurité. Azure Sphere peut être utilisé comme module gardien pour sécuriser d’autres appareils, y compris les systèmes hérités existants non conçus pour une connectivité de confiance.

Sécurité de la connexion

• Utiliser des certificats X.509 pour authentifier vos appareils auprès d’IoT Hub ou d’IoT Central : IoT Hub et IoT Central prennent en charge l’authentification basée sur des certificats X509 et les jetons de sécurité en tant que méthodes pour qu’un appareil s’authentifie. Si possible, utilisez l’authentification basée sur X509 dans les environnements de production, car elle offre une sécurité accrue. Pour plus d’informations, consultez Authentification d’un appareil auprès d’IoT Hub et Concepts relatifs à l’authentification des appareils dans IoT Central.

• Utiliser TLS (Transport Layer Security) 1.2 pour sécuriser les connexions à partir d’appareils : IoT Hub et IoT Central utilisent TLS pour sécuriser les connexions en provenance d’appareils et de services IoT. Trois versions du protocole TLS sont actuellement prises en charge : 1.0, 1.1 et 1.2. TLS 1.0 et 1.1 sont considérés comme hérités. Pour plus d’informations, consultez Prise en charge du protocole TLS (Transport Layer Security) dans IoT Hub et Prise en charge de TLS dans Azure IoT Hub Device Provisioning Service (DPS).

• Veiller à avoir un moyen de mettre à jour le certificat racine TLS sur les appareils : les certificats racines TLS ont une longue durée de vie, mais ils peuvent tout de même expirer ou être révoqués. S’il n’existe aucun moyen de mettre à jour le certificat sur l’appareil, il est probable que celui-ci ne puisse pas se connecter ultérieurement à IoT Hub, IoT Central ou tout autre service cloud. Pour en savoir plus, consultez Comment renouveler les certificats d’appareil X.509.

• Envisager l’utilisation d’Azure Private Link : Azure Private Link vous permet de connecter vos appareils à un point de terminaison privé sur votre réseau virtuel, ce qui vous permet de bloquer l’accès aux points de terminaison publics de votre hub IoT. Pour en savoir plus, consultez Connectivité d’entrée vers IoT Hub avec Azure Private Link et Sécurité réseau pour IoT Central à l’aide de points de terminaison privés.

Sécurité du cloud

• Respecter une méthodologie de développement de logiciels sécurisés : le développement de logiciels sécurisés nécessite de prendre en compte la sécurité depuis le lancement du projet jusqu’à son implémentation, les tests et le déploiement. Le cycle de développement Microsoft Security Development Lifecycle offre une approche pas à pas de la création de logiciels sécurisés.

• Choisir des logiciels open source avec précaution : les logiciels open source permettent de développer des solutions rapidement. Quand vous choisissez des logiciels open source, tenez compte du niveau d’activité de la communauté vis-à-vis de chaque composant open source. Avec une communauté active, les logiciels bénéficient d’un vaste soutien, et les problèmes sont identifiés et traités. Ce n’est pas nécessairement le cas d’un projet logiciel open source obscur et inactif : les problèmes ne sont probablement pas identifiés.

• Intégrer les composants avec précaution : les failles de sécurité logicielle se situent, pour nombre d’entre elles, à la limite des bibliothèques et des API. Une fonctionnalité qui n’est pas requise pour le déploiement concerné peut quand même rester disponible par le biais d’une couche API. Pour garantir la sécurité globale, vérifiez que toutes les interfaces des composants intégrés sont exemptes de failles de sécurité.

• Protéger les informations d’identification cloud : un attaquant peut utiliser les informations d’identification d’authentification cloud que vous utilisez pour configurer et exploiter votre déploiement IoT en vue d’accéder à votre système IoT et de le compromettre. Protégez les informations d’identification en modifiant fréquemment le mot de passe, et ne les utilisez pas sur des machines publiques.

• Définir des contrôles d’accès pour votre hub IoT : comprenez et définissez le type d’accès dont chaque composant de votre solution IoT Hub a besoin en fonction des fonctionnalités requises. Il existe deux façons d’accorder des autorisations aux API de service pour qu’elles se connectent à votre IoT Hub : Microsoft Entra ID ou des signatures d’accès partagé. Si possible, utilisez Microsoft Entra ID dans les environnements de production, car il offre une sécurité accrue.

• Définir des contrôles d’accès pour votre application IoT Central : comprenez et définissez le type d’accès que vous activez pour votre application IoT Central. Pour plus d'informations, consultez les rubriques suivantes :

  • Gérer les utilisateurs et rôles dans votre application Azure IoT Central
  • Gérer des organisations IoT Central
  • Utiliser des journaux d’audit pour suivre l’activité dans votre application IoT Central
  • Comment authentifier et autoriser les appels d’API REST IoT Central

• Définir des contrôles d’accès pour les services back-end : d’autres services Azure peuvent consommer les données que votre application IoT Hub ou IoT Central ingère à partir de vos appareils. Vous pouvez router les messages de vos appareils vers d’autres services Azure. Comprenez et configurez les autorisations d’accès appropriées pour qu’IoT Hub ou IoT Central se connecte à ces services. Pour plus d'informations, consultez les rubriques suivantes :

  • Lire des messages appareil-à-cloud à partir du point de terminaison intégré IoT Hub
  • Utiliser le routage des messages IoT Hub pour envoyer des messages appareil-à-cloud à différents points de terminaison
  • Exporter des données IoT Central
  • Exporter des données IoT Central vers une destination sécurisée sur un Réseau virtuel Azure

• Superviser votre solution IoT à partir du cloud : supervisez l’intégrité globale de votre solution IoT à l’aide des métriques IoT Hub dans Azure Monitor ou supervisez l’intégrité de l’application IoT Central.

• Configurer des diagnostics: supervisez vos opérations en journalisant les événements dans votre solution, puis en envoyant les journaux de diagnostic à Azure Monitor. Pour plus d’informations, consultez Superviser et diagnostiquer les problèmes dans votre hub IoT.

Étapes suivantes

Pour en savoir plus sur la sécurité IoT, consultez :

• Base de référence de sécurité Azure pour Kubernetes avec Azure Arc
• Concepts pour assurer la sécurité de votre charge de travail native Cloud
• Base de référence de sécurité Azure pour Azure IoT Hub
• Guide de sécurité IoT Central
• Perspective Well-Architected Framework sur Azure IoT Hub