Modifier

Partager via


Déployer un module de sécurité sur votre appareil IoT Edge

Le module Defender pour IoT constitue une solution de sécurité complète pour vos appareils IoT Edge. Ce module de sécurité collecte, agrège et analyse des données de sécurité brutes tirées du système d’exploitation et du système de conteneur pour produire des alertes et des suggestions de sécurité actionnables. Pour plus d’informations, consultez Module de sécurité pour IoT Edge.

Dans ce article, vous apprendrez à déployer un module de sécurité sur votre appareil IoT Edge.

Prérequis

  1. Dans votre IoT Hub, assurez-vous que votre appareil est inscrit en tant que nouvel appareil.

  2. Le module Defender pour IoT Edge nécessite l'installation du framework AuditD sur l'appareil IoT Edge.

    • Installez le framework en exécutant la commande suivante sur votre appareil IoT Edge :

      sudo apt-get install auditd audispd-plugins

    • Exécutez la commande suivante pour vérifier qu’AuditD est actif :

      sudo systemctl status auditd

    • La réponse attendue est : active (running)

Déployer un module de sécurité

Procédez comme suit pour déployer un module de sécurité Defender pour IoT sur IoT Edge.

Déploiement à l’aide du Portail Microsoft Azure

  1. À partir du portail Microsoft Azure, ouvrez la Place de marché.

  2. Sélectionnez Internet des objets, puis recherchez Azure Security Center pour IoT et sélectionnez-le.

    Capture d’écran montrant la sélection de Defender pour IoT.

  3. Sélectionnez Créer pour configurer le déploiement.

  4. Choisissez l’abonnement Azure de votre instance d’IoT Hub, puis sélectionnez votre instance d’IoT Hub.
    Sélectionnez Déployer sur un appareil pour cibler un appareil unique ou Déployer à l’échelle pour cibler plusieurs appareils, puis sélectionnez Créer. Pour plus d’informations sur le déploiement à l’échelle, consultez Comment déployer.

    Notes

    Si vous avez sélectionné Déployer à l’échelle, ajoutez le nom de l’appareil et d’autres informations avant d’accéder à l’onglet Ajouter des modules dans les instructions suivantes.

    Suivez les différentes étapes pour procéder au déploiement IoT Edge de Defender pour IoT.

    Étape 1 : Modules

    1. Sélectionnez le module AzureSecurityCenterforIoT.

    2. Sous l’onglet Paramètres du module, remplacez le nom par azureiotsecurity.

    3. Dans l’onglet Variables d’environnement, ajoutez une variable si nécessaire (vous pouvez, par exemple, ajouter le niveau de débogage et le définir sur l’une des valeurs suivantes : « Fatal », « Error » (Erreur), « Warning » (Avertissement) ou « Information »).

    4. Sous l’onglet Options de création de conteneur, ajoutez la configuration suivante :

      {
          "NetworkingConfig": {
              "EndpointsConfig": {
                  "host": {}
              }
          },
          "HostConfig": {
              "Privileged": true,
              "NetworkMode": "host",
              "PidMode": "host",
              "Binds": [
                  "/:/host"
              ]
          }
      }
      
    5. Sous l’onglet Paramètres de jumeau de module, ajoutez la configuration suivante :

      Propriété de jumeau de module :

        "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration"
      

      Contenu de la propriété de jumeau de module :

        {
      
        }
      

      Pour plus d’informations sur la configuration de l’agent, consultez Configurer des agents de sécurité.

    6. Sélectionnez Update.

    Étape 2 : Paramètres du runtime

    1. Sélectionnez Paramètres du runtime.

    2. Sous Edge Hub, remplacez Image par mcr.microsoft.com/azureiotedge-hub:1.0.8.3.

      Notes

      Actuellement, la version 1.0.8.3 ou des versions antérieures sont prises en charge.

    3. Vérifiez que Options de création est défini sur la configuration suivante :

      {
        "HostConfig":{
            "PortBindings":{
              "8883/tcp":[
                  {
                    "HostPort":"8883"
                  }
              ],
              "443/tcp":[
                  {
                    "HostPort":"443"
                  }
              ],
              "5671/tcp":[
                  {
                    "HostPort":"5671"
                  }
              ]
            }
        }
      }
      
    4. Sélectionnez Enregistrer.

    5. Sélectionnez Suivant.

    Étape 3 : Spécifier des routes

    1. Sous l’onglet Spécifier des routes, vérifiez que vous avez une route (explicite ou implicite) qui va transférer les messages depuis le module azureiotsecurity vers $upstream conformément aux exemples suivants. Quand la route est en place, sélectionnez Suivant.

      Exemples de routes :

      "route": "FROM /messages/* INTO $upstream"
      
      "ASCForIoTRoute": "FROM /messages/modules/azureiotsecurity/* INTO $upstream"
      
    2. Sélectionnez Suivant.

    Étape 4 : Vérifier le déploiement

    • Sous l’onglet Passer en revue le déploiement, examinez les informations de votre déploiement, puis sélectionnez Créer pour procéder au déploiement.

Étapes de diagnostic

Si vous rencontrez un problème, les journaux de conteneur sont la meilleure façon d’en savoir plus sur l’état d’un appareil de module de sécurité IoT Edge. Utilisez les commandes et les outils de cette section pour recueillir des informations.

Vérifiez que les conteneurs requis sont installés et qu’ils fonctionnent comme prévu

  1. Exécutez les commandes suivantes sur votre appareil IoT Edge :

    sudo docker ps

  2. Vérifiez que les conteneurs suivants sont en cours d’exécution :

    Nom IMAGE
    azureiotsecurity mcr.microsoft.com/ascforiot/azureiotsecurity:1.0.2
    edgeHub mcr.microsoft.com/azureiotedge-hub:1.0.8.3
    edgeAgent mcr.microsoft.com/azureiotedge-agent:1.0.1

    Si les conteneurs minimum requis ne sont pas présents, vérifiez si votre manifeste de déploiement IoT Edge correspond aux paramètres recommandés. Pour plus d’informations, consultez Déployer votre module IoT Edge.

Recherchez d’éventuelles erreurs dans journaux de module

  1. Exécutez les commandes suivantes sur votre appareil IoT Edge :

    sudo docker logs azureiotsecurity

  2. Pour consulter des journaux d’activité plus détaillés, ajoutez la variable d’environnement suivante au déploiement du module azureiotsecurity : logLevel=Debug.