Préparation des appareils Linux pour la suite de sécurité et de gestion Microsoft
Article
Grâce à une combinaison de services cloud riches et de composants compacts côté appareil efficaces, Microsoft fournit des fonctionnalités de sécurité et de gestion fondamentales pour les appareils connectés à Azure IoT. Ces fonctionnalités incluent la gestion des menaces, la gestion descharges de travail, la gestion dela configuration et la gestion desmises à jour.
Les entreprises et les créateurs de solutions veulent toujours se concentrer en haut de la pile. Par exemple : une valeur différenciée par le biais de l’IA, des insights opérationnels et de l’expérience client. Microsoft fournit des services de sécurité et de gestion prêts à l’emploi afin que vous ou vos clients puissiez vous concentrer sur la différenciation, et non sur la réinventation des principes fondamentaux.
Lorsque vous incluez les composants d’installation gratuite de Microsoft dans vos appareils, vous ou vos clients êtes prêts à activer et à utiliser les fonctionnalités de gestion et de sécurité Azure à tout moment. L’ajout de composants côté appareil ultérieurement dans le cycle de vie de conception ou de déploiement peut être lent et coûteux. Nous encourageons donc les constructeurs à inclure ces composants côté appareil au début du cycle de vie.
Fonctionnalités de la suite de sécurité et de gestion
Azure IoT Edge est l’outil de Microsoft qui permet de déployer et de gérer à distance et en toute sécurité des charges de travail natives cloud, telles que l’IA, les services Azure ou votre propre logique métier, pour s’exécuter directement sur vos appareils IoT. IoT Edge peut être utilisé pour optimiser les dépenses cloud et permettre à vos appareils de réagir plus rapidement aux changements locaux et de fonctionner de manière fiable, même pendant des périodes hors connexion prolongées. En utilisant IoT Edge, vous pouvez :
Déployez Azure IoT Edge localement pour décomposer les silos de données et consolider les données opérationnelles à grande échelle dans le cloud Azure.
Déployez et gérez à distance et en toute sécurité des charges de travail natives cloud, telles que l’IA, les services Azure ou votre propre logique métier, pour s’exécuter directement sur vos appareils IoT.
Optimisez les dépenses cloud et permettez à vos appareils de réagir plus rapidement aux changements locaux et de fonctionner de manière fiable, même pendant des périodes hors connexion prolongées.
Defender pour IoT fournit un ensemble complet de fonctionnalités et de fonctionnalités de sécurité qui peuvent être intégrées à leurs produits pendant le processus de développement. Cela permet de sécuriser les appareils à partir de la base et réduit le risque de vulnérabilités et d’attaques. La solution peut être personnalisée pour répondre aux besoins de sécurité spécifiques de différents appareils IoT et peut être intégrée aux outils et processus de développement existants du générateur d’appareils. Avec Defender pour IoT, vous pouvez :
Se conformer aux réglementations et normes du secteur : Defender pour IoT aide les constructeurs d’appareils à se conformer aux réglementations et normes de sécurité pertinentes, telles que le NIST Cybersecurity Framework, en fournissant un ensemble complet de contrôles de sécurité.
Surveiller de manière proactive la posture de sécurité d’un appareil IoT : Defender pour IoT fournit des recommandations de posture de sécurité basées sur le benchmark CIS, ainsi que des recommandations spécifiques à l’appareil. Avec le micro-agent, les utilisateurs peuvent également obtenir une visibilité sur la sécurité du système d’exploitation, notamment la configuration du système d’exploitation, les paramètres de pare-feu et les autorisations.
Sécuriser vos produits contre les cybermenaces : la solution fournit une surveillance et une protection en temps réel (EDR - Endpoint Detection and Response) contre les programmes malveillants, le piratage, l’accès non autorisé et d’autres menaces de sécurité, ce qui permet de garantir la sécurité des appareils IoT tout au long de leur cycle de vie.
Assurez l’interopérabilité avec Microsoft SIEM/SOAR et XDR pour arrêter les attaques avec la sécurité automatisée et inter-domaines et l’IA intégrée.
En résumé, Defender pour IoT fournit aux constructeurs d’appareils un ensemble complet de fonctionnalités et de fonctionnalités de sécurité qui permettent de sécuriser les appareils IoT à partir de la base et de réduire le risque de vulnérabilités et d’attaques. Il permet aux constructeurs d’appareils de fournir des produits IoT sécurisés, conformes et fiables à leurs clients.
Device Update pour Azure IoT Hub est un service qui vous permet de déployer des mises à jour OTA (over-the-air) pour vos appareils IoT.
Alors que les solutions IoT (Internet des objets) continuent d’être adoptées à un rythme croissant, il est essentiel que les appareils formant ces solutions soient faciles à connecter et à gérer à grande échelle. Device Update pour IoT Hub est une plateforme de bout en bout que les clients peuvent utiliser pour publier, distribuer et gérer des mises à jour OTA portant sur un large choix d’appareils, qu’il s’agisse de capteurs minuscules ou d’appareils de passerelle.
Pour tirer pleinement parti de la transformation numérique IoT, les clients ont besoin de la capacité à utiliser, gérer et mettre à jour des appareils à grande échelle. Device Update pour IoT Hub offre des fonctionnalités comme :
Réponse rapide aux menaces de sécurité
Déploiement de nouvelles fonctionnalités pour atteindre des objectifs métier
Évitement des coûts de développement et de maintenance supplémentaires liés à la création de vos propres plateformes de mise à jour.
IoT Hub les Gestion des appareils automatiques et les flux de travail basés sur des jumeaux sont liés au composant OSConfig de Microsoft sur les appareils pour fournir une gestion de la configuration de bout en bout. Par exemple :
Provisionner automatiquement des règles de pare-feu sur les appareils, au moment du déploiement, en fonction du site ou du rôle de l’appareil
Auditer la configuration réseau sur des appareils individuels ou à grande échelle
Résolution des problèmes et diagnostics
Configurer automatiquement les sources du gestionnaire de package pour que les appareils extrayent des packages à partir de vos dépôts approuvés
Obtenez et définissez des noms d’hôtes, des fichiers hôtes, etc.
Obtenir des informations sur l’appareil, notamment les propriétés matérielles, les propriétés de version du système d’exploitation ou l’état du processeur de sécurité
Redémarrer à distance un appareil problématique ou de nombreux appareils selon une planification
Le reste de ce document se concentre sur la préparation des appareils en installant les composants requis côté appareil. Pour plus d’informations sur les services cloud et les scénarios d’utilisation opérationnelle, consultez Étapes suivantes.
Quels composants côté appareil installer et comment les installer
Liste des composants côté appareil
Composant
Notes
Runtime Azure IoT Edge or pour les appareils plus petits : Azure IoT Identity Service
Le runtime Edge est mieux connu pour la gestion des conteneurs, mais fournit également plusieurs services supplémentaires sur l’appareil. Le sous-composant Identity Service permet à tous les composants de l’appareil de fonctionner en toute transparence avec votre IoT Hub. Pour obtenir des fonctionnalités complètes, installez le runtime IoT Edge (alias aziot-edge) qui inclut le service d’identité. Pour les appareils plus petits qui n’exécutent pas de conteneurs, vous pouvez installer uniquement le service d’identité (alias aziot-identity-service) pour économiser de l’espace. Pour plus d’informations sur l’installation, consultez la section suivante de cet article.
Microsoft Defender pour IoT
Pour plus d’informations sur l’installation, consultez la section suivante de cet article.
Device Update pour IoT Hub
Pour plus d’informations sur l’installation, consultez la section suivante de cet article.
Microsoft OSConfig
Pour plus d’informations sur l’installation, consultez la section suivante de cet article.
Pour les appareils Ubuntu sur les processeurs x86_64 ou Aarch64, vous pouvez utiliser l’outil de configuration Edge v2 pour que tout soit installé et connecté à Azure.
Pour le moment, Edge Config Tool v2 n’installe pas de client Device Update.
Les packages d’installation pour chaque composant de la suite sont disponibles sur packages.microsoft.com.
À l’heure actuelle, la disponibilité des packages varie selon disto et l’architecture du processeur. Par exemple, tous les composants ont des packages publiés pour Ubuntu Server 18.04 (x86_64 et Aarch64) et certains composants ont des packages disponibles pour de nombreux environnements Linux supplémentaires. Si vous utilisez une distribution ou une architecture d’uc où aucun package n’est disponible pour un composant donné, considérez le chemin d’accès de génération à partir de la source.
Créer une identité d’appareil dans le cloud
Dans IoT Hub, établissez une identité pour l’appareil comme dans cet exemple : Inscrire votre appareil
Notes
Ignorez l’étape ci-dessus si vous préinstallez uniquement un logiciel pour le moment (sans vous connecter à Azure)
Par souci de simplicité, cet exemple utilise une clé symétrique provisionnée manuellement. Pour la mise à l’échelle et la sécurité en production, des options complètes sont disponibles, telles que l’authentification basée sur x.509 et l’approvisionnement d’identités à grande échelle via le service Device Provisioning.
Installer le premier package
Ajoutez packages.microsoft.com en tant que source de package sur l’appareil et installez IoT Edge (ou simplement le service d’identité pour les appareils plus petits), comme dans cet exemple : Installer IoT Edge
Notes
Pour les appareils plus petits qui n’exécutent pas de conteneurs, modifiez l’étape ci-dessus comme suit :
N’installez pas de moteur de conteneur
Installer le aziot-identity-service package au lieu de aziot-edge
Obtenir l’authentification de l’appareil auprès d’Azure
Ignorez l’étape ci-dessus si vous préinstallez uniquement des logiciels pour l’instant (ne vous connectez pas à Azure)
Pour les appareils plus petits avec uniquement Identity Service plutôt que le runtime IoT Edge complet, utilisez l’outil aziotctl en ligne de commande plutôt que iotedge dans l’étape ci-dessus. Bien que les outils aient des noms différents, ils utilisent les mêmes arguments pour configurer l’identité de l’appareil
La création à partir de la source est l’approche la plus flexible lorsque vous devez adapter les composants côté appareil à vos appareils, distributions ou architectures de processeur uniques.
Microsoft travaille avec des partenaires pour permettre à l’écosystème d’acheter des appareils avec les composants déjà installés. Par exemple, le programme Edge Secure-Core (préversion) nécessite que les appareils implémentent une posture de sécurité matérielle avec le démarrage sécurisé, etc. et incluent ces composants pour la sécurité et la gestion Azure.
En attendant, certains appareils atteignent déjà le catalogue avec un sous-ensemble de la suite incluse. Par exemple, les appareils suivants incluent déjà le runtime IoT Edge, le composant Defender pour IoT et le composant OSConfig :
Il s’agit d’un bref résumé des options d’installation. Pour obtenir une documentation complète sur l’installation, y compris les paramètres de configuration pour chaque composant, consultez :
