IoT Edge For Linux windowsos biztonság
A következőkre vonatkozik:
IoT Edge 1.4
Fontos
IoT Edge 1.4 is the supported release. If you are on an earlier release, see Update IoT Edge.
Az Azure IoT Edge for Linux windowsos verziójának előnye, hogy minden biztonsági ajánlat windowsos ügyfél-/kiszolgáló-gazdagépen fut, és biztosítja, hogy az összes további összetevő ugyanazt a biztonsági helyet tárolja. Ez a cikk az alapértelmezés szerint engedélyezett különböző biztonsági helyiségekről, valamint a felhasználó által engedélyezett opcionális helyekről nyújt tájékoztatást.
Virtuális gépek biztonsága
A Linuxhoz készült IoT Edge (EFLOW) által válogatott virtuális gép a Microsoft CBL-Mariner-en alapul. A CBL-Mariner egy belső Linux-disztribúció a Microsoft felhőinfrastruktúra és peremhálózati termékek és -szolgáltatások számára. A CBL-Mariner úgy lett kialakítva, hogy konzisztens platformot biztosítson ezekhez az eszközökhöz és szolgáltatásokhoz, és fokozza a Microsoft azon képességét, hogy naprakész maradjon a Linux-frissítéseken. További információ: CBL-Mariner security.
Az EFLOW virtuális gép egy négypontos átfogó biztonsági platformra épül:
- Karbantartási frissítések
- Írásvédett legfelső szintű fájlrendszer
- Tűzfalzárolás
- DM-Verity
Karbantartási frissítések
Biztonsági rések felmerülésekor a CBL-Mariner elérhetővé teszi a legújabb biztonsági javításokat és javításokat az ELOW havi frissítésekkel való szervizelésekor. A virtuális gép nem rendelkezik csomagkezelővel, ezért nem lehet manuálisan letölteni és telepíteni az RPM-csomagokat. A virtuális gép összes frissítése az EFLOW A/B frissítési mechanizmussal van telepítve. Az EFLOW frissítésekkel kapcsolatos további információkért lásd : IoT Edge frissítése Linux rendszeren Windows rendszeren
Írásvédett legfelső szintű fájlrendszer
Az EFLOW virtuális gép két fő partícióból és adatokból áll. A rootFS-A vagy rootFS-B partíciók felcserélhetők, és a kettő közül az egyik írásvédett fájlrendszerként /van csatlakoztatva, ami azt jelenti, hogy a partíción belül tárolt fájlokon nem engedélyezett módosítás. Másrészt a csatlakoztatott /var adatpartíció olvasható és írható, így a felhasználó módosíthatja a partíció tartalmát. A partíción tárolt adatokat a frissítési folyamat nem módosítja, ezért nem módosítja őket a frissítések között.
Mivel adott használati esetekben írási hozzáférésre /etc/var/home/rootlehet szüksége a címtárakhoz, a címtárak írási hozzáférését úgy teheti meg, hogy azokat az adatpartíciónkra, kifejezetten a könyvtárra /var/.eflow/overlayshelyezzük át. Ennek végeredménye, hogy a felhasználók bármit írhatnak az előző címtárakba. További információ az átfedésekről: átfedések.
| Partíció | Méret | Leírás |
|---|---|---|
| BootEFIA | 8 MB | A belső vezérlőprogram partíciója a jövőbeli GRUBless rendszerindításhoz |
| BootA | 192 MB | Az A partíció bootloaderét tartalmazza |
| RootFS A | 4 GB | A gyökér fájlrendszert tartalmazó két aktív/passzív partíció egyike |
| BootEFIB | 8 MB | B belső vezérlőprogram-partíció a jövőbeli GRUBless rendszerindításhoz |
| BootB | 192 MB | A B partícióhoz tartozó rendszerindítót tartalmazza |
| RootFS B | 4 GB | A gyökér fájlrendszert tartalmazó két aktív/passzív partíció egyike |
| Napló | 1 GB vagy 6 GB | A /logs alá csatlakoztatott adott partíció naplózása |
| Adat | 2 GB-ról 2 TB-ra | Állapotalapú partíció az állandó adatok frissítések közötti tárolásához. Az üzembehelyezési konfigurációnak megfelelően bővíthető |
Megjegyzés:
A partícióelrendezés a logikai lemez méretét jelöli, és nem jelzi, hogy a virtuális gép milyen fizikai helyet foglal el a gazdagép operációsrendszer-lemezén.
Firewall
Az EFLOW virtuális gép alapértelmezés szerint iptables segédprogramot használ a tűzfalkonfigurációkhoz. Az Iptables az IP-csomagszűrő szabályok tábláinak beállítására, karbantartására és vizsgálatára szolgál a Linux kernelben. Az alapértelmezett implementáció csak a 22-s porton (SSH-szolgáltatás) engedélyezi a bejövő forgalmat, és egyébként blokkolja a forgalmat. Az iptables konfigurációját az alábbi lépésekkel ellenőrizheti:
Emelt szintű PowerShell-munkamenet megnyitása
Csatlakozás az EFLOW virtuális gépre
Connect-EflowVmAz összes iptables-szabály listázása
sudo iptables -L
Ellenőrzött rendszerindítás
Az EFLOW virtuális gép támogatja az ellenőrzött rendszerindítást a mellékelt device-mapper-verity (dm-verity) kernelfunkcióval, amely transzparens integritás-ellenőrzést biztosít a blokkeszközökön. A dm-verity segít megelőzni az állandó rootkiteket, amelyek a gyökérjogjogokat és az eszközöket veszélyeztethetik. Ez a funkció biztosítja, hogy a virtuális gép alapszoftver-rendszerképe megegyezik, és nem lett módosítva. A virtuális gép a dm-verity funkcióval ellenőrzi az adott blokkeszközt, a fájlrendszer mögöttes tárolási rétegét, és megállapítja, hogy megfelel-e a várt konfigurációnak.
Ez a funkció alapértelmezés szerint le van tiltva a virtuális gépen, és be- vagy kikapcsolható. További információ: dm-verity.
Megbízható platformmodul (TPM)
A platformmegbízhatósági modul (TPM) technológiája hardveralapú, biztonsággal kapcsolatos funkciókat biztosít. A TPM-chip egy biztonságos titkosítási processzor, amely titkosítási műveletek végrehajtására van kialakítva. A chip több fizikai biztonsági mechanizmust is tartalmaz, hogy az illetéktelen módosítás ellen védett legyen, és a rosszindulatú szoftverek nem tudják módosítani a TPM biztonsági funkcióit.
Az EFLOW virtuális gép nem támogatja a vTPM-et. A felhasználó azonban engedélyezheti/letilthatja a TPM átengedési funkcióját, amely lehetővé teszi, hogy az EFLOW virtuális gép használja a Windows gazdagép operációs rendszer TPM-jét. Ez két fő forgatókönyvet tesz lehetővé:
- TPM-technológia használata az IoT Edge-eszközök kiépítéséhez a Device Provision Service (DPS) használatával. További információ: IoT Edge létrehozása és kiépítése Linuxhoz Windows-eszközön nagy méretekben TPM használatával.
- Írásvédett hozzáférés a TPM-ben tárolt titkosítási kulcsokhoz. További információ: Set-EflowVmFeature a TPM átengedéséhez.
Gazdagép & virtuális gépének biztonságos kommunikációja
Az EFLOW többféleképpen is használható a virtuális géppel egy gazdag PowerShell-modul implementációjának felfedésével. További információ: PowerShell-függvények a Linuxhoz készült IoT Edge-hez Windows rendszeren. Ehhez a modulhoz emelt szintű munkamenetre van szükség, és Microsoft Corporation-tanúsítvánnyal van aláírva.
A Windows gazdagép operációs rendszere és a PowerShell-parancsmagok által igényelt EFLOW virtuális gép közötti kommunikáció SSH-csatornával történik. Alapértelmezés szerint a virtuális gép SSH-szolgáltatása nem engedélyezi a felhasználónévvel és jelszóval történő hitelesítést, és a tanúsítványhitelesítésre korlátozódik. A tanúsítvány az EFLOW üzembe helyezési folyamata során jön létre, és minden EFLOW-telepítéshez egyedi. Továbbá az SSH találgatásos támadásainak megakadályozása érdekében a virtuális gép blokkol egy IP-címet, ha percenként háromnál több kapcsolatot kísérel meg az SSH szolgáltatással.
Az EFLOW Folyamatos kiadás (CR) verziójában bevezettünk egy változást az SSH-kapcsolat létrehozásához használt átviteli csatornában. Az SSH-szolgáltatás eredetileg a 22-es TCP-porton fut, amelyet az ugyanazon a hálózaton lévő összes külső eszköz egy TCP-szoftvercsatornával érhet el az adott porthoz. Biztonsági okokból az EFLOW CR a normál TCP-szoftvercsatornák helyett Hyper-V-szoftvercsatornákon futtatja az SSH szolgáltatást. A Hyper-V-szoftvercsatornákon keresztüli összes kommunikáció a Windows gazdagép operációs rendszere és az EFLOW virtuális gép között fut hálózatkezelés nélkül. Ez korlátozza az SSH szolgáltatás elérését, és csak a Windows gazdagép operációs rendszerének kapcsolatait korlátozza. További információ: Hyper-V szoftvercsatornák.
Következő lépések
További információ a Windows IoT biztonsági létesítményeiről
Naprakészen tarthatja a Legújabb Linux-alapú IoT Edge-et Windows-frissítéseken.