IoT Edge For Linux windowsos biztonság
A következőkre vonatkozik:
IoT Edge 1.4
Fontos
Az IoT Edge 1.5 LTS és az IoT Edge 1.4 támogatott kiadások. Az IoT Edge 1.4 LTS 2024. november 12-én megszűnik. Ha egy korábbi kiadáson dolgozik, olvassa el az IoT Edge frissítése című témakört.
Az Azure IoT Edge for Linux windowsos verziójának előnye, hogy minden biztonsági ajánlat windowsos ügyfél-/kiszolgáló-gazdagépen fut, és biztosítja, hogy az összes további összetevő ugyanazt a biztonsági helyet tárolja. Ez a cikk az alapértelmezés szerint engedélyezett különböző biztonsági helyiségekről, valamint a felhasználó által engedélyezett opcionális helyekről nyújt tájékoztatást.
Virtuális gépek biztonsága
A Linuxhoz készült IoT Edge (EFLOW) által válogatott virtuális gép a Microsoft CBL-Mariner-en alapul. A CBL-Mariner egy belső Linux-disztribúció a Microsoft felhőinfrastruktúra és peremhálózati termékek és -szolgáltatások számára. A CBL-Mariner úgy lett kialakítva, hogy konzisztens platformot biztosítson ezekhez az eszközökhöz és szolgáltatásokhoz, és fokozza a Microsoft azon képességét, hogy naprakész maradjon a Linux-frissítéseken. További információ: CBL-Mariner security.
Az EFLOW virtuális gép egy négypontos átfogó biztonsági platformra épül:
- Karbantartási frissítések
- Írásvédett legfelső szintű fájlrendszer
- Tűzfalzárolás
- DM-Verity
Karbantartási frissítések
Biztonsági rések felmerülésekor a CBL-Mariner elérhetővé teszi a legújabb biztonsági javításokat és javításokat az ELOW havi frissítésekkel való szervizelésekor. A virtuális gép nem rendelkezik csomagkezelővel, ezért nem lehet manuálisan letölteni és telepíteni az RPM-csomagokat. A virtuális gép összes frissítése az EFLOW A/B frissítési mechanizmussal van telepítve. Az EFLOW frissítésekkel kapcsolatos további információkért lásd : IoT Edge frissítése Linux rendszeren Windows rendszeren
Írásvédett legfelső szintű fájlrendszer
Az EFLOW virtuális gép két fő partícióból és adatokból áll. A rootFS-A vagy rootFS-B partíciók felcserélhetők, és a kettő közül az egyik írásvédett fájlrendszerként /van csatlakoztatva, ami azt jelenti, hogy a partíción belül tárolt fájlokon nem engedélyezett módosítás. Másrészt a csatlakoztatott /var adatpartíció olvasható és írható, így a felhasználó módosíthatja a partíció tartalmát. A partíción tárolt adatokat a frissítési folyamat nem módosítja, ezért nem módosítja őket a frissítések között.
Mivel adott használati esetekben írási hozzáférésre /etc/var/home/rootlehet szüksége a címtárakhoz, a címtárak írási hozzáférését úgy teheti meg, hogy azokat az adatpartíciónkra, kifejezetten a könyvtárra /var/.eflow/overlayshelyezzük át. Ennek végeredménye, hogy a felhasználók bármit írhatnak az előző címtárakba. További információ az átfedésekről: átfedések.
| Partíció | Méret | Leírás |
|---|---|---|
| BootEFIA | 8 MB | A belső vezérlőprogram partíciója a jövőbeli GRUBless rendszerindításhoz |
| BootA | 192 MB | Az A partíció bootloaderét tartalmazza |
| RootFS A | 4 GB | A gyökér fájlrendszert tartalmazó két aktív/passzív partíció egyike |
| BootEFIB | 8 MB | B belső vezérlőprogram-partíció a jövőbeli GRUBless rendszerindításhoz |
| BootB | 192 MB | A B partícióhoz tartozó rendszerindítót tartalmazza |
| RootFS B | 4 GB | A gyökér fájlrendszert tartalmazó két aktív/passzív partíció egyike |
| Napló | 1 GB vagy 6 GB | A /logs alá csatlakoztatott adott partíció naplózása |
| Adatok | 2 GB-ról 2 TB-ra | Állapotalapú partíció az állandó adatok frissítések közötti tárolásához. Az üzembehelyezési konfigurációnak megfelelően bővíthető |
Feljegyzés
A partícióelrendezés a logikai lemez méretét jelöli, és nem jelzi, hogy a virtuális gép milyen fizikai helyet foglal el a gazdagép operációsrendszer-lemezén.
Firewall
Az EFLOW virtuális gép alapértelmezés szerint iptables segédprogramot használ a tűzfalkonfigurációkhoz. Az Iptables az IP-csomagszűrő szabályok tábláinak beállítására, karbantartására és vizsgálatára szolgál a Linux kernelben. Az alapértelmezett implementáció csak a 22-s porton (SSH-szolgáltatás) engedélyezi a bejövő forgalmat, és egyébként blokkolja a forgalmat. Az iptables konfigurációját az alábbi lépésekkel ellenőrizheti:
Emelt szintű PowerShell-munkamenet megnyitása
Csatlakozás az EFLOW virtuális gépre
Connect-EflowVmAz összes iptables-szabály listázása
sudo iptables -L
Ellenőrzött rendszerindítás
Az EFLOW virtuális gép támogatja az ellenőrzött rendszerindítást a mellékelt device-mapper-verity (dm-verity) kernelfunkcióval, amely transzparens integritás-ellenőrzést biztosít a blokkeszközökön. A dm-verity segít megelőzni az állandó rootkiteket, amelyek a gyökérjogjogokat és az eszközöket veszélyeztethetik. Ez a funkció biztosítja, hogy a virtuális gép alapszoftver-rendszerképe megegyezik, és nem lett módosítva. A virtuális gép a dm-verity funkcióval ellenőrzi az adott blokkeszközt, a fájlrendszer mögöttes tárolási rétegét, és megállapítja, hogy megfelel-e a várt konfigurációnak.
Ez a funkció alapértelmezés szerint le van tiltva a virtuális gépen, és be- vagy kikapcsolható. További információ: dm-verity.
Megbízható platformmodul (TPM)
A platformmegbízhatósági modul (TPM) technológiája hardveralapú, biztonsággal kapcsolatos funkciókat biztosít. A TPM-chip egy biztonságos titkosítási processzor, amely titkosítási műveletek végrehajtására van kialakítva. A chip több fizikai biztonsági mechanizmust is tartalmaz, hogy az illetéktelen módosítás ellen védett legyen, és a rosszindulatú szoftverek nem tudják módosítani a TPM biztonsági funkcióit.
Az EFLOW virtuális gép nem támogatja a vTPM-et. A felhasználó azonban engedélyezheti/letilthatja a TPM átengedési funkcióját, amely lehetővé teszi, hogy az EFLOW virtuális gép használja a Windows gazdagép operációs rendszer TPM-jét. Ez két fő forgatókönyvet tesz lehetővé:
- TPM-technológia használata az IoT Edge-eszközök kiépítéséhez a Device Provision Service (DPS) használatával. További információ: IoT Edge létrehozása és kiépítése Linuxhoz Windows-eszközön nagy méretekben TPM használatával.
- Írásvédett hozzáférés a TPM-ben tárolt titkosítási kulcsokhoz. További információ: Set-EflowVmFeature a TPM átengedéséhez.
Biztonságos gazdagép és virtuális gép közötti kommunikáció
Az EFLOW többféleképpen is használható a virtuális géppel egy gazdag PowerShell-modul implementációjának felfedésével. További információ: PowerShell-függvények a Linuxhoz készült IoT Edge-hez Windows rendszeren. Ehhez a modulhoz emelt szintű munkamenetre van szükség, és Microsoft Corporation-tanúsítvánnyal van aláírva.
A Windows gazdagép operációs rendszere és a PowerShell-parancsmagok által igényelt EFLOW virtuális gép közötti kommunikáció SSH-csatornával történik. Alapértelmezés szerint a virtuális gép SSH-szolgáltatása nem engedélyezi a felhasználónévvel és jelszóval történő hitelesítést, és a tanúsítványhitelesítésre korlátozódik. A tanúsítvány az EFLOW üzembe helyezési folyamata során jön létre, és minden EFLOW-telepítéshez egyedi. Továbbá az SSH találgatásos támadásainak megakadályozása érdekében a virtuális gép blokkol egy IP-címet, ha percenként háromnál több kapcsolatot kísérel meg az SSH szolgáltatással.
Az EFLOW Folyamatos kiadás (CR) verziójában bevezettünk egy változást az SSH-kapcsolat létrehozásához használt átviteli csatornában. Az SSH-szolgáltatás eredetileg a 22-es TCP-porton fut, amelyet az ugyanazon a hálózaton lévő összes külső eszköz egy TCP-szoftvercsatornával érhet el az adott porthoz. Biztonsági okokból az EFLOW CR a normál TCP-szoftvercsatornák helyett Hyper-V-szoftvercsatornákon futtatja az SSH szolgáltatást. A Hyper-V-szoftvercsatornákon keresztüli összes kommunikáció a Windows gazdagép operációs rendszere és az EFLOW virtuális gép között fut hálózatkezelés nélkül. Ez korlátozza az SSH szolgáltatás elérését, és csak a Windows gazdagép operációs rendszerének kapcsolatait korlátozza. További információ: Hyper-V szoftvercsatornák.
Következő lépések
További információ a Windows IoT biztonsági létesítményeiről
Naprakészen tarthatja a Legújabb Linux-alapú IoT Edge-et Windows-frissítéseken.