IoT-megoldások védelme

Az IoT-megoldások lehetővé teszik az IoT-eszközök és -eszközök nagy léptékű csatlakoztatását, monitorozását és vezérlését. Egy felhőalapú megoldásban az eszközök és eszközök közvetlenül a felhőhöz csatlakoznak. Peremhálózathoz csatlakoztatott megoldásban az eszközök és az eszközök egy peremhálózati futtatókörnyezethez csatlakoznak. Az IoT-megoldás fenyegetésekkel szembeni védelméhez védenie kell fizikai eszközeit és eszközeit, peremhálózati infrastruktúráját és felhőszolgáltatásait. Az IoT-megoldáson keresztül áramló adatokat is biztonságossá kell tennie, akár a peremhálózaton, akár a felhőben.

Ez a cikk útmutatást nyújt az IoT-megoldás legjobb védelméhez. Minden szakasz tartalmaz olyan tartalomra mutató hivatkozásokat, amelyek további részleteket és útmutatást nyújtanak.

Peremhálózathoz csatlakoztatott megoldás

Az alábbi ábra egy tipikus peremhálózati IoT-megoldás összetevőinek magas szintű nézetét mutatja be. Ez a cikk az élhez csatlakoztatott IoT-megoldások biztonságával foglalkozik:

Egy peremhálózathoz csatlakoztatott IoT-megoldásban a biztonságot a következő négy területre oszthatja:

• Eszközbiztonság: Az IoT-objektum biztonságossá tétele a helyszínen történő üzembe helyezés közben.

• Kapcsolatbiztonság: Győződjön meg arról, hogy az eszköz, a peremhálózat és a felhőszolgáltatások közötti átvitel során az adatok bizalmasak és illetéktelenek.

• Peremhálózat biztonsága: Az adatok védelme az áthaladás során, és a peremhálózaton van tárolva.

• Felhőbiztonság: Az adatok védelme az áthaladás során, és a felhőben van tárolva.

Microsoft Defender for IoT és konténerekhez

Microsoft Defender for IoT egy olyan egységes biztonsági megoldás, amely kifejezetten az IoT- és az operatív technológiai (OT-) eszközök, biztonsági rések és fenyegetések azonosítására készült. A tárolókhoz készült Microsoft Defender egy natív felhőbeli megoldás a tárolóalapú eszközök (Kubernetes-fürtök, Kubernetes-csomópontok, Kubernetes-számítási feladatok, tárolóregisztrációs adatbázisok, tárolólemezképek és egyebek) és alkalmazásaik biztonságának javítására, monitorozására és karbantartására többfelhős és helyszíni környezetekben.

Az IoT Defender és a tárolókhoz készült Defender is automatikusan figyelhetik a cikkben szereplő javaslatok némelyikét. Az IoT-hoz való Defender és a Tárolókhoz való Defender legyen a védelem frontvonala a peremhálózathoz csatlakoztatott megoldás védelme érdekében. További információ:

• Microsoft Defender for Containers – áttekintés
• Microsoft Defender for IoT szervezeteknek – áttekintés.

Eszközbiztonság

Ez a szakasz útmutatást nyújt az eszközök, például az ipari berendezések, az érzékelők és az IoT-megoldás részét képező egyéb eszközök biztonságossá tételéhez. Az eszköz biztonsága elengedhetetlen az általa létrehozott és továbbított adatok integritásának és titkosságának biztosításához.

• Az Azure Key Vault és a titkos tár bővítménye: A Azure Key Vault használatával tárolhatja és kezelheti az objektum bizalmas adatait, például kulcsokat, jelszavakat, tanúsítványokat és titkos kulcsokat. Azure IoT Operations Azure Key Vault használ felügyelt tárolómegoldásként a felhőben, és Azure Key Vault Titkos tár bővítményt használ a Kuberneteshez a titkos kulcsok felhőből való szinkronizálásához és a peremhálózaton való tárolásához Kubernetes-titkos kulcsként. További információ: A Azure IoT Operations üzembe helyezés titkos kulcsainak kezelése.

• Biztonságos tanúsítványkezelés beállítása: A tanúsítványok kezelése elengedhetetlen az eszközök és a peremhálózati futtatókörnyezet közötti biztonságos kommunikáció biztosításához. Azure IoT Operations eszközöket biztosít a tanúsítványok kezeléséhez, beleértve a tanúsítványok kiállítását, megújítását és visszavonását. További információ: Tanúsítványkezelés az Azure IoT Operations belső kommunikációhoz.

• Illetéktelen hozzáférés elleni védelemmel ellátott hardver kiválasztása: Válassza ki az eszköz hardverét beépített mechanizmusokkal a fizikai illetéktelen beavatkozás észleléséhez, például az eszközfedél megnyitásához vagy az eszköz egy részének eltávolításához. Ezek az illetéktelen beavatkozási jelek a felhőbe feltöltött adatfolyam részei lehetnek, és riasztást küldenek az operátoroknak ezekre az eseményekre.

• Biztonságos frissítések engedélyezése az eszköz-vezérlőprogramok számára: Olyan szolgáltatások használata, amelyek lehetővé teszik az eszközökhöz a vezeték nélküli frissítéseket. A belső vezérlőprogram-verziók frissítéseinek biztonságos elérési útjával és titkosítási garanciával rendelkező eszközöket hozhat létre, hogy a frissítések során és után is biztonságossá tegye az objektumokat.

• Eszközhardver biztonságos üzembe helyezése: Győződjön meg arról, hogy az eszközhardverek üzembe helyezése amennyire csak lehet, szabotázsvédett, különösen biztonságosabb helyeken, például nyilvános terekben vagy felügyelet nélküli helyeken. Csak a szükséges funkciók engedélyezése a fizikai támadási lábnyom minimalizálásához, például az USB-portok biztonságos lefedéséhez, ha nincs rájuk szükség.

• Kövesse az eszköz gyártójának biztonsági és üzembe helyezési ajánlott eljárásait: Ha az eszköz gyártója biztonsági és üzembe helyezési útmutatást nyújt, kövesse ezt az útmutatást és a jelen cikkben található általános útmutatást.

Kapcsolatbiztonság

Ez a szakasz útmutatást nyújt az eszközök, a peremhálózati futtatókörnyezet és a felhőszolgáltatások közötti kapcsolatok biztonságossá tételéhez. A kapcsolatok biztonsága elengedhetetlen a továbbított adatok integritásának és titkosságának biztosításához.

• A Transport Layer Security (TLS) használatával biztonságossá teheti a kapcsolatokat az eszközökről: Az Azure IoT Operations minden kommunikációja TLS használatával van titkosítva. Az edge-hez csatlakoztatott megoldás támadókkal szembeni véletlen kitettségét minimalizáló, alapértelmezés szerint biztonságos felületet biztosít, Azure IoT Operations egy alapértelmezett legfelső szintű hitelesítésszolgáltatóval és a TLS-kiszolgálótanúsítványok kiállítójával van üzembe helyezve. Éles üzembe helyezéshez javasoljuk, hogy saját hitelesítésszolgáltatót és vállalati PKI-megoldást használjon.

• Használja saját hitelesítésszolgáltatóját éles környezetben: Az éles környezetek esetében cserélje le az alapértelmezett önaláírt gyökér hitelesítésszolgáltatót a saját hitelesítésszolgáltatójára, és integrálja egy vállalati PKI-vel a megbízhatóság és megfelelőség biztosítása érdekében. További információ: Tanúsítványkezelés az Azure IoT Operations belső kommunikációhoz.

• Fontolja meg vállalati tűzfalak vagy proxyk használatát a kimenő forgalom kezeléséhez: Ha vállalati tűzfalakat vagy proxykat használ, adja hozzá a Azure IoT Operations végpontokat az engedélyezett listához.

• Az üzenetközvetítő belső forgalmának titkosítása: A peremhálózati infrastruktúrán belüli belső kommunikáció biztonságának biztosítása fontos az adatintegritás és a bizalmasság fenntartása érdekében. Az MQTT-közvetítőt úgy kell konfigurálnia, hogy titkosítsa a belső forgalmat és az MQTT-közvetítő előtér- és háttér podok közötti átvitel alatt álló adatokat. További információ: A közvetítő belső forgalmának és belső tanúsítványainak titkosításának konfigurálása.

• Konfigurálja a TLS-t az MQTT-közvetítő figyelőinek automatikus tanúsítványkezelésével: Azure IoT Operations automatikus tanúsítványkezelést biztosít az MQTT-közvetítő figyelői számára. Ez a funkció csökkenti a tanúsítványok manuális kezelésével kapcsolatos adminisztrációs terheket, biztosítja az időszerű megújításokat, és segít fenntartani a biztonsági szabályzatoknak való megfelelést. További információ: Biztonságos MQTT-közvetítői kommunikáció a BrokerListener használatával.

• Biztonságos kapcsolat beállítása az OPC UA-kiszolgálóval: Amikor OPC UA-kiszolgálóhoz csatlakozik, meg kell határoznia, hogy mely OPC UA-kiszolgálókat bízza meg a munkamenet biztonságossá tételéhez. További információkért lásd: OPC UA tanúsítványinfrastruktúrájának konfigurálása az összekötőhöz OPC UA-hoz.

• Hálózatok elkülönítése és szegmentálása: Hálózati szegmentálás és tűzfalak használatával elkülönítheti az IoT-üzemeltetési fürtöket és peremeszközöket más hálózati erőforrásoktól. Vállalati tűzfalak vagy proxyk használata esetén adja hozzá a szükséges végpontokat az engedélyezési listához. További információ: Éles üzembe helyezési irányelvek – Hálózatkezelés.

Peremhálózat biztonsága

Ez a szakasz útmutatást nyújt a peremhálózati futtatókörnyezet védelméhez, amely a peremhálózati platformon futó szoftver. Ez a szoftver feldolgozza az eszközadatokat, és kezeli az eszközök és a felhőszolgáltatások közötti kommunikációt. A peremhálózati futtatókörnyezet biztonsága elengedhetetlen a feldolgozott és továbbított adatok integritásának és titkosságának biztosításához.

• Tartsa naprakészen a peremhálózati futtatókörnyezetet: Tartsa naprakészen a fürtöt és az Azure IoT Operations üzembe helyezéseit a legújabb javításokkal és kisebb kiadásokkal, hogy az összes elérhető biztonsági és hibajavítást megkapja. Éles üzemű környezetben az Azure Arc automatikus frissítésének kikapcsolásával teljes mértékben szabályozhatja, hogy mikor alkalmaznak új frissítéseket a fürtre. Ehelyett szükség szerint manuálisan frissítse az ügynököket.

• A tároló- és Helm-rendszerképek integritásának megerősítése: Mielőtt bármilyen rendszerképet üzembe helyez a fürtjében, ellenőrizze, hogy a rendszerképet a Microsoft írta alá. További információ: Kép aláírásának ellenőrzése.

• Az MQTT-közvetítővel való hitelesítéshez mindig használjon X.509-tanúsítványokat vagy Kubernetes-szolgáltatásfiók-jogkivonatokat: Az MQTT-közvetítők több hitelesítési módszert is támogatnak az ügyfelek számára. Az egyes figyelőportokat úgy konfigurálhatja, hogy egy BrokerAuthentication erőforrással rendelkezzenek a saját hitelesítési beállításaikhoz. További információ: MQTT-közvetítő hitelesítésének konfigurálása.

• Adja meg az MQTT-közvetítő témakör-objektumához szükséges legkisebb jogosultságot: Az engedélyezési szabályzatok határozzák meg, hogy az ügyfelek milyen műveleteket hajthatnak végre a közvetítőn, például csatlakozást, közzétételt vagy előfizetést a témakörökhöz. Konfigurálja az MQTT-közvetítőt úgy, hogy egy vagy több engedélyezési szabályzatot használjon a BrokerAuthorization erőforrással. További információkért lásd az MQTT-közvetítők engedélyezésének konfigurálását ismertető témakört.

Felhőbiztonság

Ez a szakasz útmutatást nyújt a felhőszolgáltatások védelméhez, amelyek az eszközadatokat feldolgozó és tároló szolgáltatások. A felhőszolgáltatások biztonsága elengedhetetlen az adatok integritásának és titkosságának biztosításához.

• Használjon felhasználó által hozzárendelt felügyelt identitásokat a felhőkapcsolatokhoz: Mindig használjon felügyelt identitáshitelesítést. Ha lehetséges, használja a felhasználó által hozzárendelt felügyelt identitást az adatfolyamvégpontokban a rugalmasság és a naplózás érdekében. További információkért lásd: Biztonságos beállítások engedélyezése az Azure IoT Műveletekben.

• A megfigyelhetőségi erőforrások üzembe helyezése és a naplók beállítása: A megfigyelhetőség a Azure IoT Operations konfiguráció minden rétegének láthatóságát biztosítja. Betekintést nyújt a problémák tényleges viselkedésébe, ami növeli a hely megbízhatóságának mérnöki hatékonyságát. Az Azure IoT Operations az Azure-ben üzemeltetett egyéni Grafana-irányítópultokon keresztül biztosít megfigyelhetőséget. Ezeket az irányítópultokat a Prometheus Azure Monitor felügyelt szolgáltatása és a Container Insights működteti. Az megfigyelhetőségi erőforrások üzembe helyezése a fürtön az Azure IoT Operations üzembe helyezése előtt.

• Az Azure RBAC biztonságos hozzáférést biztosít az eszközökhöz és az eszközvégpontokhoz: Az Azure IoT Operations eszközei és eszközvégpontjai a Kubernetes-fürtben és az Azure portálon is reprezentálva vannak. Az erőforrásokhoz való hozzáférés biztonságossá tételéhez használja Azure RBAC-t. Azure RBAC egy engedélyezési rendszer, amely lehetővé teszi Azure erőforrásokhoz való hozzáférés kezelését. A Azure RBAC használatával engedélyeket adhat a felhasználóknak, csoportoknak és alkalmazásoknak egy adott hatókörben. További információ: Az eszközökhöz és az eszközvégpontokhoz való biztonságos hozzáférés.

Felhőalapú megoldás

Az alábbi ábra egy tipikus felhőalapú IoT-megoldás összetevőinek magas szintű nézetét mutatja be. Ez a cikk a felhőalapú IoT-megoldások biztonságára összpontosít:

Egy felhőalapú IoT-megoldásban a biztonságot a következő három területre oszthatja:

• Eszközbiztonság: Az IoT-eszköz védelme a helyszínen történő üzembe helyezés közben.

• Kapcsolatbiztonság: Győződjön meg arról, hogy az IoT-eszköz és az IoT-felhőszolgáltatások között továbbított adatok bizalmasak és illetéktelenek.

• Felhőbiztonság: Az adatok védelme az áthaladás során, és a felhőben van tárolva.

A cikkben található javaslatok segítenek megfelelni a megosztott felelősségi modellben leírt biztonsági kötelezettségeknek.

Microsoft Defender for IoT

Microsoft Defender for IoT automatikusan figyeli a cikkben szereplő javaslatok némelyikét. Microsoft Defender for IoT rendszeres időközönként elemzi a Azure-erőforrások biztonsági állapotát a lehetséges biztonsági rések azonosítása érdekében, majd javaslatokat tesz azok kezelésére. További információ:

• Mi a Microsoft Defender for IoT a szervezetek számára?
• Mi az a "Microsoft Defender for IoT" az eszközkészítők számára?
• A biztonsági helyzet javítása biztonsági javaslatokkal.

Eszközbiztonság

Ez a szakasz útmutatást nyújt az IoT-eszközök biztonságossá tételéhez, amelyek az adatokat gyűjtő és továbbító hardverösszetevők. Az eszköz biztonsága elengedhetetlen az általa létrehozott és továbbított adatok integritásának és titkosságának biztosításához.

• A hardver minimális követelményeinek meghatározása: Válassza ki az eszköz hardverét úgy, hogy az csak a működéséhez szükséges minimális funkciókat tartalmazza, semmi többet. Például csak akkor vegye fel az USB-portokat, ha az eszköz működéséhez szükséges a megoldásban. Az extra funkciók nem kívánt támadási vektoroknak tehetik elérhetővé az eszközt.

• Illetéktelen hozzáférés-ellenőrző hardver kiválasztása: Válassza ki az eszköz hardverét beépített mechanizmusokkal a fizikai illetéktelen beavatkozás észleléséhez, például az eszközfedél megnyitásához vagy az eszköz egy részének eltávolításához. Ezek az illetéktelen beavatkozási jelek a felhőbe feltöltött adatfolyam részei lehetnek, amelyek riasztást adhatnak az operátoroknak ezekre az eseményekre.

• Válassza ki a biztonságos hardvert: Ha lehetséges, válasszon olyan eszközhardvereket, amelyek olyan biztonsági funkciókat tartalmaznak, mint a biztonságos és titkosított tárolás és rendszerindítási funkciók egy megbízható platformmodul alapján. Ezek a funkciók biztonságosabbá teszik az eszközöket, és segítenek megvédeni a teljes IoT-infrastruktúrát.

• Biztosítsa a biztonságos frissítéseket: Az olyan szolgáltatások használata, mint a Device Update for IoT Hub, az IoT-eszközök vezeték nélküli frissítéseihez. Biztonságos elérési úttal rendelkező eszközöket hozhat létre a frissítésekhez és a belső vezérlőprogram-verziók titkosítási garanciájához az eszközök frissítések közben és után történő védelméhez.

• Kövesse a biztonságos szoftverfejlesztési módszertant: A biztonságos szoftverek fejlesztéséhez figyelembe kell vennie a biztonságot a projekt kezdetétől kezdve egészen a megvalósításig, tesztelésig és üzembe helyezésig. A Microsoft Security Development Lifecycle részletes megközelítést biztosít a biztonságos szoftverek létrehozásához.

• Amikor csak lehetséges, használjon eszköz SDK-kat: Az eszközoldali SDK-k különböző biztonsági funkciókat implementálnak, például a titkosítást és a hitelesítést, amelyek segítenek robusztus és biztonságos eszközalkalmazások fejlesztésében. További információ: Azure IoT SDK-k.

• Körültekintően válassza ki a nyílt forráskódú szoftvereket: A nyílt forráskódú szoftverek lehetőséget nyújtanak a megoldások gyors fejlesztésére. A nyílt forráskódú szoftverek kiválasztásakor vegye figyelembe a közösség tevékenységszintjét minden nyílt forráskódú összetevő esetében. Az aktív közösség gondoskodik a szoftverek támogatásáról, valamint a problémák felderítéséről és megoldásáról. Előfordulhat, hogy egy homályos és inaktív nyílt forráskódú szoftverprojekt nem támogatott, és a problémák valószínűleg nem észlelhetők.

• Hardver biztonságos üzembe helyezése: Az IoT-telepítések esetén előfordulhat, hogy nem biztonságos helyeken, például nyilvános helyeken vagy nem felügyelt helyeken kell telepítenie a hardvereket. Ilyen helyzetekben a hardvertelepítést a lehető legnagyobb illetéktelen beavatkozási ellenőrzéssel végezze el, és csak a szükséges funkciókat engedélyezze a fizikai támadási lábnyom minimalizálásához.

• Hitelesítő adatok tárolása hardveres biztonsági modulokban (HSM-ekben):A HSM-ek használatával biztonságosan tárolhatja az eszköz titkos kulcsait, például a titkos kulcsokat és a tanúsítványokat a kinyerés és illetéktelen illetéktelen hozzáférés elleni védelem érdekében. További információ: IoT Hub X.509-hitelesítés, DPS HSM-útmutató és IoT Edge security manager.

• Eszközkulcsok és tanúsítványok rendszeres elforgatása: A jogosulatlan hozzáférés kockázatának minimalizálása érdekében rendszeresen forgassa el a hitelesítő adatokat, különösen a biztonsági rések vagy a lejárat után. További információért lásd a DPS tanúsítványok megújítása és az IoT Central X.509 tanúsítványkezelés című részt.

• Frissítés és javítás: Tartsa naprakészen az összes futtatókörnyezetet, SDK-t és operációsrendszer-összetevőt a legújabb biztonsági javításokkal és frissítésekkel. További információ: IoT Edge frissítési útmutató.

• Védelem a rosszindulatú tevékenységek ellen: Ha az operációs rendszer engedélyezi, telepítse a legújabb víruskereső és kártevőirtó képességeket minden egyes eszköz operációs rendszerére.

• Gyakori naplózás: Az IoT-infrastruktúra naplózása biztonsági problémák esetén, hogy képes legyen reagálni a biztonsági incidensekre. A legtöbb operációs rendszer beépített eseménynaplózást biztosít. A biztonsági incidensek ellenőrzéséhez gyakran tekintse át a naplókat. Az eszközök külön adatfolyamként küldhetnek naplózási adatokat a felhőszolgáltatásnak, ahol elemezheti azokat.

• Kövesse az eszköz gyártójának biztonsági és üzembe helyezési ajánlott eljárásait: Ha az eszköz gyártója biztonsági és üzembe helyezési útmutatást nyújt, kövesse ezt az útmutatást és a jelen cikkben található általános útmutatást.

• Használjon helyszíni átjárót az örökölt vagy korlátozott eszközök biztonsági szolgáltatásainak biztosításához: Előfordulhat, hogy az örökölt és korlátozott eszközök nem képesek az adatok titkosítására, az internethez való csatlakozásra vagy a speciális naplózásra. Ezekben az esetekben a modern és biztonságos helyszíni átjárók összesíthetik az örökölt eszközök adatait, és biztosíthatják az eszközök interneten keresztüli csatlakoztatásához szükséges biztonságot. Egy IoT Edge eszköz átjáróként használható és biztonságos hitelesítést, titkosított munkamenetek egyeztetését, a felhőből érkező parancsok fogadását és számos egyéb biztonsági funkciót biztosít. Azure Sphere képes őrmodulként működni más eszközök védelme érdekében, beleértve a megbízható kapcsolatra nem tervezett meglévő örökölt rendszereket is.

• Encrypt data at rest: Használjon operációsrendszer-szintű titkosítást, például Windows esetében BitLockert, az eszközök és peremhálózatok tárolójának titkosítására, hogy megvédje az adatokat, ha az eszközök elvesznek vagy ellopják őket. További információ: IoT Edge biztonság.

Kapcsolatbiztonság

Ez a szakasz útmutatást nyújt az IoT-eszközök és a felhőszolgáltatások közötti kapcsolatok biztonságossá tételéhez. A kapcsolatok biztonsága elengedhetetlen a továbbított adatok integritásának és titkosságának biztosításához.

• Az X.509-tanúsítványok használata az eszközök IoT Hub vagy az IoT Central hitelesítéséhez: az IoT Hub és az IoT Central támogatja az X509-tanúsítványokat az eszközhitelesítéshez. Használjon X509-alapú hitelesítést éles környezetben, mivel nagyobb biztonságot nyújt, mint a szimmetrikus kulcsok. További információ: Az eszköz hitelesítése IoT Hub és A hitelesítési fogalmak az IoT Centralban.

• Kerülje a közös szimmetrikus kulcsokat: Ha szimmetrikus kulcsokat használ, ne ossza meg azokat eszközök között. Minden eszköznek egyedi hitelesítő adatokra van szüksége, hogy megakadályozza a széles körű kompromisszumot, ha kiszivárog egy kulcs. További információkért tekintse meg az eszközgyártók biztonsági eljárásait.

• A Transport Layer Security (TLS) 1.2 használatával biztonságossá teheti a kapcsolatokat az eszközökről: IoT Hub és az IoT Central TLS-t használ az IoT-eszközök és -szolgáltatások kapcsolatainak védelméhez. A TLS protokoll jelenleg három verzióját támogatja: 1.0, 1.1 és 1.2. A TLS 1.0 és 1.1 örököltnek minősül. További információ: Transport Layer Security (TLS) támogatása IoT Hub és TLS-támogatás Azure IoT Hub Device Provisioning Service (DPS).

• Használjon erős titkosítási csomagokat, és tartsa naprakészen a legfelső szintű hitelesítésszolgáltatói tanúsítványokat: A biztonságos kapcsolatok fenntartása érdekében rendszeresen frissítse a titkosítási csomagokat és a megbízható főtanúsítványokat. További információ: IoT Hub TLS-támogatás.

• Győződjön meg arról, hogy rendelkezik a TLS főtanúsítvány frissítésének módjával az eszközökön: a TLS főtanúsítványai hosszú ideig tartanak, de lejárhatnak vagy visszavonhatók. Ha nem tudja frissíteni a tanúsítványt az eszközön, előfordulhat, hogy az eszköz egy későbbi időpontban nem tud csatlakozni IoT Hub, IoT Central vagy más felhőszolgáltatáshoz. A további információért lásd: X.509-eszköztanúsítványok kezelése.

• Fontolja meg az Azure Private Link használatát: Az Azure Private Link lehetővé teszi, hogy az eszközeit csatlakoztassa a virtuális hálózat egy privát végpontjához, így letilthatja az IoT Hub nyilvános eszközoldali végpontjaihoz való hozzáférést. További információért, lásd: Az Azure Private Link-en keresztüli IoT Hub elérésének lehetőségei és Hálózati biztonság az IoT Central számára privát végpontok használatával.

• Hálózati hozzáférés korlátozása: IP-szűréssel korlátozhatja a megbízható forrásokhoz és hálózatokhoz való hozzáférést. További információ: IoT Hub IP-szűrés, IoT Central privát végpontok és DPS IP-szűrés.

• Tiltsa le a nyilvános hálózati hozzáférést, ha nem szükséges: Kerülje el a kitettséget a nyilvános internetnek azáltal, hogy letiltja a nyilvános végpontokat, amikor csak lehet. További információ: IoT Hub nyilvános hálózati hozzáférés és DPS nyilvános hálózati hozzáférés.

• A peremhálózati eszközök és szolgáltatások feloldása biztonságos hálózati szegmensekben: Hálózati szegmentálás és tűzfalak használatával elkülönítheti IoT Edge eszközöket és szolgáltatásokat más hálózati erőforrásoktól. További információ: IoT Edge linuxos Windows biztonságról.

Felhőbiztonság

Ez a szakasz útmutatást nyújt a felhőszolgáltatások védelméhez, amelyek az IoT-eszköz adatait feldolgozó és tároló szolgáltatások. A felhőszolgáltatások biztonsága elengedhetetlen az adatok integritásának és titkosságának biztosításához.

• Kövesse a biztonságos szoftverfejlesztési módszertant: A biztonságos szoftverek fejlesztéséhez figyelembe kell vennie a biztonságot a projekt kezdetétől kezdve egészen a megvalósításig, tesztelésig és üzembe helyezésig. A Microsoft Security Development Lifecycle részletes megközelítést biztosít a biztonságos szoftverek létrehozásához.

• Körültekintően válassza ki a nyílt forráskódú szoftvereket: A nyílt forráskódú szoftverek lehetőséget nyújtanak a megoldások gyors fejlesztésére. Nyílt forráskódú szoftverek kiválasztásakor vegye figyelembe a közösség tevékenységszintjét minden nyílt forráskódú összetevő esetében. Az aktív közösség gondoskodik a szoftverek támogatásáról, valamint a problémák felderítéséről és megoldásáról. Előfordulhat, hogy egy homályos és inaktív nyílt forráskódú szoftverprojekt nem támogatott, és a problémák valószínűleg nem lesznek felderítve.

• Óvatosan integrálható: Számos szoftverbiztonsági hiba áll fenn a kódtárak és API-k határán. Előfordulhat, hogy az aktuális üzembe helyezéshez nem szükséges funkciók továbbra is elérhetők egy API-rétegen keresztül. Az általános biztonság érdekében ellenőrizze az integrált összetevők összes interfészét a biztonsági hibákért.

• Felhőbeli hitelesítő adatok védelme: A támadók az IoT-környezet konfigurálásához és üzemeltetéséhez használt felhőalapú hitelesítési hitelesítő adatokkal férhetnek hozzá az IoT-rendszerhez, és veszélyeztethetik az IoT-rendszert. A hitelesítő adatok védelméhez gyakran módosítsa a jelszót, és ne használja ezeket a hitelesítő adatokat a nyilvános gépeken.

• Az Microsoft Entra ID és az RBAC használata IoT Hub: A szolgáltatás- és felügyeleti API-hozzáféréshez Microsoft Entra ID és Azure RBAC használatával engedélyezheti a részletes, identitásalapú hozzáférés-vezérlést. További információ: IoT Hub Entra ID hitelesítés és DPS Entra ID hitelesítés.

• Ha nem szükséges, tiltsa le a megosztott hozzáférési szabályzatokat: Ha nincs rájuk szüksége, csökkentse a támadási felületet a megosztott hozzáférési szabályzatok és jogkivonatok letiltásával. További információ: IoT Hub megosztott hozzáférési szabályzatok.

• Hozzáférési vezérlők definiálása az IoT Central-alkalmazáshoz: Ismerje meg és határozza meg az IoT Central-alkalmazáshoz engedélyezett hozzáférés típusát. További információ:

  • Felhasználók és szerepkörök kezelése az IoT Central-alkalmazásban
  • IoT Central-szervezetek kezelése
  • Naplók használata az IoT Central-alkalmazásban végzett tevékenységek nyomon követéséhez
  • IoT Central REST API-hívások hitelesítése és engedélyezése

• A háttérszolgáltatások hozzáférés-vezérlése: Más Azure szolgáltatások felhasználhatják az IoT Hub vagy az IoT Central-alkalmazás által az eszközökről betöltött adatokat. Az eszközökről más Azure szolgáltatásokba irányíthatja az üzeneteket. Megismerheti és konfigurálhatja a IoT Hub vagy az IoT Central megfelelő hozzáférési engedélyeit a szolgáltatásokhoz való csatlakozáshoz. További információ:

  • A beépített végpontról IoT Hub eszközről felhőbe irányuló üzeneteket olvas
  • A IoT Hub üzenet útválasztásával eszközről felhőbe irányuló üzeneteket küldhet különböző végpontokra
  • IoT Central-adatok exportálása
  • Exportálja az IoT Central-adatokat egy biztonságos célhelyre az Azure Virtual Networkön belül

• Csak a minimálisan szükséges engedélyek megadása: Alkalmazza a minimális jogosultság elvét, amikor szerepköröket és engedélyeket rendel a felhasználókhoz, alkalmazásokhoz és eszközökhöz. További információkért tekintse meg az identitáskezelés ajánlott eljárásait.

• Monitor az IoT-megoldást a felhőből: Monitorozza az IoT-megoldás általános állapotát IoT Hub metrikákkal a Azure Monitor vagy Monitor IoT Central-alkalmazás állapotában.

• A diagnosztika beállítása: A műveletek monitorozása a megoldás eseményeinek naplózásával, majd a diagnosztikai naplók elküldése a Azure Monitor. További információ: Az IoT Hub problémáinak monitorozása és diagnosztizálása.

Kapcsolódó tartalom

• IoT Hub biztonsága
• IoT Central biztonsági útmutató
• A DPS biztonsági eljárásai
• IoT Edge biztonsági keretrendszer
• Azure IoT Hub biztonsági alapelvei
• Well-Architected Framework szemlélete az Azure IoT Hub-ról
• Azure Arc-funkciókkal rendelkező Kubernetes biztonsági alapkörnyezet
• A natív felhőbeli számítási feladatok biztonságossá tételének fogalmai