A biztonsági ügynök hitelesítési módszereinek vizsgálata
A Microsoft Defender for IoT szolgáltatás referenciaarchitektúrát biztosít a biztonsági ügynökök számára. A biztonsági ügynökök az IoT Hubon keresztül naplózhatják, feldolgozhatják, összesíthetik és kézbesíthetik a biztonsági adatokat.
A biztonsági ügynökök erőforrás-korlátozott IoT-környezetben való munkavégzésre lettek tervezve. A biztonsági ügynökök az általuk felhasznált erőforrásokhoz képest a megadott érték tekintetében is nagy mértékben testreszabhatók.
A biztonsági ügynökök a következő funkciókat támogatják:
- Nyers biztonsági eseményeket gyűjtenek az alapul szolgáló operációs rendszerből (Linux, Windows).
- A nyers biztonsági események összesítése az IoT Hubon keresztül küldött üzenetek létrehozásához.
- A hitelesítés egy meglévő eszközidentitással vagy egy dedikált modulidentitással történik.
- Az azureiotsecurity modul ikerpéldányának használatával távolról konfigurálhatók.
Az IoT Hubon a Microsoft Defender for IoT-be előkészített összes eszközhöz biztonsági modul szükséges. Az eszköz hitelesítéséhez a Microsoft Defender for IoT két módszer egyikét használhatja:
- SecurityModule lehetőség.
- Eszközbeállítás.
Hitelesítési módszerek
A következő információk segítségével választhat a hitelesítés két módszere között:
- SecurityModule hitelesítési mód.
Az ügynök hitelesítése a biztonsági modul identitásával történik az eszköz identitásától függetlenül. Ezt a hitelesítési típust akkor használja, ha azt szeretné, hogy a biztonsági ügynök dedikált hitelesítési módszert használjon a biztonsági modulon keresztül (csak szimmetrikus kulcs esetén).
- Eszközhitelesítési mód.
Ebben a módszerben a biztonsági ügynök először az eszköz identitásával hitelesít. A kezdeti hitelesítés után a Microsoft Defender for IoT-ügynök REST-hívást indít az IoT Hubra a REST API használatával az eszköz hitelesítési adataival. A Microsoft Defender for IoT-ügynök ezután a biztonsági modul hitelesítési módszerét és adatait kéri az IoT Hubtól. Az utolsó lépésben a Microsoft Defender for IoT-ügynök hitelesítést végez a Microsoft Defender for IoT modulon.
Ezt a hitelesítési típust akkor használja, ha azt szeretné, hogy a biztonsági ügynök újra felhasználjon egy meglévő eszközhitelesítési módszert (önaláírt tanúsítványt vagy szimmetrikus kulcsot).
A hitelesítési módszerek ismert korlátozásai
A SecurityModule hitelesítési mód csak a szimmetrikus kulcsos hitelesítést támogatja.
A hitelesítésszolgáltató által aláírt tanúsítványt az eszközhitelesítési mód nem támogatja.
A biztonsági ügynök telepítési paraméterei
Biztonsági ügynök telepítésekor argumentumként meg kell adni a hitelesítési adatokat. Ezek az argumentumok az alábbi táblázatban vannak dokumentálva.
Linux-paraméter neve
Windows paraméter neve
Gyorskézbesítési paraméter
Leírás
Beállítások
hitelesítés-identitás
AuthenticationIdentity
aui
Hitelesítési identitás.
SecurityModule vagy Eszköz
hitelesítési módszer
AuthenticationMethod
Aum
Hitelesítési módszer.
SymmetricKey vagy SelfSignedCertificate
fájl elérési útja
FilePath
f
A tanúsítványt vagy a szimmetrikus kulcsot tartalmazó fájl abszolút teljes elérési útja.
gazdagép neve
HostName
Hn
Az IoT Hub teljes tartományneve.
Példa: ContosoIotHub.azure-devices.net
eszközazonosító
Deviceid
Di
Eszközazonosító.
Példa: MyDevice1
tanúsítvány-hely típusú
CertificateLocationKind
Cl
Tanúsítványtároló helye.
LocalFile vagy Store
Ha telepítőszkripttel helyez üzembe egy biztonsági ügynököt, a rendszer automatikusan létrehoz egy konfigurációs fájlt.
Hitelesítési módszer módosítása az üzembe helyezés után
A hitelesítési módszerek üzembe helyezés utáni módosításához a konfigurációs fájl manuális szerkesztésére van szükség.
C#-alapú biztonsági ügynök
Az Authentication.config szerkesztése a következő paraméterekkel:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
C-alapú biztonsági ügynök
Szerkessze LocalConfiguration.json a következő paraméterekkel:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}