A biztonsági ügynök hitelesítési módszereinek vizsgálata

  • 5 perc

A Microsoft Defender for IoT szolgáltatás referenciaarchitektúrát biztosít a biztonsági ügynökök számára. A biztonsági ügynökök az IoT Hubon keresztül naplózhatják, feldolgozhatják, összesíthetik és kézbesíthetik a biztonsági adatokat.

A biztonsági ügynökök erőforrás-korlátozott IoT-környezetben való munkavégzésre lettek tervezve. A biztonsági ügynökök az általuk felhasznált erőforrásokhoz képest a megadott érték tekintetében is nagy mértékben testreszabhatók.

A biztonsági ügynökök a következő funkciókat támogatják:

  • Nyers biztonsági eseményeket gyűjtenek az alapul szolgáló operációs rendszerből (Linux, Windows).
  • A nyers biztonsági események összesítése az IoT Hubon keresztül küldött üzenetek létrehozásához.
  • A hitelesítés egy meglévő eszközidentitással vagy egy dedikált modulidentitással történik.
  • Az azureiotsecurity modul ikerpéldányának használatával távolról konfigurálhatók.

Az IoT Hubon a Microsoft Defender for IoT-be előkészített összes eszközhöz biztonsági modul szükséges. Az eszköz hitelesítéséhez a Microsoft Defender for IoT két módszer egyikét használhatja:

  • SecurityModule lehetőség.
  • Eszközbeállítás.

Hitelesítési módszerek

A következő információk segítségével választhat a hitelesítés két módszere között:

  • SecurityModule hitelesítési mód.

Az ügynök hitelesítése a biztonsági modul identitásával történik az eszköz identitásától függetlenül. Ezt a hitelesítési típust akkor használja, ha azt szeretné, hogy a biztonsági ügynök dedikált hitelesítési módszert használjon a biztonsági modulon keresztül (csak szimmetrikus kulcs esetén).

  • Eszközhitelesítési mód.

Ebben a módszerben a biztonsági ügynök először az eszköz identitásával hitelesít. A kezdeti hitelesítés után a Microsoft Defender for IoT-ügynök REST-hívást indít az IoT Hubra a REST API használatával az eszköz hitelesítési adataival. A Microsoft Defender for IoT-ügynök ezután a biztonsági modul hitelesítési módszerét és adatait kéri az IoT Hubtól. Az utolsó lépésben a Microsoft Defender for IoT-ügynök hitelesítést végez a Microsoft Defender for IoT modulon.

Ezt a hitelesítési típust akkor használja, ha azt szeretné, hogy a biztonsági ügynök újra felhasználjon egy meglévő eszközhitelesítési módszert (önaláírt tanúsítványt vagy szimmetrikus kulcsot).

A hitelesítési módszerek ismert korlátozásai

A SecurityModule hitelesítési mód csak a szimmetrikus kulcsos hitelesítést támogatja.

A hitelesítésszolgáltató által aláírt tanúsítványt az eszközhitelesítési mód nem támogatja.

A biztonsági ügynök telepítési paraméterei

Biztonsági ügynök telepítésekor argumentumként meg kell adni a hitelesítési adatokat. Ezek az argumentumok az alábbi táblázatban vannak dokumentálva.

Linux-paraméter neve

Windows paraméter neve

Gyorskézbesítési paraméter

Leírás

Beállítások

hitelesítés-identitás

AuthenticationIdentity

aui

Hitelesítési identitás.

SecurityModule vagy Eszköz

hitelesítési módszer

AuthenticationMethod

Aum

Hitelesítési módszer.

SymmetricKey vagy SelfSignedCertificate

fájl elérési útja

FilePath

f

A tanúsítványt vagy a szimmetrikus kulcsot tartalmazó fájl abszolút teljes elérési útja.

gazdagép neve

HostName

Hn

Az IoT Hub teljes tartományneve.

Példa: ContosoIotHub.azure-devices.net

eszközazonosító

Deviceid

Di

Eszközazonosító.

Példa: MyDevice1

tanúsítvány-hely típusú

CertificateLocationKind

Cl

Tanúsítványtároló helye.

LocalFile vagy Store

Ha telepítőszkripttel helyez üzembe egy biztonsági ügynököt, a rendszer automatikusan létrehoz egy konfigurációs fájlt.

Hitelesítési módszer módosítása az üzembe helyezés után

A hitelesítési módszerek üzembe helyezés utáni módosításához a konfigurációs fájl manuális szerkesztésére van szükség.

C#-alapú biztonsági ügynök

Az Authentication.config szerkesztése a következő paraméterekkel:

<Authentication>
  <add key="deviceId" value=""/>
  <add key="gatewayHostname" value=""/>
  <add key="filePath" value=""/>
  <add key="type" value=""/>
  <add key="identity" value=""/>
  <add key="certificateLocationKind" value="" />
</Authentication>

C-alapú biztonsági ügynök

Szerkessze LocalConfiguration.json a következő paraméterekkel:

"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}