Az IoT-számítási feladatok biztonsági követelményeinek megadása
Ez az egység összefoglalja az IoT Hub Azure-beli biztonsági alapkonfigurációját, hogy segítséget nyújtson az IoT-számítási feladatok új követelményekre vonatkozó specifikációinak létrehozásához.
A Microsoft cloud security benchmark hátterének további hátteréért tekintse meg a Microsoft kiberbiztonsági referenciaarchitektúrájának és a felhőbiztonsági teljesítménytesztnek a bemutatása című témakört.
Az alábbi táblázatban a teljes alapkonfiguráció vezérlői szerepelnek, ahol:
- A biztonsági vezérlők támogatottak voltak, de alapértelmezés szerint nem voltak engedélyezve
- Explicit útmutatás volt, amely tartalmazta az ügyfél részéről végrehajtandó műveletet
| Terület | Vezérlő | Szolgáltatás | Útmutató összefoglalása |
|---|---|---|---|
| Hálózati biztonság | NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel | Azure Private Link | Helyezzen üzembe privát végpontokat az összes Olyan Azure-erőforráshoz, amely támogatja a Private Link szolgáltatást, és hozzon létre egy privát hozzáférési pontot az erőforrásokhoz. |
| NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel | Nyilvános hálózati hozzáférés letiltása | Tiltsa le a nyilvános hálózati hozzáférést a szolgáltatásszintű IP ACL-szűrési szabály vagy a nyilvános hálózati hozzáféréshez szükséges összesítő kapcsoló használatával. | |
| Identitáskezelés | IM-1: Központosított identitás- és hitelesítési rendszer használata | Helyi hitelesítési módszerek az adatsík-hozzáféréshez | Korlátozza a helyi hitelesítési módszerek használatát az adatsík-hozzáféréshez. Ehelyett használja a Microsoft Entra ID-t alapértelmezett hitelesítési módszerként az adatsík-hozzáférés szabályozásához. |
| IM-3: Az alkalmazásidentitások biztonságos és automatikus kezelése | Felügyelt identitások | Ha lehetséges, a szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők a Microsoft Entra-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban. A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, így elkerülheti a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat. | |
| Egyszerű szolgáltatások | Ehhez a funkciókonfigurációhoz a Microsoft jelenleg nem nyújt útmutatást. Tekintse át és állapítsa meg, hogy a szervezet konfigurálja-e ezt a biztonsági funkciót. | ||
| IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján | Feltételes hozzáférés adatsíkhoz | Határozza meg a Microsoft Entra feltételes hozzáférésre vonatkozó feltételeket és feltételeket a számítási feladatban. | |
| Emelt szintű hozzáférés | PA-7: A Just Enough Administration (legkisebb jogosultsági alapelv) követése | Azure RBAC adatsíkhoz | Az Azure AD és az RBAC esetén az IoT Hub megköveteli, hogy az API-t kérő egyszerű felhasználó rendelkezzen a megfelelő engedélyszinttel az engedélyezéshez. Ha engedélyt szeretne adni az igazgatónak, adjon neki egy szerepkör-hozzárendelést. |
| Adatvédelem | DP-6: Biztonságos kulcskezelési folyamat használata | Kulcskezelés az Azure Key Vaultban | Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. A kulcsok elforgatása és visszavonása az Azure Key Vaultban és a szolgáltatásban meghatározott ütemezés alapján, illetve kulcsok kivonása vagy feltörése esetén. |
| Eszközkezelés | AM-2: Csak jóváhagyott szolgáltatások használata | Az Azure Policy támogatása | A Felhőhöz készült Microsoft Defender használatával konfigurálhatja az Azure Policyt az Azure-erőforrások konfigurációinak naplózására és kikényszerítésére. |
| Naplózás és fenyegetésészlelés | LT-4: Naplózás engedélyezése biztonsági vizsgálathoz | Azure-erőforrásnaplók | Erőforrásnaplók engedélyezése a szolgáltatáshoz. |