Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:
IoT Edge 1.5
Penting
IoT Edge 1.5 LTS adalah rilis yang didukung. IoT Edge 1.4 LTS adalah akhir masa pakai per 12 November 2024. Jika Anda menggunakan rilis sebelumnya, lihat Memperbarui IoT Edge.
Azure IoT Edge untuk Linux di Windows menggunakan semua fitur keamanan klien Windows atau host server dan memastikan semua komponen tambahan mengikuti prinsip keamanan yang sama. Artikel ini menjelaskan berbagai prinsip keamanan yang diaktifkan secara default, dan beberapa prinsip opsional yang dapat Anda aktifkan.
Keamanan mesin virtual
Mesin virtual terkurasi IoT Edge untuk Linux (EFLOW) didasarkan pada Microsoft Azure Linux. Azure Linux adalah distribusi Linux internal untuk infrastruktur cloud, produk edge, dan layanan Microsoft. Azure Linux menyediakan platform yang konsisten untuk perangkat dan layanan ini, dan membantu Microsoft tetap terkini di pembaruan Linux. Untuk informasi selengkapnya, lihat Keamanan Azure Linux.
Komputer virtual EFLOW menggunakan platform keamanan komprehensif empat titik:
- Pembaruan layanan
- Sistem file akar baca-saja
- Penguncian firewall
- DM-Verity
Pembaruan layanan
Saat kerentanan keamanan muncul, Azure Linux menyediakan patch dan perbaikan keamanan terbaru melalui pembaruan bulanan EFLOW. Komputer virtual tidak memiliki manajer paket, sehingga Anda tidak dapat mengunduh atau menginstal paket RPM secara manual. EFLOW menginstal semua pembaruan ke komputer virtual menggunakan mekanisme pembaruan A/B. Untuk informasi selengkapnya tentang pembaruan EFLOW, lihat Memperbarui IoT Edge untuk Linux di Windows.
Sistem file akar baca-saja
Komputer virtual EFLOW memiliki dua partisi utama: rootf dandata. Partisi rootFS-A atau rootFS-B dapat dipertukarkan, dan satu dipasang sebagai sistem file baca-saja di /, sehingga Anda tidak dapat mengubah file dalam partisi ini. Partisi data , dipasang di bawah /var, dapat dibaca dan dapat ditulis, sehingga Anda dapat mengubah kontennya. Proses pembaruan tidak mengubah data yang disimpan dalam partisi ini, sehingga tidak dimodifikasi di seluruh pembaruan.
Karena Anda mungkin memerlukan akses tulis ke /etc, /home, /root, dan /var untuk kasus penggunaan tertentu, EFLOW melapisi direktori ini ke partisi data di /var/.eflow/overlays untuk menyediakan akses tulis. Penyiapan ini memungkinkan Anda menulis ke direktori ini. Untuk informasi selengkapnya tentang overlay, lihat overlayf.
| Partisi | Ukuran | Deskripsi |
|---|---|---|
| BootEFIA | 8 MB | Partisi firmware A untuk boot GRUBless di masa mendatang |
| BootA | 192 MB | Berisi bootloader untuk partisi |
| RootFS A | 4 GB | Salah satu dari dua partisi aktif/pasif yang memegang sistem file akar |
| BootEFIB | 8 MB | Partisi firmware B untuk boot GRUBless di masa mendatang |
| BootB | 192 MB | Berisi bootloader untuk partisi B |
| RootFS B | 4 GB | Salah satu dari dua partisi aktif/pasif yang memegang sistem file akar |
| Catatan | 1 GB atau 6 GB | Mencatat partisi tertentu yang dipasang di bawah /logs |
| Data Informasi | 2 GB hingga 2 TB | Partisi stateful untuk menyimpan data persisten di seluruh pembaruan. Dapat diperluas sesuai dengan konfigurasi penyebaran. |
Catatan
Tata letak partisi mewakili ukuran disk logis dan tidak menunjukkan ruang fisik yang digunakan komputer virtual pada disk OS host.
dinding api (Firewall)
Secara default, komputer virtual EFLOW menggunakan utilitas iptables untuk konfigurasi firewall. Iptables menyiapkan, memelihara, dan memeriksa tabel aturan filter paket IP di kernel Linux. Implementasi default memungkinkan lalu lintas masuk pada port 22 (layanan SSH) dan memblokir lalu lintas lainnya. Periksa konfigurasi iptables dengan langkah-langkah berikut:
Membuka sesi PowerShell yang ditingkatkan
Menyambungkan ke komputer virtual EFLOW
Connect-EflowVmMencantumkan semua aturan iptables
sudo iptables -L
Boot terverifikasi
Komputer virtual EFLOW mendukung boot terverifikasi melalui fitur kernel device-mapper-verity (dm-verity) yang disertakan, yang menyediakan pemeriksaan integritas transparan perangkat blok. dm-verity membantu mencegah rootkit persisten yang dapat menahan hak istimewa root dan membahayakan perangkat. Fitur ini memastikan gambar perangkat lunak dasar komputer virtual sama dan tidak diubah. Komputer virtual menggunakan fitur dm-verity untuk memeriksa perangkat blok tertentu, lapisan penyimpanan yang mendasar dari sistem file, dan melihat apakah cocok dengan konfigurasi yang diharapkan.
Secara default, fitur ini dinonaktifkan di komputer virtual, tetapi Anda dapat mengaktifkan atau menonaktifkannya. Untuk informasi selengkapnya, lihat dm-verity.
Modul platform tepercaya (TPM)
Teknologi modul platform tepercaya (TPM) dirancang untuk menyediakan fungsi terkait keamanan berbasis perangkat keras. Chip TPM adalah prosesor kripto aman yang dirancang untuk melakukan operasi kriptografi. Chip ini mencakup beberapa mekanisme keamanan fisik untuk membuatnya tahan terhadap perubahan, dan perangkat lunak berbahaya tidak dapat mengubah fungsi keamanan TPM.
Komputer virtual EFLOW tidak mendukung vTPM. Namun, Anda dapat mengaktifkan atau menonaktifkan fitur passthrough TPM, yang memungkinkan komputer virtual EFLOW menggunakan TPM OS host Windows. Ini memungkinkan Anda melakukan dua skenario utama:
- Gunakan teknologi TPM untuk provisi perangkat IoT Edge dengan Device Provision Service (DPS). Untuk informasi selengkapnya, lihat Membuat dan memprovisikan IoT Edge untuk Linux pada perangkat Windows dalam skala besar dengan menggunakan TPM.
- Akses baca-saja ke kunci kriptografi yang disimpan di TPM. Untuk informasi selengkapnya, lihat Set-EflowVmFeature untuk mengaktifkan passthrough TPM.
Host aman & komunikasi komputer virtual
EFLOW memungkinkan Anda berinteraksi dengan komputer virtual menggunakan modul PowerShell. Untuk informasi selengkapnya, lihat Fungsi PowerShell untuk IoT Edge untuk Linux di Windows. Modul ini memerlukan sesi yang ditingkatkan untuk dijalankan, dan ditandatangani dengan sertifikat Microsoft Corporation.
Semua komunikasi antara sistem operasi host Windows dan komputer virtual EFLOW yang diperlukan cmdlet PowerShell menggunakan saluran SSH. Secara default, layanan SSH komputer virtual tidak memungkinkan Anda mengautentikasi dengan nama pengguna dan kata sandi, dan hanya mengizinkan autentikasi sertifikat. Sertifikat dibuat selama proses penyebaran EFLOW dan unik untuk setiap penginstalan EFLOW. Untuk membantu mencegah serangan brute force SSH, komputer virtual memblokir alamat IP jika mencoba lebih dari tiga koneksi per menit ke layanan SSH.
Dalam versi Rilis Berkelanjutan (CR) EFLOW, saluran transportasi untuk koneksi SSH berubah. Awalnya, layanan SSH berjalan pada port TCP 22, yang dapat diakses oleh perangkat eksternal mana pun di jaringan yang sama menggunakan soket TCP. Untuk keamanan, EFLOW CR menjalankan layanan SSH melalui soket Hyper-V alih-alih soket TCP reguler. Semua komunikasi melalui soket Hyper-V tetap berada di antara OS host Windows dan komputer virtual EFLOW, tanpa menggunakan jaringan. Penyiapan ini membatasi akses layanan SSH dengan membatasi koneksi hanya ke OS host Windows. Untuk informasi selengkapnya, lihat Soket Hyper-V.
Langkah berikutnya
Baca selengkapnya tentang lokal keamanan Windows IoT
Tetap terinformasi dengan pembaruan terbaru IoT Edge untuk Linux di Windows.