Share via


Sicurezza nel carico di lavoro IoT

Le soluzioni IoT hanno la sfida di proteggere carichi di lavoro basati su dispositivi diversi ed eterogenei con un'interazione minima o senza interazione diretta. I generatori di dispositivi IoT, gli sviluppatori di applicazioni IoT e gli operatori della soluzione IoT condividono la responsabilità della sicurezza durante il ciclo di vita completo della soluzione IoT. È importante progettare la soluzione dall'inizio con la sicurezza. Comprendere le potenziali minacce e aggiungere difesa avanzata durante la progettazione e la progettazione della soluzione.

La pianificazione della sicurezza inizia con un modello di rischio. Comprendere in che modo un utente malintenzionato potrebbe essere in grado di compromettere un sistema consente di garantire le mitigazioni appropriate fin dall'inizio. La modellazione delle minacce offre il massimo valore aggiunto se incorporata nella fase di progettazione. Come parte dell'esercizio di modellazione delle minacce, è possibile dividere un'architettura IoT tipica in diversi componenti o zone: dispositivo, gateway dispositivo, gateway cloud e servizi. Ogni zona può avere i propri requisiti di autenticazione, autorizzazione e dati. È possibile usare le zone per isolare i danni e limitare l'impatto delle zone a bassa attendibilità nelle zone con attendibilità superiore. Per altre informazioni, vedere l'architettura di sicurezza Internet delle cose (IoT).

Le linee guida sulla sicurezza seguenti per i carichi di lavoro IoT identificano le considerazioni chiave e forniscono raccomandazioni di progettazione e implementazione.

Valutare la sicurezza nel carico di lavoro IoT

Per valutare il carico di lavoro IoT tramite gli obiettivi del pilastro sicurezza di Well-Architected Framework, completare le domande di sicurezza per i carichi di lavoro IoT in Azure Well-Architected Review. Quando la valutazione ha identificato le raccomandazioni di sicurezza chiave per la soluzione IoT, usare il contenuto seguente per implementare le raccomandazioni.

Principi di progettazione

Cinque pilastri dell'eccellenza architettonica supportano la metodologia di progettazione del carico di lavoro IoT. Questi pilastri fungono da bussola per le successive decisioni di progettazione tra le principali aree di progettazione IoT. I principi di progettazione seguenti estendono il pilastro della qualità di Azure Well-Architected Framework - Security.

Principio di progettazione Considerazioni
Identità forte Usare un'identità complessa per autenticare dispositivi e utenti. Avere una radice di attendibilità dell'hardware per identità attendibile, registrare i dispositivi, rilasciare credenziali rinnovabili e usare l'autenticazione a più fattori o senza password. Esaminare le considerazioni generali sulla gestione delle identità e degli accessi di Azure.
Privilegi minimi Automatizzare e usare controllo di accesso con privilegi minimi per limitare l'impatto di dispositivi o identità compromessi o carichi di lavoro non approvati.
Integrità del dispositivo Valutare l'integrità dei dispositivi per controllare l'accesso al dispositivo o contrassegnare i dispositivi per la correzione. Controllare la configurazione della sicurezza, valutare le vulnerabilità e le password non sicure, monitorare le minacce e le anomalie e creare profili di rischio in corso.
Aggiornamento del dispositivo Aggiornamenti continui per mantenere integri i dispositivi. Usare una soluzione di gestione centralizzata della configurazione e della conformità e un meccanismo di aggiornamento affidabile per garantire che i dispositivi siano aggiornati e integri.
Monitorare la sicurezza del sistema, pianificare la risposta agli eventi imprevisti Monitorare in modo proattivo i dispositivi non autorizzati o compromessi e rispondere alle minacce emergenti.

Modello di sicurezza zero-trust

L'accesso non autorizzato ai sistemi IoT potrebbe causare la divulgazione di informazioni di massa, ad esempio i dati di produzione della fabbrica mancanti o l'elevazione dei privilegi per il controllo dei sistemi fisici informatici, ad esempio l'arresto di una linea di produzione della fabbrica. Un modello di sicurezza zero trust consente di limitare l'impatto potenziale degli utenti che ottengono l'accesso non autorizzato al cloud o ai servizi IoT locali e ai dati.

Anziché presupponere che tutto dietro un firewall aziendale sia sicuro, zero trust autentica completamente, autorizza e crittografa ogni richiesta di accesso prima di concedere l'accesso. La protezione delle soluzioni IoT con zero trust inizia con l'implementazione di procedure di sicurezza di base, dispositivi e accesso, ad esempio la verifica esplicita degli utenti, la verifica dei dispositivi nella rete e l'uso del rilevamento dei rischi in tempo reale per prendere decisioni di accesso dinamiche.

Le risorse seguenti consentono di implementare una soluzione IoT senza attendibilità:

  • La valutazione di Microsoft Zero Trust analizza le lacune nella protezione corrente per identità, endpoint, app, rete, infrastruttura e dati. Usare le soluzioni consigliate per assegnare priorità all'implementazione zero trust e procedere con indicazioni dal Centro linee guida di Microsoft Zero Trust.

  • La Zero Trust Cybersecurity for the Internet of Things technical paper descrive come applicare un approccio zero-trust alle soluzioni IoT basate sull'ambiente e sulle esperienze dei clienti Microsoft.

  • Il documento NIST Zero Trust Architecture (nist.gov) fornisce indicazioni per la creazione di architetture senza attendibilità. Questo documento fornisce modelli di distribuzione generali e casi d'uso in cui zero trust potrebbe migliorare il comportamento generale della sicurezza della tecnologia delle informazioni dell'azienda.

Modelli di architettura IoT

La maggior parte dei sistemi IoT usa un modello di architettura delle operazioni connesse o prodotti connessi. Esistono differenze di sicurezza chiave tra questi modelli. Le soluzioni di connected operations o di tecnologia operativa (OT) spesso dispongono di dispositivi locali che monitorano e controllano altri dispositivi fisici. Questi dispositivi OT aggiungono problemi di sicurezza, ad esempio manomissioni, analisi dei pacchetti e la necessità di gestione fuori banda e aggiornamenti OTA (over-the-air).

Le fabbriche e gli ambienti OT possono essere facilmente bersagli di malware e violazioni della sicurezza, perché le apparecchiature possono essere vecchie, fisicamente vulnerabili e isolate dalla sicurezza a livello di server. Per una prospettiva end-to-end, vedere il pilastro di sicurezza di Azure Well-Architected Framework.

Livelli di architettura IoT

I principi di progettazione della sicurezza consentono di chiarire le considerazioni per garantire che il carico di lavoro IoT soddisfi i requisiti nei livelli di architettura IoT fondamentali.

Tutti i livelli sono soggetti a varie minacce che possono essere classificate in base alle categorie STRIDE: spoofing, manomissione, ripudio, divulgazione delle informazioni, negazione del servizio e elevazione dei privilegi. Seguire sempre le procedure di Microsoft Security Development Lifecycle (SDL) quando si progettano e si creano architetture IoT.

Diagramma che mostra i livelli e le attività trasversali nell'architettura IoT.

Livello dispositivo e gateway

Questo livello di architettura include lo spazio fisico immediato intorno al dispositivo e al gateway che consente l'accesso fisico o l'accesso digitale peer-to-peer. Molte aziende industriali usano il modello Purdue incluso nello standard ISA 95 per garantire che le reti di controllo dei processi proteggano la larghezza di banda di rete limitata e forniscano un comportamento deterministico in tempo reale. Il modello Purdue offre un livello aggiuntivo di metodologia di difesa approfondita.

Identità del dispositivo avanzata

Le funzionalità strettamente integrate di dispositivi e servizi IoT offrono un'identità avanzata dei dispositivi. Queste funzionalità includono:

  • Radice di attendibilità dell'hardware.
  • Autenticazione avanzata con certificati, autenticazione mfa o autenticazione senza password.
  • Credenziali rinnovabili.
  • Registro dispositivi IoT dell'organizzazione.

Una radice di attendibilità dell'hardware ha gli attributi seguenti:

  • Archiviazione sicura delle credenziali che dimostra l'identità in hardware dedicato e resistente alle manomissioni.
  • Identità di onboarding non modificabile associata al dispositivo fisico.
  • Credenziali operative univoche per dispositivo rinnovabile per l'accesso regolare ai dispositivi.

L'identità di onboarding rappresenta ed è inseparabile dal dispositivo fisico. Questa identità viene in genere creata e installata durante la produzione e non può essere modificata per la durata del dispositivo. Dato la sua non modificabilità e durata, è consigliabile usare l'identità di onboarding del dispositivo solo per eseguire l'onboarding del dispositivo nella soluzione IoT.

Dopo l'onboarding, effettuare il provisioning e usare un'identità operativa e credenziali rinnovabili per l'autenticazione e l'autorizzazione per l'applicazione IoT. Rendere questa identità rinnovabile consente di gestire l'accesso e la revoca del dispositivo per l'accesso operativo. È possibile applicare i cancelli basati su criteri, ad esempio l'attestazione dell'integrità e dell'integrità del dispositivo, al momento del rinnovo.

La radice di attendibilità dell'hardware garantisce inoltre che i dispositivi siano compilati in base alle specifiche di sicurezza e siano conformi ai regimi di conformità necessari. Proteggere la catena di fornitura della radice hardware di attendibilità o qualsiasi altro componente hardware di un dispositivo IoT, per garantire che gli attacchi della catena di approvvigionamento non compromettano l'integrità del dispositivo.

L'autenticazione senza password, in genere usando certificati x509 standard per dimostrare l'identità di un dispositivo, offre una maggiore protezione rispetto ai segreti, ad esempio password e token simmetrici condivisi tra entrambe le parti. I certificati sono un meccanismo sicuro e standardizzato che fornisce l'autenticazione senza password rinnovabile. Per gestire i certificati:

  • Effettuare il provisioning dei certificati operativi da un'infrastruttura a chiave pubblica (PKI) attendibile.
  • Usare una durata di rinnovo appropriata per l'uso aziendale, il sovraccarico di gestione e i costi.
  • Rendere automatico il rinnovo, per ridurre al minimo eventuali potenziali interruzioni di accesso a causa della rotazione manuale.
  • Usare tecniche di crittografia standard e aggiornate. Ad esempio, rinnovare tramite richieste di firma del certificato (CSR) anziché trasmettere una chiave privata.
  • Concedere l'accesso ai dispositivi in base all'identità operativa.
  • Supportare la revoca delle credenziali, ad esempio un elenco di revoche di certificati (CRL) quando si usano certificati x509, per rimuovere immediatamente l'accesso ai dispositivi, ad esempio in risposta alla compromissione o al furto.

Alcuni dispositivi IoT legacy o con vincoli di risorse non possono usare un'identità complessa, un'autenticazione senza password o credenziali rinnovabili. Usare i gateway IoT come guardiani per interfacciarsi in locale con questi dispositivi meno efficaci, che li supportano per accedere ai servizi IoT con modelli di identità avanzati. Questa pratica consente di adottare zero trust oggi, durante la transizione all'uso di dispositivi più capaci nel tempo.

Le macchine virtuali, i contenitori o qualsiasi servizio che incorpora un client IoT non può usare una radice hardware di attendibilità. Usare le funzionalità disponibili con questi componenti. Le macchine virtuali e i contenitori, che non dispongono del supporto hardware radice di attendibilità, possono usare l'autenticazione senza password e le credenziali rinnovabili. Una soluzione di difesa avanzata offre ridondanza laddove possibile e riempie le lacune, se necessario. Ad esempio, è possibile individuare macchine virtuali e contenitori in un'area con maggiore sicurezza fisica, ad esempio un data center, rispetto a un dispositivo IoT nel campo.

Usare un registro dei dispositivi IoT dell'organizzazione centralizzato per gestire il ciclo di vita dei dispositivi IoT dell'organizzazione e controllare l'accesso ai dispositivi. Questo approccio è simile al modo in cui si proteggono le identità utente della forza lavoro di un'organizzazione per ottenere una sicurezza senza attendibilità. Un registro delle identità basato sul cloud può gestire la scalabilità, la gestione e la sicurezza di una soluzione IoT.

Le informazioni del Registro di sistema dei dispositivi IoT eseguono l'onboarding dei dispositivi in una soluzione IoT verificando che l'identità e le credenziali del dispositivo siano note e autorizzate. Dopo l'onboarding di un dispositivo, il Registro di sistema dei dispositivi contiene le proprietà principali del dispositivo, tra cui l'identità operativa e le credenziali rinnovabili usate per l'autenticazione per l'uso quotidiano.

È possibile usare i dati del Registro di sistema dei dispositivi IoT per:

  • Visualizzare l'inventario dei dispositivi IoT di un'organizzazione, tra cui integrità, patch e stato di sicurezza.
  • Eseguire query e raggruppare i dispositivi per operazioni ridimensionate, gestione, distribuzione del carico di lavoro e controllo di accesso.

Usare i sensori di rete per rilevare e inventariare i dispositivi IoT non gestiti che non si connettono ai servizi Azure IoT, per la consapevolezza e il monitoraggio.

Accesso con privilegi minimi

Il controllo di accesso con privilegi minimi consente di limitare l'impatto delle identità autenticate che potrebbero essere compromesse o che eseguono carichi di lavoro non approvati. Per gli scenari IoT, concedere l'accesso a operatori, dispositivi e carichi di lavoro usando:

  • Controllo di accesso del dispositivo e del carico di lavoro, per l'accesso solo ai carichi di lavoro con ambito nel dispositivo.
  • Accesso just-in-time.
  • Meccanismi di autenticazione avanzata, ad esempio MFA e autenticazione senza password.
  • Accesso condizionale basato sul contesto di un dispositivo, ad esempio indirizzo IP o posizione GPS, configurazione del sistema, univocità, ora del giorno o modelli di traffico di rete. I servizi possono anche usare il contesto del dispositivo per distribuire in modo condizionale i carichi di lavoro.

Per implementare l'accesso con privilegi minimi effettivi:

  • Configurare la gestione degli accessi al gateway cloud IoT per concedere solo le autorizzazioni di accesso appropriate per la funzionalità richiesta dal back-end.
  • Limitare i punti di accesso ai dispositivi IoT e alle applicazioni cloud assicurando che le porte abbiano accesso minimo.
  • Creare meccanismi per prevenire e rilevare manomissioni dei dispositivi fisici.
  • Gestire l'accesso degli utenti tramite un modello di controllo di accesso appropriato, ad esempio il controllo degli accessi in base al ruolo o basato su attributi.
  • Accesso con privilegi minimi per i dispositivi IoT tramite la segmentazione di rete.

Microsegmentazione di rete

La progettazione e la configurazione della rete offrono opportunità di costruire la difesa in profondità segmentando i dispositivi IoT in base ai modelli di traffico e all'esposizione ai rischi. Questa segmentazione riduce al minimo l'impatto potenziale dei dispositivi compromessi e degli avversari che si rivolgono a risorse di valore superiore. La segmentazione di rete usa in genere firewall di nuova generazione.

La micro-segmentazione di rete consente l'isolamento di dispositivi meno compatibili a livello di rete, dietro un gateway o in un segmento di rete discreto. Usare la segmentazione di rete per raggruppare i dispositivi IoT e usare la protezione degli endpoint per ridurre l'impatto di potenziali compromissioni.

Implementare una strategia olistica delle regole del firewall che consente ai dispositivi di accedere alla rete quando necessario e blocca l'accesso quando non consentito. Per supportare la difesa in profondità, le organizzazioni mature possono implementare criteri di micro-segmentazione a più livelli del modello Purdue. Se necessario, usare firewall nei dispositivi per limitare l'accesso alla rete.

Integrità del dispositivo

In base al principio zero-trust, l'integrità dei dispositivi è un fattore chiave per determinare il profilo di rischio, incluso il livello di attendibilità, di un dispositivo. Usare il profilo di rischio come controllo di accesso per garantire che solo i dispositivi integri possano accedere ad applicazioni e servizi IoT o identificare i dispositivi in integrità discutibile per la correzione.

In base agli standard del settore, la valutazione dell'integrità dei dispositivi deve includere:

  • Valutazione della configurazione della sicurezza e attestazione che il dispositivo è configurato in modo sicuro.
  • Valutazione della vulnerabilità per determinare se il software del dispositivo non è aggiornato o presenta vulnerabilità note.
  • Valutazione delle credenziali non sicure per controllare le credenziali del dispositivo, ad esempio certificati e protocolli, ad esempio Transport Layer Security (TLS) 1.2+.
  • Minacce attive e avvisi sulle minacce.
  • Avvisi comportamentali anomali, ad esempio il modello di rete e la deviazione dell'utilizzo.

Criteri di attendibilità zero per i dispositivi

Per supportare zero trust, i dispositivi IoT devono:

  • Contenere una radice di attendibilità hardware per fornire un'identità del dispositivo complessa.
  • Usare le credenziali rinnovabili per normale funzionamento e accesso.
  • Applicare il controllo di accesso con privilegi minimi alle risorse del dispositivo locale, ad esempio fotocamere, archiviazione e sensori.
  • Generare segnali di integrità del dispositivo appropriati per consentire l'applicazione dell'accesso condizionale.
  • Fornire gli agenti di aggiornamento e gli aggiornamenti software corrispondenti per la durata utilizzabile del dispositivo per garantire che gli aggiornamenti della sicurezza possano essere applicati.
  • Includere le funzionalità di gestione dei dispositivi per abilitare la configurazione dei dispositivi basata sul cloud e la risposta automatica alla sicurezza.
  • Eseguire agenti di sicurezza che si integrano con sistemi di monitoraggio, rilevamento e risposta della sicurezza.
  • Ridurre al minimo il footprint di attacco fisico, ad esempio disattivando o disabilitando le funzionalità del dispositivo non necessarie, ad esempio porte USB o UART fisiche, o connettività Wi-Fi o Bluetooth. Utilizzare la rimozione fisica, la copertura o il blocco quando necessario.
  • Proteggere i dati nei dispositivi. Se i dati inattivi vengono archiviati nei dispositivi, usare algoritmi di crittografia standard per crittografare i dati.

Diversi prodotti e servizi di Azure supportano la sicurezza dei dispositivi IoT:

  • moduli di sorveglianza di Azure Sphere connettono i dispositivi legacy critici ai servizi IoT con funzionalità senza attendibilità, tra cui identità avanzata, crittografia end-to-end e aggiornamenti regolari della sicurezza.

  • Azure IoT Edge fornisce una connessione di runtime perimetrale all'hub IoT e ad altri servizi di Azure e supporta i certificati come identità dei dispositivi complessi. IoT Edge supporta lo standard PKCS#11 per le identità di produzione dei dispositivi e altri segreti archiviati in un modulo TPM (Trusted Platform Module) o Hardware Security Module (HSM).

  • L'SDK di hub IoT di Azure è un set di librerie client del dispositivo, guide per sviluppatori, esempi e documentazione. Gli SDK dei dispositivi implementano varie funzionalità di sicurezza, ad esempio crittografia e autenticazione, per facilitare lo sviluppo di un'applicazione dispositivo affidabile e sicura.

  • Azure RTOS offre un sistema operativo in tempo reale come raccolta di librerie del linguaggio C che è possibile distribuire in un'ampia gamma di piattaforme di dispositivi IoT incorporate.

    Azure RTOS include uno stack TCP/IP completo con le funzionalità TLS 1.2 e 1.3 e di base X.509. Azure RTOS e Azure IoT Embedded SDK si integrano anche con hub IoT di Azure, servizio Azure Device Provisioning (DPS) e Microsoft Defender. Funzionalità come l'autenticazione reciproca X.509 e il supporto per i moderni suite di crittografia TLS, ad esempio ECDHE e AES-GCM, coprono le nozioni di base della comunicazione di rete sicura.

    Azure RTOS supporta anche:

    • Progettazione zero-trust sulle piattaforme microcontroller che supportano le funzionalità di sicurezza hardware, ad esempio Arm TrustZone, una protezione della memoria e un'architettura di partizionamento.
    • Dispositivi di elemento sicuri, ad esempio STSAFE-A110 da ST Intunes.
    • Standard del settore, ad esempio Arm Platform Security Architecture (PSA), che combina hardware e firmware per fornire un set standardizzato di funzionalità di sicurezza, tra cui l'avvio sicuro, la crittografia e l'attestazione.
  • Il programma Dispositivo certificato di Azure consente ai partner del dispositivo di differenziare e promuovere facilmente i dispositivi. Il programma consente ai generatori di soluzioni e ai clienti di trovare dispositivi IoT creati con funzionalità che consentono una soluzione senza attendibilità.

  • Il programma Edge Secure-Core (anteprima) convalida se i dispositivi soddisfano i requisiti di sicurezza per l'identità del dispositivo, l'avvio sicuro, la protezione avanzata del sistema operativo, gli aggiornamenti dei dispositivi, la protezione dei dati e le divulgazione delle vulnerabilità. I requisiti dei programmi di base protetti da Edge sono distillati da vari requisiti del settore e punti di vista di progettazione della sicurezza.

    Il programma Edge Secured-Core consente ai servizi di Azure come il servizio di attestazione di Azure di prendere decisioni condizionali in base al comportamento del dispositivo, consentendo così il modello zero-trust. I dispositivi devono includere una radice hardware di trust e fornire protezione sicura per l'avvio e il firmware. Questi attributi possono essere misurati dal servizio di attestazione e usati dai servizi downstream per concedere in modo condizionale l'accesso alle risorse sensibili.

Livello di inserimento e comunicazione

I dati inseriti nella soluzione IoT devono essere protetti con le indicazioni contenute nel pilastro di sicurezza di Azure Well-Architected Framework. Inoltre, per le soluzioni IoT è fondamentale garantire che la comunicazione dal dispositivo al cloud sia sicura e crittografata usando gli standard TLS più recenti.

Livello di modellazione e gestione dei dispositivi

Questo livello di architettura include componenti software o moduli in esecuzione nel cloud che si interfacciano con dispositivi e gateway per la raccolta e l'analisi dei dati, nonché per il comando e il controllo.

Criteri zero trust per i servizi IoT

Usare i servizi IoT che offrono le funzionalità chiave zero-trust seguenti:

  • Supporto completo per il controllo degli accessi utente senza attendibilità, ad esempio identità utente complesse, autenticazione a più fattori e accesso utente condizionale.
  • Integrazione con i sistemi di controllo degli accessi utente per l'accesso con privilegi minimi e i controlli condizionali.
  • Registro dei dispositivi centrale per l'inventario completo dei dispositivi e la gestione dei dispositivi.
  • Autenticazione reciproca, che offre credenziali del dispositivo rinnovabile con verifica dell'identità avanzata.
  • Il controllo di accesso ai dispositivi con privilegi minimi con accesso condizionale consente di connettersi solo ai dispositivi che soddisfano i criteri, ad esempio l'integrità o la posizione nota.
  • Aggiornamenti OTA per mantenere integri i dispositivi.
  • Monitoraggio della sicurezza dei servizi IoT e dei dispositivi IoT connessi.
  • Monitoraggio e controllo di accesso per tutti gli endpoint pubblici e l'autenticazione e l'autorizzazione per tutte le chiamate a questi endpoint.

Diversi servizi IoT di Azure offrono queste funzionalità senza attendibilità.

  • Windows per IoT consente di garantire la sicurezza tra i pilastri chiave dello spettro di sicurezza IoT.

    • Crittografia unità BitLocker, Avvio sicuro, Windows Defender Controllo applicazioni, Windows Defender Exploit Guard, applicazioni piattaforma UWP (Universal Windows Platform) sicure (UWP), Filtro di scrittura unificata, stack di comunicazione sicura e gestione delle credenziali di sicurezza proteggono i dati inattivi, durante l'esecuzione del codice e in transito.

    • L'attestazione dell'integrità dei dispositivi rileva e monitora i dispositivi attendibili per iniziare con un dispositivo attendibile e mantenere l'attendibilità nel tempo.

    • Device Update Center e Windows Server Update Services applicare le patch di sicurezza più recenti. È possibile correggere le minacce ai dispositivi usando hub IoT di Azure funzionalità di gestione dei dispositivi, Microsoft Intune o soluzioni di gestione dei dispositivi mobili di terze parti e Microsoft System Center Configuration Manager.

  • Microsoft Defender per IoT è una piattaforma di sicurezza a livello di rete senza agente che offre l'individuazione continua degli asset, la gestione delle vulnerabilità e il rilevamento delle minacce per i dispositivi IoT e OT. Defender per IoT monitora continuamente il traffico di rete usando analisi comportamentali con riconoscimento IoT per identificare componenti non autorizzati o compromessi.

    Defender per IoT supporta dispositivi OT incorporati proprietari e sistemi Windows legacy comunemente presenti in ambienti OT. Defender per IoT può eseguire l'inventario di tutti i dispositivi IoT, valutare le vulnerabilità, fornire raccomandazioni di mitigazione basate sui rischi e monitorare continuamente i dispositivi per comportamenti anomali o non autorizzati.

  • Microsoft Sentinel, una piattaforma di sicurezza basata sul cloud e sulla gestione degli eventi (SIEM) e l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR), che si integra strettamente con Microsoft Defender per IoT. Microsoft Sentinel offre una visualizzazione della sicurezza su scala cloud in tutta l'organizzazione raccogliendo dati in tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, inclusi firewall, controllo di accesso di rete e dispositivi di commutatore di rete.

    Microsoft Sentinel può individuare rapidamente comportamenti anomali che indicano potenziali compromissioni dei dispositivi IoT o OT. Microsoft Sentinel supporta anche soluzioni SOC (Third-Party Security Operations Center), ad esempio Splunk, IBM QRadar e ServiceNow.

  • Hub IoT di Azure fornisce un registro operativo per i dispositivi IoT. L'hub IoT accetta i certificati operativi del dispositivo per abilitare un'identità complessa e può disabilitare i dispositivi centralmente per impedire connessioni non autorizzate. L'hub IoT supporta il provisioning delle identità dei moduli che supportano i carichi di lavoro di IoT Edge.

    • hub IoT di Azure Servizio Device Provisioning (DPS) fornisce un registro dispositivi centrale per i dispositivi aziendali da registrare per l'onboarding su larga scala. DPS accetta i certificati del dispositivo per abilitare l'onboarding con credenziali complesse per dispositivi e credenziali rinnovabili, registrando i dispositivi in hub IoT per l'operazione giornaliera.

    • Aggiornamento dispositivi di Azure per hub IoT consente di distribuire gli aggiornamenti OTA per i dispositivi IoT. ADU offre una soluzione ospitata dal cloud per connettersi virtualmente a qualsiasi dispositivo e supporta un'ampia gamma di sistemi operativi IoT, tra cui Linux e Azure RTOS.

    • hub IoT di Azure supporto per le reti virtuali consente di limitare la connettività a hub IoT tramite una rete virtuale eseguiti. Questo isolamento di rete impedisce l'esposizione alla connettività a Internet pubblica e può aiutare a evitare attacchi di esfiltrazione da reti locali sensibili.

I seguenti prodotti Microsoft integrano completamente hardware e servizi di Azure nelle soluzioni IoT complessive.

  • Azure Sphere è una soluzione hardware, sistema operativo e piattaforma cloud completamente gestita che consente ai dispositivi IoT di media e bassa potenza di ottenere le sette proprietà dei dispositivi altamente protetti per implementare zero trust. I dispositivi usano la verifica esplicita e implementano l'attestazione e l'autenticazione basati su certificati (DAA), che rinnova automaticamente l'attendibilità.

    Azure Sphere usa l'accesso con privilegi minimi, in cui le applicazioni vengono negate per impostazione predefinita a tutte le opzioni di periferica e connettività. Per la connettività di rete, i domini Web consentiti devono essere inclusi nel manifesto del software o l'applicazione non può connettersi all'esterno del dispositivo.

    Azure Sphere si basa sulla violazione presunta. Protezione dei livelli di difesa in profondità durante la progettazione del sistema operativo. Una partizione mondiale sicura in esecuzione in Arm TrustZone nei dispositivi Azure Sphere consente di segmentare le violazioni del sistema operativo dall'accesso alle risorse plutone o hardware.

    Azure Sphere può essere un modulo di sorveglianza per proteggere altri dispositivi, inclusi i sistemi legacy esistenti non progettati per la connettività attendibile. In questo scenario, un modulo di sorveglianza di Azure Sphere viene distribuito con un'applicazione e interfacce con dispositivi esistenti tramite Ethernet, seriale o BLE. I dispositivi non hanno necessariamente connettività Internet diretta.

  • Azure Percept è una piattaforma di intelligenza artificiale perimetrale end-to-end che consente di avviare un modello di prova in pochi minuti. Azure Percept include acceleratori hardware integrati con servizi di intelligenza artificiale di Azure e IoT, modelli di intelligenza artificiale predefiniti e gestione delle soluzioni.

    I dispositivi Azure Percept usano una radice hardware di trust per proteggere i dati di inferenza, i modelli di intelligenza artificiale e i sensori sensibili alla privacy, ad esempio fotocamere e microfoni. Azure Percept abilita l'autenticazione e l'autorizzazione dei dispositivi per i servizi di Azure Percept Studio. Per altre informazioni, vedere Sicurezza di Azure Percept.

Livello DevOps

Una soluzione IoT aziendale deve fornire una strategia per gli operatori per gestire il sistema. Le metodologie DevOps che si concentrano in modo proattivo sulla sicurezza includono:

  • Gestione centralizzata della configurazione e della conformità, per applicare in modo sicuro i criteri e distribuire e aggiornare i certificati.
  • Aggiornamenti distribuibili, per aggiornare il set completo di software su dispositivi, firmware, driver, applicazioni del sistema operativo di base e host e carichi di lavoro distribuiti nel cloud.

Per altre informazioni, vedere Abilitare DevSecOps con Azure e GitHub.

Aggiornamenti continui

Per controllare l'accesso dei dispositivi in base all'integrità, è necessario mantenere in modo proattivo i dispositivi di produzione in uno stato di destinazione funzionante e integro. I meccanismi di aggiornamento devono:

  • Avere funzionalità di distribuzione remota.
  • Essere resilienti alle modifiche apportate all'ambiente, alle condizioni operative e al meccanismo di autenticazione, ad esempio le modifiche al certificato a causa della scadenza o della revoca.
  • Supportare la verifica dell'implementazione degli aggiornamenti.
  • Eseguire l'integrazione con il monitoraggio della sicurezza diffuso per abilitare gli aggiornamenti pianificati per la sicurezza.

Dovrebbe essere possibile rinviare gli aggiornamenti che interferiscono con la continuità aziendale, ma alla fine completarli entro un intervallo di tempo ben definito dopo aver rilevato una vulnerabilità. I dispositivi che non sono stati aggiornati devono essere contrassegnati come non integri.

Monitoraggio e risposta della sicurezza

Una soluzione IoT deve essere in grado di eseguire il monitoraggio e la correzione su larga scala per tutti i dispositivi connessi. Come strategia di difesa avanzata, il monitoraggio aggiunge un ulteriore livello di protezione per i dispositivi greenfield gestiti e fornisce un controllo di compensazione per i dispositivi brownfield legacy e non gestiti che non supportano gli agenti e non possono essere patch o configurati in remoto.

È necessario decidere i livelli di registrazione, i tipi di attività da monitorare e le risposte necessarie per gli avvisi. I log devono essere archiviati in modo sicuro e non contengono dettagli di sicurezza.

Secondo il Cybersecurity and Infrastructure Security Agency (CISA), un programma di monitoraggio della sicurezza deve monitorare e controllare modifiche non autorizzate ai controller, comportamenti insoliti dai dispositivi e tentativi di accesso e autorizzazione. Il monitoraggio della sicurezza deve includere:

  • Generazione di un inventario degli asset e della mappa di rete di tutti i dispositivi IoT e OT.
  • Identificazione di tutti i protocolli di comunicazione usati tra reti IoT e OT.
  • Catalogazione di tutte le connessioni esterne verso e dalle reti.
  • Identificazione delle vulnerabilità nei dispositivi IoT e OT e uso di un approccio basato sul rischio per attenuarle.
  • Implementazione di un programma di monitoraggio vigile con rilevamento anomalie per rilevare tattiche informatiche dannose, ad esempio vivere dei frutti della terra all'interno dei sistemi IoT.

La maggior parte degli attacchi IoT segue un modello di catena di uccidi, in cui gli avversari stabiliscono un piè di pagina iniziale, elevano i loro privilegi e si spostano in seguito attraverso la rete. Spesso, gli utenti malintenzionati usano le credenziali con privilegi per ignorare le barriere, ad esempio firewall di nuova generazione stabiliti per applicare la segmentazione di rete tra subnet. Il rilevamento rapido e la risposta a questi attacchi multistage richiedono una visualizzazione unificata tra reti IT, IoT e OT, combinate con automazione, machine learning e intelligence sulle minacce.

Raccogliere segnali dall'intero ambiente, inclusi tutti gli utenti, i dispositivi, le applicazioni e l'infrastruttura, sia locali che in più cloud. Analizzare i segnali nelle piattaforme di rilevamento e risposta centralizzate e di rilevamento esteso (XDR), in cui gli analisti SOC possono cercare e individuare minacce sconosciute in precedenza.

Infine, usare le piattaforme SOAR per rispondere rapidamente agli eventi imprevisti e attenuare gli attacchi prima di influire materialmente sull'organizzazione. È possibile definire playbook che vengono eseguiti automaticamente quando vengono rilevati eventi imprevisti specifici. Ad esempio, è possibile bloccare o mettere in quarantena automaticamente i dispositivi compromessi in modo che non siano in grado di infettare altri sistemi.

Passaggi successivi