Indietro

Prossima

Esaminare i metodi di autenticazione degli agenti di sicurezza

Completato

Il servizio Microsoft Defender per IoT fornisce un'architettura di riferimento per gli agenti di sicurezza. Gli agenti di sicurezza sono in grado di registrare, elaborare, aggregare e distribuire i dati di sicurezza tramite l'hub IoT.

Gli agenti di sicurezza sono progettati per operare in un ambiente IoT con vincoli di risorse. Sono anche altamente personalizzabili in termini di valore che forniscono rispetto alle risorse che utilizzano.

Gli agenti di sicurezza supportano le funzionalità seguenti:

• Raccolgono gli eventi di sicurezza non elaborati dal sistema operativo sottostante (Linux, Windows).
• Aggregano gli eventi di sicurezza non elaborati per creare messaggi che vengono recapitati tramite l'hub IoT.
• Eseguono l'autenticazione con un'identità del dispositivo esistente o un'identità del modulo dedicata.
• Vengono configurati in remoto tramite l'uso del modulo gemello azureiotsecurity.

È necessario un modulo di sicurezza per ogni dispositivo di cui viene eseguito l'onboarding in Microsoft Defender per IoT nel l'hub IoT. Per autenticare il dispositivo, Microsoft Defender per IoT può usare uno di questi due metodi:

• Opzione SecurityModule.
• Opzione Device.

Metodi di autenticazione

Di seguito sono riportate alcune informazioni utili per scegliere tra i due metodi di autenticazione:

• Modalità di autenticazione SecurityModule.

L'agente viene autenticato usando l'identità del modulo di sicurezza indipendentemente dall'identità del dispositivo. Usare questo tipo di autenticazione se si vuole che l'agente di sicurezza usi un metodo di autenticazione dedicato tramite il modulo di sicurezza (solo chiave simmetrica).

• Modalità di autenticazione Device.

Con questo metodo, l'agente di sicurezza esegue prima l'autenticazione con l'identità del dispositivo. Dopo l'autenticazione iniziale, l'agente di Microsoft Defender per IoT esegue una chiamata REST all'hub IoT usando l'API REST con i dati di autenticazione del dispositivo. L'agente di Microsoft Defender per IoT richiede quindi i dati e il metodo di autenticazione al modulo di sicurezza all'hub IoT. Nel passaggio finale l'agente di Microsoft Defender per IoT esegue un'autenticazione a fronte del modulo di Microsoft Defender per IoT.

Usare questo tipo di autenticazione se si vuole che l'agente di sicurezza riutilizzi un metodo di autenticazione del dispositivo esistente (certificato autofirmato o chiave simmetrica).

Limitazioni note dei metodi di autenticazione

La modalità di autenticazione SecurityModule supporta solo l'autenticazione con chiave simmetrica.

Il certificato firmato dall'Autorità di certificazione non è supportato dalla modalità di autenticazione del dispositivo.

Parametri di installazione dell'agente di sicurezza

Quando si distribuisce un agente di sicurezza, i dettagli di autenticazione devono essere specificati come argomenti. Questi argomenti sono documentati nella tabella seguente.

Nome parametro Linux

Nome parametro Windows

Parametro abbreviato

Descrizione

Opzioni

authentication-identity

AuthenticationIdentity

aui

Identità di autenticazione.

SecurityModule o Device

authentication-method

AuthenticationMethod

aum

Metodo di autenticazione.

SymmetricKey o SelfSignedCertificate

file-path

FilePath

f

Percorso completo assoluto per il file contenente il certificato o la chiave simmetrica.

host-name

HostName

hn

Nome di dominio completo dell'hub IoT.

Esempio: ContosoIotHub.azure-devices.net

device-id

DeviceId

di

ID dispositivo.

Esempio: MyDevice1

certificate-location-kind

CertificateLocationKind

cl

Posizione di archiviazione del certificato.

LocalFile o Store

Quando invece si distribuisce un agente di sicurezza con uno script di installazione, viene creato automaticamente un file di configurazione.

Cambiare il metodo di autenticazione dopo la distribuzione

Per cambiare il metodo di autenticazione dopo la distribuzione, è necessario modificare manualmente il file di configurazione.

Agente di sicurezza basato su C#

Modificare Authentication.config con i parametri seguenti:

<Authentication>
  <add key="deviceId" value=""/>
  <add key="gatewayHostname" value=""/>
  <add key="filePath" value=""/>
  <add key="type" value=""/>
  <add key="identity" value=""/>
  <add key="certificateLocationKind" value="" />
</Authentication>

Agente di sicurezza basato su C

Modificare LocalConfiguration.json con i parametri seguenti:

"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}

Continua