Esaminare le raccomandazioni sulla sicurezza
Microsoft suggerisce le raccomandazioni di sicurezza seguenti per utenti e aziende che lavorano su soluzioni IoT. Implementando queste raccomandazioni sarà possibile adeguarsi gli obblighi di sicurezza descritti nel modello di responsabilità condivisa di Microsoft.
Alcune raccomandazioni fornite di seguito possono essere monitorate automaticamente da Microsoft Defender per il cloud. Microsoft Defender per il cloud (Centro sicurezza di Azure e Azure Defender sono ora chiamati Microsoft Defender per il cloud) è la prima linea di difesa per proteggere le risorse in Azure. analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificare potenziali vulnerabilità di sicurezza e fornisce raccomandazioni per affrontarle in modo efficace.
Generali
Consiglio
Commenti
Rimanere aggiornati.
Usare le versioni più recenti di piattaforme, linguaggi di programmazione, protocolli e framework supportati.
Mantenere al sicuro le chiavi di autenticazione.
Mantenere gli ID dispositivo e le relative chiavi di autenticazione fisicamente al sicuro dopo la distribuzione. In questo modo si evita il mascheramento di un dispositivo dannoso come dispositivo registrato.
Usare gli SDK per dispositivi quando possibile.
Gli SDK per dispositivi implementano funzionalità di sicurezza, ad esempio crittografia, autenticazione e così via, per facilitare lo sviluppo di applicazioni affidabili e sicure per i dispositivi. Grazie all'investimento continuo di Microsoft negli SDK, si potrà trarre vantaggio dal supporto per i nuovi miglioramenti della sicurezza non appena vengono aggiunti.
Gestione delle identità e dell'accesso
Consiglio
Commenti
Definire il controllo di accesso per l'hub.
Comprendere e definire il tipo di accesso che ogni componente avrà nella soluzione hub IoT, in base alle funzionalità. Le autorizzazioni consentite sono RegistryRead, RegistryReadWrite, ServiceConnect e DeviceConnect. Anche i criteri di accesso condiviso predefiniti nell'hub IoT possono risultare utili per definire le autorizzazioni per ogni componente in base al ruolo.
Definire il controllo di accesso per i servizi back-end.
I dati inseriti dalla soluzione hub IoT possono essere utilizzati da altri servizi di Azure, ad esempio Cosmos DB, Analisi di flusso, Servizio app, App per la logica e Archiviazione BLOB. Assicurarsi di comprendere e consentire le autorizzazioni di accesso appropriate come documentato per questi servizi.
Protezione dei dati
Consiglio
Commenti
Proteggere l'autenticazione dei dispositivi.
Proteggere la comunicazione tra i dispositivi e l'hub IoT usando una chiave di identità univoca o un token di sicurezza oppure un certificato X.509 su ogni dispositivo. Scegliere il metodo appropriato per usare i token di sicurezza in base al protocollo selezionato (MQTT, AMQP o HTTPS).
Proteggere la comunicazione dei dispositivi.
L'hub IoT protegge la connessione ai dispositivi usando lo standard TLS (Transport Layer Security), con il supporto delle versioni 1.2 e 1.0. Usare TLS 1.2 per garantire la massima sicurezza.
Proteggere la comunicazione dei servizi.
L'hub IoT fornisce endpoint per connettersi ai servizi back-end, ad esempio Archiviazione di Azure o Hub eventi usando solo il protocollo TLS e non viene esposto alcun endpoint in un canale non crittografato. Quando questi dati raggiungono questi servizi back-end per l'archiviazione o l'analisi, assicurarsi di adottare metodi di sicurezza e crittografia appropriati per ogni servizio e di proteggere le informazioni riservate nel back-end.
Rete
Consiglio
Commenti
Proteggere l'accesso ai dispositivi.
Mantenere al minimo indispensabile il numero di porte hardware nei dispositivi per evitare l'accesso indesiderato. Inoltre, creare meccanismi per prevenire o rilevare manomissioni fisiche del dispositivo. Per informazioni dettagliate, vedere le procedure consigliate per la sicurezza per IoT.
Creare hardware sicuro.
Incorporare funzionalità di sicurezza come l'archiviazione crittografata o TPM (Trusted Platform Module) per proteggere ulteriormente i dispositivi e l'infrastruttura. Mantenere aggiornati il sistema operativo e i driver del dispositivo alle versioni più recenti e, se lo spazio consente, installare funzionalità antivirus e antimalware. Vedere Architettura della sicurezza per IoT per capire in che modo queste misure possono contribuire a ridurre diverse minacce alla sicurezza.
Monitoraggio
Consiglio
Commenti
Monitorare l'accesso non autorizzato ai dispositivi.
Usare la funzionalità di registrazione del sistema operativo del dispositivo per monitorare eventuali violazioni della sicurezza o manomissioni fisiche del dispositivo o delle relative porte.
Monitorare la soluzione IoT dal cloud.
Monitorare l'integrità complessiva della soluzione hub IoT usando le metriche di Monitoraggio di Azure.
Configurare la diagnostica.
Monitorare attentamente le operazioni registrando gli eventi nella soluzione e quindi inviando i log di diagnostica a Monitoraggio di Azure per ottenere visibilità sulle prestazioni. Per altre informazioni, vedere Monitorare e diagnosticare i problemi nell'hub IoT.