Esaminare l'infrastruttura di sicurezza per IoT partendo dalle basi

  • 5 minuti

L'Internet of Things (IoT) pone numerose difficoltà in termini di sicurezza, privacy e conformità per le aziende di tutto il mondo. A differenza delle tecnologie informatiche tradizionali in cui questi problemi riguardano il software e la relativa implementazione, l'IoT riguarda le sfide poste dalla convergenza tra il mondo fisico e quello informatico. Per proteggere le soluzioni IoT, è necessario garantire il provisioning sicuro dei dispositivi, la connettività protetta tra questi dispositivi e il cloud e la protezione dei dati nel cloud durante l'elaborazione e l'archiviazione. A sfavore di queste funzionalità, tuttavia, giocano fattori quali dispositivi con risorse limitate, la distribuzione geografica delle implementazioni e un numero elevato di dispositivi all'interno di un'unica soluzione.

Microsoft Azure: protezione dell'infrastruttura IoT aziendale

Microsoft Azure offre una soluzione cloud completa, che combina una raccolta in continua crescita di servizi cloud integrati (analisi, machine learning, archiviazione, protezione, rete e web) con l'impegno, leader nel settore, verso la protezione e la privacy dei dati.

I sistemi Microsoft offrono prevenzione e rilevamento intrusione continui, prevenzione da attacchi ai servizi, test di penetrazione regolari e strumenti forensi che permettono di identificare e mitigare le minacce. L'autenticazione a più fattori fornisce un livello di sicurezza aggiuntivo per l'accesso alla rete da parte degli utenti finali. Per il provider dell'applicazione e dell'host, Microsoft offre controllo di accesso, monitoraggio, anti-malware, analisi delle vulnerabilità, patch e gestione della configurazione.

L'hub IoT di Azure offre un servizio completamente gestito che rende possibili comunicazioni bidirezionali affidabili e sicure tra dispositivi IoT e servizi di Azure, come Azure Machine Learning e Analisi di flusso di Azure, usando le credenziali di sicurezza per dispositivo e il controllo di accesso.

Proteggere il provisioning dei dispositivi e l'autenticazione

Il provisioning sicuro di dispositivi prevede la fornitura di una chiave di identità univoca per ogni dispositivo, che può essere usata dall'infrastruttura IoT per comunicare con il dispositivo mentre è in funzione. La chiave generata con un ID dispositivo scelto dall'utente costituisce la base di un token usato in tutte le comunicazioni tra il dispositivo e l'hub IoT di Azure.

L'ID dispositivo può essere associato a un dispositivo durante la produzione (ad esempio all'interno del trust module dell'hardware) o può usare un'identità fissa esistente come proxy (ad esempio i numeri di serie della CPU). Poiché la modifica di queste informazioni di identificazione del dispositivo non è semplice, è importante usare ID di dispositivo logici nell'eventualità che l'hardware del dispositivo cambi, ma che il dispositivo logico rimanga lo stesso. In alcuni casi, l'associazione dell'identità di un dispositivo può verificarsi in fase di distribuzione del dispositivo (ad esempio, un ingegnere autenticato configura fisicamente un nuovo dispositivo durante la comunicazione con il back-end della soluzione). Il Registro delle identità dell'hub IoT di Azure offre l'archiviazione protetta delle identità e delle chiavi di protezione del dispositivo per una soluzione. Le identità dei dispositivi, singolarmente o in gruppo, possono essere aggiunte a un elenco Consenti o Blocca, favorendo il controllo completo dell'accesso al dispositivo.

I criteri di controllo di accesso dell'hub IoT di Azure nel cloud consentono l'attivazione e la disattivazione dell'identità di qualsiasi dispositivo, offrendo un modo per annullare l'associazione di un dispositivo da una distribuzione IoT quando necessario. Associazione e dissociazione dei dispositivi sono basate su ogni identità dispositivo.

Altre funzionalità di sicurezza dei dispositivi includono:

  • I dispositivi non accettano connessioni di rete non richieste. I dispositivi stabiliscono tutte le connessioni e le route in modalità solo in uscita. Per ricevere un comando dal back-end, il dispositivo deve avviare una connessione per cercare eventuali comandi in sospeso da elaborare. Una volta stabilita una connessione sicura tra il dispositivo e l'hub IoT, le comunicazioni dal cloud al dispositivo e dal dispositivo al cloud possono essere inviate in modo trasparente.
  • I dispositivi in genere stabiliscono una connessione o una route solo con i servizi noti con peering, ad esempio l'hub IoT di Azure.
  • L'autorizzazione e l'autenticazione a livello di sistema usano le identità di ogni dispositivo; le credenziali e le autorizzazioni di accesso devono essere revocabili quasi immediatamente.

Proteggere la connettività

L'hub IoT di Azure supporta la connettività sicura usando protocolli comprovati del settore, ovvero HTTPS, AMQP e MQTT.

L'hub IoT di Azure offre resistenza delle comunicazioni tra cloud e dispositivi tramite un sistema di acknowledgment in risposta ai messaggi. Una durabilità aggiuntiva per la comunicazione si ottiene memorizzando i messaggi nella cache nell'hub IoT per un totale di sette giorni per i dati di telemetria e di due giorni per i comandi. Con questo approccio, i dispositivi che si connettono sporadicamente, a causa di problemi di alimentazione o connettività, potranno ricevere questi comandi. L'hub IoT di Azure mantiene una coda specifica per dispositivo.

La scalabilità richiede la capacità di interagire in modo sicuro con una vasta gamma di dispositivi. L'hub IoT di Azure consente la connessione sicura a dispositivi sia abilitati per IP che non (usando un dispositivo IoT Edge come gateway).

Altre funzionalità di sicurezza delle connessioni includono:

  • Il percorso di comunicazione tra i dispositivi e l'hub IoT di Azure o tra i gateway e l'hub IoT di Azure è protetto tramite il protocollo Transport Layer Security (TLS) standard del settore con l'hub IoT di Azure autenticato tramite il protocollo X.509.
  • Per proteggere i dispositivi da connessioni in ingresso non richieste, l'hub IoT di Azure non apre tutte le connessioni al dispositivo. Il dispositivo avvia tutte le connessioni.
  • L'hub IoT di Azure archivia i messaggi per i dispositivi sul lungo termine e attende che il dispositivo si connetta. Questi comandi vengono archiviati per due giorni, consentendo ai dispositivi di connettersi sporadicamente per ricevere i comandi, a causa di problemi di alimentazione o connettività. L'hub IoT di Azure mantiene una coda specifica per dispositivo.

Proteggere l'elaborazione e l'archiviazione nel cloud

Usando Microsoft Entra ID per l'autenticazione e l'autorizzazione degli utenti, l’hub IoT di Azure può fornire un modello di autorizzazione basato su criteri per i dati nel cloud, consentendo una semplice gestione degli accessi che possono essere controllati e modificati.

Una volta che i dati si trovano nel cloud, possono essere elaborati e archiviati in qualsiasi flusso di lavoro definito dall'utente. L'accesso a ogni parte dei dati viene controllato con Microsoft Entra ID, a seconda del servizio di archiviazione usato.

Tutte le chiavi usate dall'infrastruttura IoT vengono archiviate nel cloud in un archivio protetto, con la possibilità di eseguire il rollover nel caso in cui le chiavi debbano essere sottoposte a nuovo provisioning. I dati possono essere archiviati in Azure Cosmos DB o nei database SQL, consentendo la definizione del livello di protezione desiderato. In aggiunta, Azure offre un modo per monitorare e controllare tutti gli accessi ai dati, ricevendo avvertenze su qualsiasi intrusione o accesso non autorizzato.

Reti sicure

Per impostazione predefinita, i nomi host dell'hub IoT eseguono il mapping a un endpoint pubblico con un indirizzo IP instradabile pubblicamente su Internet. In questo modo, diversi clienti possono condividere l'endpoint pubblico dell'hub IoT e tutti i dispositivi IoT che si connettono tramite reti WAN o locali possono accedere all'hub. Possono tuttavia verificarsi situazioni in cui è opportuno limitare l'accesso alle risorse di Azure. Le soluzioni Azure IoT consentono di proteggere gli accessi ricorrendo al filtro IP o alle reti virtuali.

Per informazioni dettagliate sulla protezione dell'accesso alla rete, vedere le risorse seguenti: