보안 권장 사항 검토
Microsoft는 IoT 솔루션으로 작업하는 개인 및 기업에 대해 다음과 같은 보안 권장 사항을 제안합니다. 이러한 권장 사항을 구현하면 Microsoft의 공동 책임 모델에서 설명된 보안 의무를 이행할 수 있습니다.
아래에 설명된 권장 사항 중 일부는 클라우드용 Microsoft Defender에서 자동으로 모니터링할 수 있습니다. 클라우드용 Microsoft Defender(Azure Security Center 및 Azure Defender는 이제 클라우드용 Microsoft Defender라고 함)는 Azure에서 리소스를 보호하는 첫 번째 방어선입니다. 이는 Azure 리소스의 보안 상태를 정기적으로 분석하여 잠재적인 보안 취약성을 식별합니다. 그런 다음 이를 해결하는 방법에 대한 권장 사항을 제공합니다.
일반
권장
설명
최신 정보를 유지합니다.
최신 버전의 지원되는 플랫폼, 프로그래밍 언어, 프로토콜 및 프레임워크를 사용합니다.
인증 키를 안전하게 유지합니다.
배포 후 디바이스 ID와 해당 인증 키를 물리적으로 안전하게 유지합니다. 이를 통해 등록된 디바이스로 가장하는 악성 디바이스를 방지할 수 있습니다.
가능하면 디바이스 SDK를 사용합니다.
디바이스 SDK는 강력하고 안전한 디바이스 응용 프로그램을 개발하는 데 도움이 되도록 암호화, 인증 등의 보안 기능을 구현합니다. SDK에 대한 Microsoft의 지속적인 투자는 새로운 보안 개선에 대한 지원이 추가됨에 따라 혜택이 제공됨을 의미합니다.
ID 및 액세스 관리
권장
설명
허브에 대한 액세스 제어를 정의합니다.
기능에 따라 각 구성 요소가 IoT Hub 솔루션에서 갖게 될 액세스 유형을 이해하고 정의합니다. 허용되는 권한은 Registry Read, RegistryReadWrite, ServiceConnect, DeviceConnect입니다. IoT Hub의 기본 공유 액세스 정책은 해당 역할에 따라 각 구성 요소에 대한 사용 권한을 정의하는 데에도 도움이 됩니다.
백 엔드 서비스에 대한 액세스 제어를 정의합니다.
IoT Hub 솔루션에 의해 수집된 데이터는 Cosmos DB, Stream Analytics, App Service, Logic Apps, 및 Blob storage와 같은 다른 Azure 서비스에서 사용될 수 있습니다. 이러한 서비스에 대해 문서화된 적절한 액세스 권한을 이해하고 허용해야 합니다.
데이터 보호
권장
설명
디바이스 인증을 보호합니다.
각 디바이스에 고유 ID 키 또는 보안 토큰 또는 디바이스 내 X.509 인증서를 사용하여 디바이스와 IoT Hub 간에 안전한 통신을 보장합니다. 적절한 방법을 사용하여 선택한 프로토콜(MQTT, AMQP 또는 HTTPS)에 따라 보안 토큰을 사용합니다.
디바이스 통신을 보호합니다.
IoT Hub는 버전 1.2 및 1.0을 지원하는 TLS(전송 계층 보안) 표준을 사용하여 디바이스에 대한 연결을 보호합니다. TLS 1.2를 사용하여 보안 수준을 최대화합니다.
서비스 통신을 보호합니다.
IoT Hub는 TLS 프로토콜만 사용하여 Azure Storage 또는 Event Hubs와 같은 백 엔드 서비스에 연결하는 엔드포인트를 제공하며 암호화되지 않은 채널에는 엔드포인트가 노출되지 않습니다. 이 데이터가 저장 또는 분석을 위해 이러한 백 엔드 서비스에 연결되면 해당 서비스에 적합한 보안 및 암호화 방법을 사용하고, 백 엔드에서 민감한 정보를 보호해야 합니다.
네트워킹
권장
설명
디바이스에 대한 액세스를 보호합니다.
원치 않는 액세스를 방지하기 위해 디바이스의 하드웨어 포트를 최소한의 상태로 유지합니다. 또한 디바이스의 물리적 변조를 방지하거나 검색하는 메커니즘을 빌드합니다. 자세한 내용은 IoT 보안 모범 사례를 참조하세요.
보안 하드웨어를 빌드합니다.
암호화된 스토리지 또는 TPM(신뢰할 수 있는 플랫폼 모듈)과 같은 보안 기능을 통합하여 디바이스와 인프라를 더욱 안전하게 유지합니다. 디바이스 운영 체제 및 드라이버를 최신 버전으로 업그레이드하고, 공간에서 허용하는 경우에는 바이러스 백신 및 맬웨어 방지 기능을 설치합니다. IoT 보안 아키텍처를 읽고 이를 통해 여러 보안 위협을 완화하는 방법을 알아보세요.
모니터링
권장
설명
디바이스에 대한 무단 액세스를 모니터링합니다.
디바이스 운영 체제의 로깅 기능을 사용하여 보안 위반이나 디바이스 또는 해당 포트의 물리적 변조를 모니터링합니다.
클라우드에서 IoT 솔루션을 모니터링합니다.
Azure Monitor 메트릭을 사용하여 IoT Hub 솔루션의 전반적인 상태를 모니터링합니다.
진단을 설정합니다.
솔루션에서 이벤트를 로깅한 다음, 진단 로그를 Azure Monitor로 보내 성능을 파악하여 작업을 면밀히 관찰합니다. 자세한 내용은 IoT Hub의 모니터링 및 진단 문제를 참조하세요.