Bewerken

Een beveiligingsmodule implementeren op uw IoT Edge-apparaat

  • Uitleg

Defender for IoT-module biedt een uitgebreide beveiligingsoplossing voor uw IoT Edge-apparaten. De beveiligingsmodule verzamelt, aggregeert en analyseert onbewerkte beveiligingsgegevens van uw besturingssysteem en containersysteem in bruikbare beveiligingsaanbevelingen en -waarschuwingen. Zie de beveiligingsmodule voor IoT Edge voor meer informatie.

In dit artikel leert u hoe u een beveiligingsmodule implementeert op uw IoT Edge-apparaat.

Vereisten

  1. Zorg ervoor dat uw apparaat in uw IoT Hub een nieuw apparaat registreert.

  2. Voor de Defender for IoT Edge-module is vereist dat het AuditD-framework is geïnstalleerd op het IoT Edge-apparaat.

    • Installeer het framework door de volgende opdracht uit te voeren op uw IoT Edge-apparaat:

      sudo apt-get install auditd audispd-plugins

    • Controleer of AuditD actief is door de volgende opdracht uit te voeren:

      sudo systemctl status auditd

    • Verwacht antwoord is: active (running)

Beveiligingsmodule implementeren

Gebruik de volgende stappen om een Defender for IoT-beveiligingsmodule voor IoT Edge te implementeren.

Implementatie met behulp van Azure Portal

  1. Open Marketplace vanuit Azure Portal.

  2. Selecteer Internet of Things, zoek naar Azure Security Center voor IoT en selecteer het.

    Schermopname waarin Defender for IoT wordt geselecteerd.

  3. Selecteer Maken om de implementatie te configureren.

  4. Kies het Azure-abonnement van uw IoT Hub en selecteer vervolgens uw IoT Hub.
    Selecteer Implementeren op een apparaat om één apparaat te targeten of selecteer Implementeren op schaal om meerdere apparaten te targeten en selecteer Maken. Zie Implementeren op schaal voor meer informatie over het implementeren op schaal.

    Notitie

    Als u Implementeren op schaal hebt geselecteerd, voegt u de apparaatnaam en details toe voordat u verdergaat met het tabblad Modules toevoegen in de volgende instructies.

    Voltooi elke stap om uw IoT Edge-implementatie voor Defender for IoT te voltooien.

    Stap 1: Modules

    1. Selecteer de AzureSecurityCenterforIoT-module .

    2. Wijzig op het tabblad Module Instellingen de naam in azureiotsecurity.

    3. Voeg op het tabblad Omgevingsvariabelen indien nodig een variabele toe (u kunt bijvoorbeeld het foutopsporingsniveau toevoegen en deze instellen op een van de volgende waarden: 'Fatal', 'Error', 'Warning' of 'Information').

    4. Voeg op het tabblad Opties voor container maken de volgende configuratie toe:

      {
    "NetworkingConfig": {
        "EndpointsConfig": {
            "host": {}
        }
    },
    "HostConfig": {
        "Privileged": true,
        "NetworkMode": "host",
        "PidMode": "host",
        "Binds": [
            "/:/host"
        ]
    }
}

    5. Voeg op het tabblad Moduledubbel Instellingen de volgende configuratie toe:

      Eigenschap moduledubbel:

        "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration"

      Inhoud van eigenschap moduledubbel:

        {

  }

      Zie Beveiligingsagents configureren voor meer informatie over het configureren van de agent.

    6. Selecteer Bijwerken.

    Stap 2: Runtime-instellingen

    1. Selecteer Runtime-Instellingen.

    2. Wijzig onder Edge Hub de installatiekopieën in mcr.microsoft.com/azureiotedge-hub:1.0.8.3.

      Notitie

      Op dit moment wordt versie 1.0.8.3 of ouder ondersteund.

    3. Controleer of Opties voor maken is ingesteld op de volgende configuratie:

      {
  "HostConfig":{
      "PortBindings":{
        "8883/tcp":[
            {
              "HostPort":"8883"
            }
        ],
        "443/tcp":[
            {
              "HostPort":"443"
            }
        ],
        "5671/tcp":[
            {
              "HostPort":"5671"
            }
        ]
      }
  }
}

    4. Selecteer Opslaan.

    5. Selecteer Volgende.

    Stap 3: Routes opgeven

    1. Controleer op het tabblad Routes opgeven of u een route (expliciet of impliciet) hebt waarmee berichten van de azureiotsecurity-module worden doorgestuurd naar $upstream volgens de volgende voorbeelden. Alleen wanneer de route is ingesteld, selecteert u Volgende.

      Voorbeeldroutes:

      "route": "FROM /messages/* INTO $upstream"

      "ASCForIoTRoute": "FROM /messages/modules/azureiotsecurity/* INTO $upstream"

    2. Selecteer Volgende.

    Stap 4: Implementatie controleren

    • Controleer uw implementatiegegevens op het tabblad Implementatie controleren en selecteer vervolgens Maken om de implementatie te voltooien.

Diagnostische stappen

Als u een probleem ondervindt, zijn containerlogboeken de beste manier om meer te weten te komen over de status van een IoT Edge-beveiligingsmoduleapparaat. Gebruik de opdrachten en hulpprogramma's in deze sectie om informatie te verzamelen.

Controleer of de vereiste containers zijn geïnstalleerd en werken zoals verwacht

  1. Voer de volgende opdracht uit op uw IoT Edge-apparaat:

    sudo docker ps

  2. Controleer of de volgende containers worden uitgevoerd:

    Naam AFBEELDING
    azureiotsecurity mcr.microsoft.com/ascforiot/azureiotsecurity:1.0.2
    edgeHub mcr.microsoft.com/azureiotedge-hub:1.0.8.3
    edgeAgent mcr.microsoft.com/azureiotedge-agent:1.0.1

    Als de minimaal vereiste containers niet aanwezig zijn, controleert u of uw IoT Edge-implementatiemanifest is afgestemd op de aanbevolen instellingen. Zie De IoT Edge-module implementeren voor meer informatie.

De modulelogboeken controleren op fouten

  1. Voer de volgende opdracht uit op uw IoT Edge-apparaat:

    sudo docker logs azureiotsecurity

  2. Voor uitgebreidere logboeken voegt u de volgende omgevingsvariabele toe aan de implementatie van de azureiotsecurity-module : logLevel=Debug.

Gerelateerde inhoud