Een beveiligingsmodule implementeren op uw IoT Edge-apparaat

  • Artikel
  • 3 minuten om te lezen

De Defender for IoT-module biedt een uitgebreide beveiligingsoplossing voor uw IoT Edge apparaten. De beveiligingsmodule verzamelt, aggregeert en analyseert onbewerkte beveiligingsgegevens van uw besturingssysteem en containersysteem in bruikbare beveiligingsaanbevelingen en -waarschuwingen. Zie Beveiligingsmodule voor IoT Edge voor meer informatie.

In dit artikel leert u hoe u een beveiligingsmodule implementeert op uw IoT Edge-apparaat.

Beveiligingsmodule implementeren

Gebruik de volgende stappen om een Defender for IoT-beveiligingsmodule voor IoT Edge te implementeren.

Vereisten

  1. Controleer in uw IoT Hub of uw apparaat een nieuw apparaat registreren is.

  2. Defender voor IoT Edge-module vereist dat het AuditD-framework is geïnstalleerd op het IoT Edge-apparaat.

    • Installeer het framework door de volgende opdracht uit te voeren op uw IoT Edge apparaat:

    sudo apt-get install auditd audispd-plugins

    • Controleer of AuditD actief is door de volgende opdracht uit te voeren:

    sudo systemctl status auditd

    • Verwacht antwoord is: active (running)

Implementatie met behulp van Azure Portal

  1. Open Marketplace vanuit de Azure Portal.

  2. Selecteer Internet of Things, zoek naar Azure Security Center voor IoT en selecteer dit.

    Selecteer Defender for IoT

  3. Selecteer Maken om de implementatie te configureren.

  4. Kies het Azure-abonnement van uw IoT Hub en selecteer vervolgens uw IoT Hub.
    Selecteer Implementeren op een apparaat om één apparaat te targeten of selecteer Implementeren op schaal om meerdere apparaten te targeten selecteer Maken. Zie Implementeren voor meer informatie over het implementeren op schaal.

    Notitie

    Als u Implementeren op schaal hebt geselecteerd, voegt u de apparaatnaam en details toe voordat u verdergaat met het tabblad Modules toevoegen in de volgende instructies.

Voer elke stap uit om uw IoT Edge-implementatie voor Defender for IoT te voltooien.

Stap 1: Modules

  1. Selecteer de module AzureSecurityCenterforIoT .

  2. Wijzig op het tabblad Module-instellingen de naam in azureiotsecurity.

  3. Voeg op het tabblad Omgevingsvariabelen indien nodig een variabele toe (u kunt bijvoorbeeld het foutopsporingsniveau toevoegen en instellen op een van de volgende waarden: 'Fatal', 'Error', 'Warning' of 'Information').

  4. Voeg op het tabblad Opties voor het maken van containers de volgende configuratie toe:

    {
    "NetworkingConfig": {
        "EndpointsConfig": {
            "host": {}
        }
    },
    "HostConfig": {
        "Privileged": true,
        "NetworkMode": "host",
        "PidMode": "host",
        "Binds": [
            "/:/host"
        ]
    }
}

  5. Voeg op het tabblad Instellingen voor moduledubbels de volgende configuratie toe:

    Eigenschap moduledubbel:

      "ms_iotn:urn_azureiot_Security_SecurityAgentConfiguration"

    Inhoud van moduledubbeleigenschap:

      {

  }

    Zie Beveiligingsagents configureren voor meer informatie over het configureren van de agent.

  6. Selecteer Update.

Stap 2: Runtime-instellingen

  1. Selecteer Runtime-instellingen.

  2. Wijzig onder Edge Hub de afbeelding in mcr.microsoft.com/azureiotedge-hub:1.0.8.3.

    Notitie

    Momenteel wordt versie 1.0.8.3 of ouder ondersteund.

  3. Controleer of Opties maken is ingesteld op de volgende configuratie:

    {
   "HostConfig":{
      "PortBindings":{
         "8883/tcp":[
            {
               "HostPort":"8883"
            }
         ],
         "443/tcp":[
            {
               "HostPort":"443"
            }
         ],
         "5671/tcp":[
            {
               "HostPort":"5671"
            }
         ]
      }
   }
}

  4. Selecteer Opslaan.

  5. Selecteer Next.

Stap 3: routes opgeven

  1. Controleer op het tabblad Routes opgeven of u een route (expliciet of impliciet) hebt waarmee berichten van de module azureiotsecurity worden doorgestuurd naar $upstream volgens de volgende voorbeelden. Alleen wanneer de route aanwezig is, selecteert u Volgende.

    Voorbeeldroutes:

    "route": "FROM /messages/* INTO $upstream"

    "ASCForIoTRoute": "FROM /messages/modules/azureiotsecurity/* INTO $upstream"

  2. Selecteer Next.

Stap 4: implementatie controleren

  • Controleer op het tabblad Implementatie controleren uw implementatiegegevens en selecteer vervolgens Maken om de implementatie te voltooien.

Diagnostische stappen

Als u een probleem ondervindt, zijn containerlogboeken de beste manier om meer te weten te komen over de status van een IoT Edge beveiligingsmoduleapparaat. Gebruik de opdrachten en hulpprogramma's in deze sectie om informatie te verzamelen.

Controleer of de vereiste containers zijn geïnstalleerd en werken zoals verwacht

  1. Voer de volgende opdracht uit op uw IoT Edge apparaat:

    sudo docker ps

  2. Controleer of de volgende containers worden uitgevoerd:

    Naam AFBEELDING
    azureiotsecurity mcr.microsoft.com/ascforiot/azureiotsecurity:1.0.2
    edgeHub mcr.microsoft.com/azureiotedge-hub:1.0.8.3
    edgeAgent mcr.microsoft.com/azureiotedge-agent:1.0.1

    Als de minimaal vereiste containers niet aanwezig zijn, controleert u of uw IoT Edge implementatiemanifest is afgestemd op de aanbevolen instellingen. Zie Module IoT Edge implementeren voor meer informatie.

De modulelogboeken controleren op fouten

  1. Voer de volgende opdracht uit op uw IoT Edge apparaat:

    sudo docker logs azureiotsecurity

  2. Voor uitgebreidere logboeken voegt u de volgende omgevingsvariabele toe aan de implementatie van de azureiotsecurity-module : logLevel=Debug.

Volgende stappen

Ga verder met de handleiding voor moduleconfiguratie voor meer informatie over configuratieopties.

Instructies voor moduleconfiguratie