Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure IoT Hub biedt een centrale berichtenhub voor bidirectionele communicatie tussen IoT-toepassingen en de apparaten die ze beheren. Bij het implementeren van deze service is het belangrijk om de aanbevolen beveiligingsprocedures te volgen om gegevens, configuraties en infrastructuur te beveiligen.
Dit artikel bevat richtlijnen voor het beveiligen van uw Azure IoT Hub-implementatie. Als u ook andere Azure IoT-services gebruikt, raadpleegt u Uw IoT-oplossingen beveiligen.
Netwerkbeveiliging
Het beveiligen van netwerktoegang tot uw IoT Hub is van cruciaal belang om onbevoegde toegang te voorkomen en de gegevens die tussen uw apparaten en de cloud stromen te beveiligen.
Privé-eindpunten inschakelen: vermijd blootstelling aan openbaar internet door verkeer via uw virtuele netwerk te routeren met Azure Private Link, zodat apparaten verbinding kunnen maken met uw IoT-hub zonder blootstelling aan het openbare internet. Zie ioT Hub-ondersteuning voor virtuele netwerken met Azure Private Link.
Openbare netwerktoegang uitschakelen: voorkom directe toegang vanaf het openbare internet door openbare eindpunten uit te schakelen wanneer u in plaats daarvan privé-eindpunten kunt gebruiken. Zie Openbare netwerktoegang voor uw IoT-hub beheren.
IP-filtering configureren: Verbindingen met uw IoT Hub beperken door alleen specifieke IP-adressen of bereiken toe te staan, waardoor de blootstelling aan potentiële aanvallen wordt beperkt. Zie IP-filtering voor IoT Hub.
TLS 1.2 en sterke coderingssuites afdwingen: versterking van de verbindingsbeveiliging door het gebruik van TLS 1.2 en aanbevolen coderingssuites af te dwingen voor alle apparaat- en serviceverbindingen. Zie tls-ondersteuning (Transport Layer Security) in IoT Hub.
Identiteits- en toegangsbeheer
Het juiste identiteits- en toegangsbeheer is essentieel voor het beheren van wie uw IoT Hub kan beheren en hoe apparaten zich hiertoe verifiëren.
Gebruik Microsoft Entra ID-verificatie: Implementeer Microsoft Entra-id (voorheen Azure AD) voor het verifiëren en autoriseren van service-API-aanvragen, waardoor meer gedetailleerd toegangsbeheer mogelijk is dan gedeeld toegangsbeleid. Zie Toegang tot IoT Hub beheren met behulp van Azure Active Directory.
Implementeer Azure RBAC voor gedetailleerde machtigingen: wijs op rollen gebaseerd toegangsbeheer op basis van minimale bevoegdheden toe aan gebruikers en toepassingen die toegang hebben tot IoT Hub-beheer-API's, waardoor het risico op niet-geautoriseerde bewerkingen wordt verminderd. Zie Toegang tot IoT Hub beheren met behulp van azure RBAC-roltoewijzing.
X.509-certificaten gebruiken voor apparaatverificatie: Implementeer X.509-verificatie op basis van certificaten in plaats van SAS-tokens voor productieomgevingen om de beveiliging te verbeteren en betere referentiebeheer mogelijk te maken. Zie Identiteiten verifiëren met X.509-certificaten.
Vermijd gedeelde symmetrische sleutels op apparaten: wijs unieke referenties toe aan elk apparaat om wijdverspreide inbreuk te voorkomen als één sleutel wordt gelekt, waardoor de impact van potentiële blootstelling aan referenties wordt beperkt. Zie Beveiligingsprocedures voor apparaatfabrikanten.
Beleid voor gedeelde toegang uitschakelen wanneer dit niet nodig is: verminder het kwetsbaarheid voor aanvallen door beleid en tokens voor gedeelde toegang uit te schakelen bij het gebruik van Microsoft Entra-id voor verificatie. Zie Microsoft Entra-verificatie afdwingen.
Gegevensbescherming
Het beveiligen van gegevens in transit en at rest is essentieel voor het handhaven van de vertrouwelijkheid en integriteit van uw IoT-oplossing.
Gebruik hardwarebeveiligingsmodules voor apparaatgeheimen: Bewaar apparaatcertificaten en persoonlijke sleutels in HSM's (Hardware Security Modules) om te beschermen tegen extractie en manipulatie, waardoor de beveiliging van verificatiereferenties wordt verbeterd. Zie de hardwarebeveiligingsmodule.
Gegevensversleuteling op apparaatniveau implementeren: gevoelige gegevens op apparaten versleutelen voordat ze worden verzonden naar IoT Hub om een extra beveiligingslaag toe te voegen buiten TLS, met name voor zeer gevoelige informatie. Naast het versleutelen van gevoelige gegevens op apparaten voordat ze worden verzonden naar IoT Hub, moet u ervoor zorgen dat gegevens die worden opgeslagen in stateful componenten van Azure IoT, zoals apparaat-tweelingen, ook worden versleuteld. Dit geldt voor communicatie tussen apparaten en cloud-naar-apparaat. Zie Data Protection at rest via standaardversleutelingsalgoritmen.
Gebruik de nieuwste SDK-versies: Zorg ervoor dat u de meest recente SDK's voor IoT Hub-apparaten gebruikt die verschillende beveiligingsfuncties implementeren, waaronder versleuteling en verificatie. Zie Azure IoT SDK's.
Basis-CA-certificaten bijgewerkt houden: werk de vertrouwde basiscertificaten op uw apparaten regelmatig bij om beveiligde TLS-verbindingen te onderhouden, waardoor verbindingsfouten worden voorkomen vanwege verlopen of ingetrokken certificaten. Zie ondersteuning voor IoT Hub TLS.
Logboekregistratie en bewaking
Uitgebreide logboekregistratie en bewaking is essentieel voor het detecteren en reageren op mogelijke beveiligingsproblemen in uw IoT-oplossing.
Resourcelogboeken inschakelen voor verbindingen en apparaattelemetrie: configureer diagnostische instellingen voor het verzenden van IoT Hub-resourcelogboeken naar Azure Monitor-logboeken om verbindingspogingen, fouten en bewerkingen voor beveiligingsonderzoek bij te houden. Zie Problemen bewaken en diagnosticeren in uw IoT-hub.
Waarschuwingen instellen voor verbindingsproblemen: maak waarschuwingen op basis van metrische gegevens en logboeken om ongebruikelijke patronen te detecteren, zoals herhaalde verificatiefouten of onverwachte verbroken verbindingen die mogelijk beveiligingsproblemen aangeven. Zie Azure IoT Hub-apparaatconnectiviteit bewaken, diagnosticeren en oplossen.
Schakel Microsoft Defender for IoT in: Activeer Microsoft Defender for IoT op uw IoT Hub om realtime beveiligingsbewaking, aanbevelingen en waarschuwingen te krijgen voor mogelijke bedreigingen die gericht zijn op uw IoT-oplossing. Zie quickstart: Microsoft Defender for IoT inschakelen op uw Azure IoT Hub.
Sdk-versies van apparaten bewaken: houd de SDK-versies bij die worden gebruikt door apparaten te verbinden om ervoor te zorgen dat ze beveiligde en up-to-datumversies gebruiken die de meest recente beveiligingspatches bevatten. Zie Bewaking van Azure IoT Hub.
Naleving en bestuur
Het vaststellen van de juiste governance en het waarborgen van naleving van beveiligingsstandaarden zijn belangrijke aspecten van het onderhouden van een veilige IoT-oplossing.
Azure Policy toepassen voor IoT Hub: Azure Policy implementeren om beveiligingsconfiguraties af te dwingen en te controleren in uw IoT-hubs, zodat consistente beveiligingsstandaarden worden gehandhaafd. Zie ingebouwde Azure Policy-definities voor Azure IoT Hub.
Regelmatig toegangsmachtigingen controleren: controleer en valideer de toegangsmachtigingen die aan gebruikers, toepassingen en apparaten zijn verleend om ervoor te zorgen dat ze voldoen aan het principe van minimale bevoegdheden. Zie best practices voor identiteitsbeheer.
Diagnostische instellingen inschakelen voor controle: configureer diagnostische instellingen voor het vastleggen en archiveren van auditlogboeken voor uw IoT Hub ter ondersteuning van beveiligingsonderzoeken en nalevingsvereisten. Zie Resourcelogboeken in IoT Hub moeten zijn ingeschakeld.
Netwerkmicrosegmentatie implementeren: IoT-apparaten logisch scheiden van andere organisatieresources door microsegmentatie van het netwerk te implementeren, waardoor de potentiële straal van een beveiligingsincident wordt beperkt. Zie Netwerksegmentatie.
Apparaatbeveiliging
Het beveiligen van de apparaten die verbinding maken met uw IoT Hub is essentieel voor de algehele beveiliging van uw IoT-oplossing.
Gebruik referenties voor hernieuwbare apparaten: implementeer een proces voor het regelmatig bijwerken van apparaatreferenties, zoals rolling X.509-certificaten, om de impact van aangetaste verificatie te beperken. Zie X.509-apparaatcertificaten rolleren.
Updateagents implementeren op apparaten: zorg ervoor dat apparaten updateagents hebben voor het ontvangen en toepassen van beveiligingsupdates, waardoor firmware en software gedurende de levenscyclus van het apparaat veilig blijven. Zie Apparaatupdate voor IoT Hub.
Veilige apparaatinrichting implementeren: Gebruik Azure IoT Hub Device Provisioning Service (DPS) voor veilige, zero-touch inrichting van apparaten op schaal met de juiste verificatiemechanismen. Zie IoT Hub Device Provisioning Service.
Gebruik Trusted Platform Modules: Implementeer apparaten met hardwaregebaseerde beveiligingsfuncties zoals Trusted Platform Modules (TPM's) om veilige opslag te bieden voor cryptografische sleutels en te beschermen tegen fysieke manipulatie. Zie TPM-attestation.
Toegang intrekken voor gecompromitteerde apparaten: implementeer procedures om de toegang snel in te trekken voor apparaten die tekenen van inbreuk vertonen, waardoor ze geen verbinding kunnen maken met uw IoT Hub en mogelijk van invloed zijn op andere apparaten. Zie Apparaattoegang intrekken.