Lezen in het Engels

Delen via


Aanbevolen beveiligingsprocedures voor IoT-oplossingen

In dit overzicht worden de belangrijkste concepten geïntroduceerd voor het beveiligen van een typische Azure IoT-oplossing. Elke sectie bevat koppelingen naar inhoud die meer details en richtlijnen biedt.

In het volgende diagram ziet u een algemeen overzicht van de onderdelen in een typische IoT-oplossing op basis van edge. Dit artikel is gericht op de beveiliging van een IoT-oplossing op basis van edge:

Diagram met de op hoog niveau gebaseerde ioT Edge-oplossingsarchitectuur waarin beveiliging wordt gemarkeerd.

U kunt beveiliging in een IoT-oplossing op basis van edge in de volgende drie gebieden verdelen:

  • Assetbeveiliging: beveilig het fysieke of virtuele waarde-item van waaruit u gegevens wilt beheren, bewaken en verzamelen.

  • Verbindingsbeveiliging: zorg ervoor dat alle gegevens die worden verzonden tussen de asset, edge en cloudservices vertrouwelijk en manipulatiebestendig zijn.

  • Edge-beveiliging: beveilig uw gegevens terwijl deze worden doorlopen en worden opgeslagen in de rand.

  • Cloudbeveiliging: beveilig uw gegevens terwijl deze worden doorlopen en worden opgeslagen in de cloud.

Normaal gesproken wilt u uw end-to-end-bewerkingen beveiligen met behulp van azure-beveiligingsmogelijkheden. Azure IoT Operations heeft ingebouwde beveiligingsmogelijkheden, zoals geheimenbeheer, certificaatbeheer en beveiligde instellingen op een Kubernetes-cluster met Azure Arc. Wanneer een Kubernetes-cluster is verbonden met Azure, wordt er een uitgaande verbinding met Azure gestart, met behulp van industriestandaard SSL voor het beveiligen van gegevens tijdens overdracht en zijn verschillende andere beveiligingsfuncties ingeschakeld, zoals:

Microsoft Defender voor IoT en voor containers

Microsoft Defender voor IoT is een geïntegreerde beveiligingsoplossing die speciaal is gebouwd om IoT- en operationele technologieapparaten (OT) te identificeren, beveiligingsproblemen en bedreigingen. Microsoft Defender for Containers is een cloudeigen oplossing voor het verbeteren, bewaken en onderhouden van de beveiliging van uw containerassets (Kubernetes-clusters, Kubernetes-knooppunten, Kubernetes-workloads, containerregisters, containerinstallatiekopieën en meer) en hun toepassingen, in meerdere cloud- en on-premises omgevingen.

Zowel Defender for IoT als Defender for Containers kan automatisch enkele van de aanbevelingen in dit artikel bewaken. Defender for IoT en Defender for Containers moeten de frontline van verdediging zijn om uw edge-oplossing te beveiligen. Raadpleeg voor meer informatie:

Activabeveiliging

  • Geheimenbeheer: Gebruik Azure Key Vault om gevoelige informatie van assets op te slaan en te beheren, zoals sleutels, wachtwoorden, certificaten en geheimen. Azure IoT Operations maakt gebruik van Azure Key Vault als de beheerde kluisoplossing in de cloud en maakt gebruik van de Azure Key Vault Secret Store-extensie voor Kubernetes om de geheimen offline vanuit de cloud te synchroniseren en op te slaan als Kubernetes-geheimen. Zie Geheimen beheren voor uw Azure IoT Operations-implementatie voor meer informatie.

  • Certificaatbeheer: het beheren van certificaten is van cruciaal belang voor veilige communicatie tussen assets en uw edge-runtime-omgeving. Azure IoT Operations biedt hulpprogramma's voor het beheren van certificaten, waaronder het uitgeven, vernieuwen en intrekken van certificaten. Zie Certificaatbeheer voor interne communicatie van Azure IoT Operations voor meer informatie.

  • Selecteer manipulatiebestendige hardware voor assets: kies assethardware met ingebouwde mechanismen om fysieke manipulatie te detecteren, zoals het openen van het apparaatdeksel of het verwijderen van een deel van het apparaat. Deze manipulatiesignalen kunnen deel uitmaken van de gegevensstroom die is geüpload naar de cloud, waarbij operators worden gewaarschuwd voor deze gebeurtenissen.

  • Veilige updates inschakelen voor assetfirmware: gebruik services die updates voor uw assets via de lucht inschakelen. Bouw assets met beveiligde paden voor updates en cryptografische zekerheid van firmwareversies om uw assets tijdens en na updates te beveiligen.

  • Assethardware veilig implementeren: Zorg ervoor dat de hardware-implementatie van assets zo manipulatiebestendig mogelijk is, met name op onbeveiligde locaties, zoals openbare ruimten of landinstellingen zonder supervisie. Schakel alleen de benodigde functies in om de fysieke aanvalsvoetafdruk te minimaliseren, zoals veilige dekking van USB-poorten als ze niet nodig zijn.

  • Volg de best practices voor beveiliging en implementatie van apparaatfabrikant: als de fabrikant van het apparaat richtlijnen voor beveiliging en implementatie biedt, volgt u deze richtlijnen naast de algemene richtlijnen die in dit artikel worden vermeld.

Verbindingsbeveiliging

  • Gebruik Transport Layer Security (TLS) om verbindingen van assets te beveiligen: alle communicatie binnen Azure IoT-bewerkingen wordt versleuteld met BEHULP van TLS. Azure IoT Operations wordt geïmplementeerd met een standaard-CA en verlener voor TLS-servercertificaten om een veilige standaardervaring te bieden waarmee uw edge-oplossing voor aanvallers wordt geminimaliseerd. Voor een productie-implementatie raden we u aan uw eigen CA-verlener en een enterprise PKI-oplossing te gebruiken.

  • Overweeg om bedrijfsfirewalls of proxy's te gebruiken om uitgaand verkeer te beheren: als u bedrijfsfirewalls of proxy's gebruikt, voegt u de Azure IoT Operations-eindpunten toe aan uw acceptatielijst.

  • Intern verkeer van berichtenbroker versleutelen: de beveiliging van interne communicatie binnen uw edge-infrastructuur is belangrijk om de integriteit en vertrouwelijkheid van gegevens te behouden. U moet de MQTT-broker configureren voor het versleutelen van intern verkeer en gegevens in transit tussen de front-end van de MQTT-broker en back-endpods. Zie Versleuteling van intern verkeer van broker en interne certificaten configureren voor meer informatie.

  • CONFIGUREER TLS met automatisch certificaatbeheer voor listeners in uw MQTT-broker: Azure IoT Operations biedt automatisch certificaatbeheer voor listeners in uw MQTT-broker. Dit vermindert de administratieve overhead van het handmatig beheren van certificaten, zorgt voor tijdige verlengingen en helpt bij het handhaven van de naleving van beveiligingsbeleidsregels. Zie Beveiligde MQTT-brokercommunicatie met broker via BrokerListener voor meer informatie.

  • Een beveiligde verbinding met OPC UA-server instellen: wanneer u verbinding maakt met een OPC UA-server, moet u bepalen met welke OPC UA-servers u een sessie veilig tot stand brengt. Zie De infrastructuur voor OPC UA-certificaten configureren voor de connector voor OPC UA voor meer informatie.

Edge-beveiliging

  • Houd de edge-runtimeomgeving up-to-date: zorg ervoor dat uw cluster en Azure IoT Operations-implementatie up-to-date blijven met de nieuwste patches en secundaire releases om alle beschikbare beveiligings- en bugfixes op te halen. Voor productie-implementaties schakelt u automatische upgrade voor Azure Arc uit om volledige controle te hebben over wanneer er nieuwe updates op uw cluster worden toegepast. In plaats daarvan moet u agents handmatig bijwerken als dat nodig is.

  • Controleer de integriteit van docker- en Helm-installatiekopieën: voordat u een installatiekopieën in uw cluster implementeert, controleert u of de installatiekopieën zijn ondertekend door Microsoft. Zie Afbeeldingsondertekening valideren voor meer informatie.

  • Gebruik altijd X.509-certificaten of Kubernetes-serviceaccounttokens voor verificatie met uw MQTT-broker: een MQTT-broker ondersteunt meerdere verificatiemethoden voor clients. U kunt elke listenerpoort configureren voor eigen verificatie-instellingen met een BrokerAuthentication-resource. Zie MQTT-brokerverificatie configureren voor meer informatie.

  • Geef de minste bevoegdheden op die nodig zijn voor de onderwerpasset in uw MQTT-broker: autorisatiebeleid bepaalt welke acties de clients kunnen uitvoeren op de broker, zoals verbinding maken, publiceren of abonneren op onderwerpen. Configureer de MQTT-broker om een of meer autorisatiebeleidsregels te gebruiken met de BrokerAuthorization-resource. Zie MQTT-brokerautorisatie configureren voor meer informatie.

  • Geïsoleerde netwerkomgevingen configureren met behulp van Azure IoT Layered Network Management (preview): Azure IoT Layered Network Management (preview) is een onderdeel dat de verbinding tussen Azure en clusters in geïsoleerde netwerkomgevingen vergemakkelijkt. In industriële scenario's volgen de geïsoleerde netwerken de ISA-95/Purdue-netwerkarchitectuur. Zie Wat is Azure IoT Layered Network Management (preview)? voor meer informatie.

Cloudbeveiliging

  • Door de gebruiker toegewezen beheerde identiteiten gebruiken voor cloudverbindingen: gebruik altijd verificatie van beheerde identiteiten. Gebruik indien mogelijk door de gebruiker toegewezen beheerde identiteit in eindpunten voor gegevensstromen voor flexibiliteit en controlebaarheid.

  • Implementeer waarneembaarheidsresources en stel logboeken in: Waarneembaarheid biedt inzicht in elke laag van uw Azure IoT Operations-configuratie. Het geeft u inzicht in het werkelijke gedrag van problemen, waardoor de effectiviteit van sitebetrouwbaarheidstechniek wordt verhoogd. Azure IoT Operations biedt waarneembaarheid via aangepaste gecureerde Grafana-dashboards die worden gehost in Azure. Deze dashboards worden mogelijk gemaakt door de beheerde Azure Monitor-service voor Prometheus en Container Insights. Implementeer waarneembaarheidsresources in uw cluster voordat u Azure IoT Operations implementeert.

  • Veilige toegang tot assets en asseteindpunten met Azure RBAC: assets en asseteindpunten in Azure IoT Operations hebben representaties in zowel het Kubernetes-cluster als de Azure-portal. U kunt Azure RBAC gebruiken om de toegang tot deze resources te beveiligen. Azure RBAC is een autorisatiesysteem waarmee u de toegang tot Azure-resources kunt beheren. U kunt Azure RBAC gebruiken om machtigingen te verlenen aan gebruikers, groepen en toepassingen binnen een bepaald bereik. Zie Beveiligde toegang tot assets en asseteindpunten voor meer informatie.

Volgende stappen

Zie voor meer informatie over IoT-beveiliging: