Udostępnij za pośrednictwem


Najlepsze rozwiązania w zakresie zabezpieczeń dla rozwiązań IoT

W tym omówieniu przedstawiono kluczowe pojęcia związane z zabezpieczaniem typowego rozwiązania usługi Azure IoT. Każda sekcja zawiera linki do zawartości, która zawiera szczegółowe informacje i wskazówki.

Na poniższym diagramie przedstawiono ogólny widok składników w typowym rozwiązaniu IoT. Ten artykuł koncentruje się na zabezpieczeniach rozwiązania IoT.

Diagram przedstawiający architekturę rozwiązania IoT wysokiego poziomu z wyróżnionymi zabezpieczeniami.

Zabezpieczenia w rozwiązaniu IoT można podzielić na następujące trzy obszary:

  • Zabezpieczenia urządzeń: zabezpieczanie urządzenia IoT podczas wdrażania go w środowisku naturalnym.

  • Zabezpieczenia połączeń: Upewnij się, że wszystkie dane przesyłane między urządzeniem IoT a usługami IoT w chmurze są poufne i są odporne na naruszenia.

  • Zabezpieczenia w chmurze: zabezpieczanie danych podczas ich przechodzenia i przechowywanie ich w chmurze.

Zaimplementowanie zaleceń w tym artykule ułatwia spełnienie zobowiązań dotyczących zabezpieczeń opisanych w modelu wspólnej odpowiedzialności.

Microsoft Defender for IoT

Usługa Microsoft Defender dla IoT może automatycznie monitorować niektóre zalecenia zawarte w tym artykule. Usługa Microsoft Defender dla IoT powinna być linią obrony, aby chronić zasoby na platformie Azure. Usługa Microsoft Defender dla IoT okresowo analizuje stan zabezpieczeń zasobów platformy Azure w celu zidentyfikowania potencjalnych luk w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu ich rozwiązywania. Aby dowiedzieć się więcej, zobacz:

Zabezpieczenia urządzenia

  • Określanie zakresu sprzętu do minimalnych wymagań: wybierz sprzęt urządzenia, aby uwzględnić minimalne funkcje wymagane do jego działania i nic więcej. Na przykład zawierają tylko porty USB, jeśli są one niezbędne do działania urządzenia w rozwiązaniu. Dodatkowe funkcje mogą uwidaczniać urządzenie w niepożądanych wektorach ataku.

  • Wybierz sprzęt sprawdzający naruszenia: wybierz sprzęt urządzenia z wbudowanymi mechanizmami wykrywania manipulacji fizycznych, takich jak otwarcie osłony urządzenia lub usunięcie części urządzenia. Te sygnały naruszenia mogą być częścią strumienia danych przekazanego do chmury, co może wysyłać alerty do tych zdarzeń.

  • Wybierz bezpieczny sprzęt: jeśli to możliwe, wybierz sprzęt urządzenia, który zawiera funkcje zabezpieczeń, takie jak bezpieczny i zaszyfrowany magazyn i funkcjonalność rozruchu na podstawie modułu zaufanej platformy. Te funkcje sprawiają, że urządzenia są bezpieczniejsze i pomagają chronić ogólną infrastrukturę IoT.

  • Włącz bezpieczne uaktualnienia: uaktualnienia oprogramowania układowego w okresie istnienia urządzenia są nieuniknione. Twórz urządzenia z bezpiecznymi ścieżkami na potrzeby uaktualnień i kryptograficznego zapewnienia wersji oprogramowania układowego w celu zabezpieczenia urządzeń podczas i po uaktualnieniu.

  • Postępuj zgodnie z bezpieczną metodologią tworzenia oprogramowania: opracowywanie bezpiecznego oprogramowania wymaga rozważenia zabezpieczeń od momentu powstania projektu przez implementację, testowanie i wdrażanie. Cykl projektowania zabezpieczeń firmy Microsoft zawiera szczegółowe podejście do tworzenia bezpiecznego oprogramowania.

  • Używaj zestawów SDK urządzeń, jeśli to możliwe: zestawy SDK urządzeń implementują różne funkcje zabezpieczeń, takie jak szyfrowanie i uwierzytelnianie, które ułatwiają opracowywanie niezawodnych i bezpiecznych aplikacji urządzeń. Aby dowiedzieć się więcej, zobacz Zestawy SDK usługi Azure IoT.

  • Wybierz oprogramowanie typu open source z ostrożnością: oprogramowanie typu open source zapewnia możliwość szybkiego opracowywania rozwiązań. Podczas wybierania oprogramowania typu open source należy wziąć pod uwagę poziom aktywności społeczności dla każdego składnika open source. Aktywna społeczność zapewnia, że oprogramowanie jest obsługiwane i rozwiązywane problemy. Niejasny i nieaktywny projekt oprogramowania typu open source może nie być obsługiwany, a problemy prawdopodobnie nie zostaną odnalezione.

  • Bezpieczne wdrażanie sprzętu: wdrożenia IoT mogą wymagać wdrożenia sprzętu w niezabezpieczonych lokalizacjach, takich jak w miejscach publicznych lub nienadzorowanych ustawieniach regionalnych. W takich sytuacjach upewnij się, że wdrożenie sprzętu jest tak samo odporne na naruszenia, jak to możliwe. Jeśli na przykład sprzęt ma porty USB, upewnij się, że są one bezpiecznie objęte.

  • Zachowaj bezpieczeństwo kluczy uwierzytelniania: podczas wdrażania każde urządzenie wymaga identyfikatorów urządzeń i skojarzonych kluczy uwierzytelniania generowanych przez usługę w chmurze. Zachowaj te klucze fizycznie bezpieczne nawet po wdrożeniu. Złośliwe urządzenie może użyć dowolnego klucza naruszonego do maskowania jako istniejącego urządzenia.

  • Zachowaj aktualność systemu: upewnij się, że systemy operacyjne urządzeń i wszystkie sterowniki urządzeń zostały uaktualnione do najnowszych wersji. Zapewnienie aktualności systemów operacyjnych pomaga zapewnić ochronę przed złośliwymi atakami.

  • Ochrona przed złośliwym działaniem: jeśli system operacyjny zezwala, zainstaluj najnowsze funkcje oprogramowania antywirusowego i chroniącego przed złośliwym kodem w każdym systemie operacyjnym urządzenia.

  • Inspekcja często: Inspekcja infrastruktury IoT pod kątem problemów związanych z zabezpieczeniami jest kluczowa podczas reagowania na zdarzenia zabezpieczeń. Większość systemów operacyjnych udostępnia wbudowane rejestrowanie zdarzeń, które należy często przeglądać, aby upewnić się, że nie wystąpiło żadne naruszenie zabezpieczeń. Urządzenie może wysyłać informacje inspekcji jako oddzielny strumień telemetrii do usługi w chmurze, gdzie można je analizować.

  • Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i wdrażania producenta urządzeń: jeśli producent urządzenia zapewnia wskazówki dotyczące zabezpieczeń i wdrażania, postępuj zgodnie z ogólnymi wskazówkami wymienionymi w tym artykule.

  • Użyj bramy pola, aby zapewnić usługi zabezpieczeń dla starszych lub ograniczonych urządzeń: starsze i ograniczone urządzenia mogą nie mieć możliwości szyfrowania danych, nawiązywania połączenia z Internetem lub zapewniania zaawansowanej inspekcji. W takich przypadkach nowoczesna i bezpieczna brama pola może agregować dane ze starszych urządzeń i zapewnić zabezpieczenia wymagane do łączenia tych urządzeń przez Internet. Bramy pól mogą zapewnić bezpieczne uwierzytelnianie, negocjacje zaszyfrowanych sesji, odbieranie poleceń z chmury i wiele innych funkcji zabezpieczeń.

Zabezpieczenia połączeń

  • Użyj certyfikatów X.509 do uwierzytelniania urządzeń w usłudze IoT Hub lub IoT Central: usługa IoT Hub i usługa IoT Central obsługują zarówno uwierzytelnianie oparte na certyfikatach X509, jak i tokeny zabezpieczające jako metody uwierzytelniania urządzenia. Jeśli to możliwe, użyj uwierzytelniania opartego na X509 w środowiskach produkcyjnych, ponieważ zapewnia większe bezpieczeństwo. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie urządzenia w usłudze IoT Hub i Pojęcia dotyczące uwierzytelniania urządzeń w usłudze IoT Central.

  • Użyj protokołu Transport Layer Security (TLS) 1.2, aby zabezpieczyć połączenia z urządzeń: usługa IoT Hub i usługa IoT Central używają protokołu TLS do zabezpieczania połączeń z urządzeń i usług IoT. Obecnie obsługiwane są trzy wersje protokołu TLS: 1.0, 1.1 i 1.2. Protokoły TLS 1.0 i 1.1 są uznawane za starsze. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie i autoryzacja.

  • Upewnij się, że masz sposób aktualizowania certyfikatu głównego protokołu TLS na urządzeniach: certyfikaty główne protokołu TLS są długotrwałe, ale nadal mogą one wygasać lub zostać odwołane. Jeśli na urządzeniu nie ma możliwości aktualizowania certyfikatu, urządzenie może nie być w stanie nawiązać połączenia z usługą IoT Hub, usługą IoT Central lub inną usługą w chmurze w późniejszym terminie.

  • Rozważ użycie usługi Azure Private Link: usługa Azure Private Link umożliwia łączenie urządzeń z prywatnym punktem końcowym w sieci wirtualnej, co umożliwia blokowanie dostępu do publicznych punktów końcowych centrum IoT Hub. Aby dowiedzieć się więcej, zobacz Łączność ruchu przychodzącego z usługą IoT Hub przy użyciu usługi Azure Private Link i zabezpieczeń sieci dla usługi IoT Central przy użyciu prywatnych punktów końcowych.

Bezpieczeństwo w chmurze

Następne kroki

Aby dowiedzieć się więcej o zabezpieczeniach IoT, zobacz: