Zabezpieczanie rozwiązań IoT

Rozwiązania IoT umożliwiają łączenie, monitorowanie i kontrolowanie urządzeń i zasobów IoT na dużą skalę. W rozwiązaniu opartym na chmurze urządzenia i zasoby łączą się bezpośrednio z chmurą. W rozwiązaniu opartym na krawędzi urządzenia i zasoby łączą się z brzegowym środowiskiem uruchomieniowym. Aby chronić rozwiązanie IoT przed zagrożeniami, należy zabezpieczyć zasoby fizyczne i urządzenia, infrastrukturę brzegowa i usługi w chmurze. Należy również zabezpieczyć dane, które przepływają przez rozwiązanie IoT — zarówno na poziomie brzegowym, jak i w chmurze.

Ten artykuł zawiera wskazówki dotyczące najlepszego zabezpieczania rozwiązania IoT. Każda sekcja zawiera linki do zawartości, która zawiera szczegółowe informacje i wskazówki.

Rozwiązanie oparte na technologii brzegowej

Na poniższym diagramie przedstawiono przegląd komponentów w typowym rozwiązaniu IoT na brzegu sieci. Ten artykuł koncentruje się na zabezpieczeniach rozwiązania IoT opartego na brzegu sieci:

W rozwiązaniu IoT opartym na urządzeniach brzegowych można podzielić zabezpieczenia na następujące cztery obszary:

• Zabezpieczenia zasobów: zabezpieczanie zasobu IoT podczas wdrażania go w środowisku lokalnym.

• Zabezpieczenie połączenia: Upewnij się, że wszystkie dane przesyłane między zasobami, usługami brzegowymi i usługami w chmurze są poufne i odporne na manipulacje.

• Zabezpieczenia brzegowe: zabezpieczanie danych podczas ich przechodzenia i przechowywanie ich na brzegu sieci.

• Zabezpieczenia w chmurze: zabezpieczanie danych w miarę ich przechodzenia i przechowywanie ich w chmurze.

Usługa Microsoft Defender dla IoT i kontenerów

Usługa Microsoft Defender for IoT to ujednolicone rozwiązanie zabezpieczeń opracowane specjalnie w celu identyfikowania urządzeń IoT i technologii operacyjnych (OT), luk w zabezpieczeniach i zagrożeń. Usługa Microsoft Defender for Containers to natywne dla chmury rozwiązanie do ulepszania, monitorowania i obsługi zabezpieczeń konteneryzowanych zasobów (klastrów Kubernetes, węzłów Kubernetes, obciążeń Kubernetes, rejestrów kontenerów, obrazów kontenerów i nie tylko) oraz ich aplikacji w środowiskach wielochmurowych i lokalnych.

Zarówno usługa Defender dla IoT, jak i usługa Defender for Containers mogą automatycznie monitorować niektóre zalecenia zawarte w tym artykule. Defender dla IoT i Defender for Containers powinny być linią frontu obrony w celu ochrony rozwiązania brzegowego. Aby dowiedzieć się więcej, zobacz:

• Microsoft Defender for Containers — omówienie
• Usługa Microsoft Defender dla IoT dla organizacji — omówienie.

Zabezpieczenia zasobów

Ta sekcja zawiera wskazówki dotyczące zabezpieczania zasobów, takich jak sprzęt przemysłowy, czujniki i inne urządzenia będące częścią rozwiązania IoT. Bezpieczeństwo zasobu ma kluczowe znaczenie dla zapewnienia integralności i poufności danych, które generuje i przesyła.

• Użyj usługi Azure Key Vault i rozszerzenia magazynu wpisów tajnych: użyjusługi Azure Key Vault do przechowywania poufnych informacji o zasobach, takich jak klucze, hasła, certyfikaty i wpisy tajne. Azure IoT Operations używa Azure Key Vault jako rozwiązania zarządzanego magazynu w chmurze i używa rozszerzenia Azure Key Vault Secret Store dla Kubernetes do synchronizowania tajemnic z chmury i przechowywania ich w środowisku brzegowym jako tajemnice Kubernetes. Aby dowiedzieć się więcej, zobacz Zarządzanie tajnymi dla wdrażania operacji Azure IoT.

• Konfigurowanie bezpiecznego zarządzania certyfikatami: zarządzanie certyfikatami ma kluczowe znaczenie dla zapewnienia bezpiecznej komunikacji między zasobami a środowiskiem środowiska uruchomieniowego brzegowego. Operacje usługi Azure IoT udostępniają narzędzia do zarządzania certyfikatami, w tym wystawiania, odnawiania i odwoływanie certyfikatów. Aby dowiedzieć się więcej, zobacz Zarządzanie certyfikatami na potrzeby wewnętrznej komunikacji operacji usługi Azure IoT.

• Wybierz sprzęt zabezpieczony przed manipulacją: wybierz sprzęt wyposażony w wbudowane mechanizmy wykrywania fizycznej manipulacji, takie jak otwarcie osłony urządzenia lub usunięcie części urządzenia. Te sygnały naruszenia mogą być częścią strumienia danych przekazywanego do chmury, powiadamiając operatorów o tych zdarzeniach.

• Włącz bezpieczne aktualizacje oprogramowania układowego zasobów: użyj usług, które umożliwiają zdalne aktualizacje dla zasobów. Dla ochrony zasobów podczas i po aktualizacjach, twórz je z bezpiecznymi ścieżkami aktualizacji i kryptograficznym potwierdzeniem wersji oprogramowania układowego.

• Bezpieczne wdrażanie sprzętu zasobów: Upewnij się, że wdrażanie sprzętu zasobów jest tak odporne na manipulacje, jak to możliwe, szczególnie w niezabezpieczonych lokalizacjach, takich jak miejsca publiczne lub nienadzorowane miejsca. Włącz tylko niezbędne funkcje, aby zminimalizować fizyczne ślady ataku, takie jak bezpieczne pokrycie portów USB, jeśli nie są potrzebne.

• Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i wdrażania producenta urządzeń: jeśli producent urządzenia zapewnia wskazówki dotyczące zabezpieczeń i wdrażania, postępuj zgodnie z ogólnymi wskazówkami w tym artykule.

Zabezpieczenia połączeń

Ta sekcja zawiera wskazówki dotyczące zabezpieczania połączeń między elementami zawartości, środowiskiem środowiska uruchomieniowego brzegowego i usługami w chmurze. Bezpieczeństwo połączeń ma kluczowe znaczenie dla zapewnienia integralności i poufności przesyłanych danych.

• Użyj protokołu Transport Layer Security (TLS), aby zabezpieczyć połączenia z zasobów: Cała komunikacja w ramach operacji usługi Azure IoT jest szyfrowana przy użyciu protokołu TLS. Aby zapewnić domyślnie bezpieczne środowisko, które minimalizuje nieumyślne narażenie rozwiązania brzegowego na atakujących, operacje Azure IoT są wdrażane z domyślnym głównym urzędem certyfikacji oraz wystawcą certyfikatów serwera TLS. W przypadku wdrożenia produkcyjnego zalecamy korzystanie z własnego wystawcy certyfikatów i rozwiązania PKI dla przedsiębiorstwa.

• Użyj własnego urzędu certyfikacji w środowisku produkcyjnym: w przypadku wdrożeń produkcyjnych zastąp domyślny samopodpisany urząd certyfikacji swoim własnym urzędem certyfikacji i połącz z infrastrukturą kluczy publicznych przedsiębiorstwa, aby zagwarantować zaufanie i zgodność. Aby dowiedzieć się więcej, zobacz Zarządzanie certyfikatami na potrzeby wewnętrznej komunikacji operacji usługi Azure IoT.

• Rozważ użycie zapór przedsiębiorstwa lub serwerów proxy do zarządzania ruchem wychodzącym: jeśli używasz zapór przedsiębiorstwa lub serwerów proxy, dodaj punkty końcowe operacji usługi Azure IoT do listy dozwolonych .

• Szyfrowanie wewnętrznej komunikacji brokera wiadomości: zapewnienie bezpieczeństwa komunikacji wewnętrznej w infrastrukturze brzegowej jest istotne dla utrzymania integralności i poufności danych. Powinieneś skonfigurować brokera MQTT, aby szyfrował ruch wewnętrzny i dane przesyłane między frontendem brokera MQTT a podami zaplecza. Aby dowiedzieć się więcej, zobacz Konfigurowanie szyfrowania ruchu wewnętrznego brokera i certyfikatów wewnętrznych.

• Konfigurowanie protokołu TLS z automatycznym zarządzaniem certyfikatami dla odbiorników w brokerze MQTT: Operacje usługi Azure IoT zapewniają automatyczne zarządzanie certyfikatami dla odbiorników w brokerze MQTT. Ta funkcja zmniejsza koszty administracyjne ręcznego zarządzania certyfikatami, zapewnia terminowe odnawianie i pomaga zachować zgodność z zasadami zabezpieczeń. Aby dowiedzieć się więcej, zobacz Secure MQTT broker communication by using BrokerListener (Bezpieczna komunikacja brokera MQTT przy użyciu brokeralistener).

• Skonfiguruj bezpieczne połączenie z serwerem OPC UA: podczas nawiązywania połączenia z serwerem OPC UA należy określić, z którymi serwerami OPC UA ufasz, aby bezpiecznie ustanowić sesję. Aby dowiedzieć się więcej, zobacz Konfigurowanie infrastruktury certyfikatów OPC UA dla łącznika OPC UA.

• Izolowanie i segmentowanie sieci: użyj segmentacji sieci i zapór, aby odizolować klastry operacji IoT i urządzenia brzegowe od innych zasobów sieciowych. Dodaj wymagane punkty końcowe do listy dozwolonych, jeśli używasz zapór sieciowych lub serwerów proxy. Aby dowiedzieć się więcej, zobacz Wytyczne dotyczące wdrażania w środowisku produkcyjnym — sieć.

Zabezpieczenia brzegowe

Ta sekcja zawiera wskazówki dotyczące zabezpieczania środowiska uruchomieniowego brzegowego, czyli oprogramowania działającego na platformie brzegowej. To oprogramowanie przetwarza dane zasobów i zarządza komunikacją między zasobami i usługami w chmurze. Bezpieczeństwo środowiska uruchomieniowego brzegowego ma kluczowe znaczenie dla zapewnienia integralności i poufności przetwarzanych i przesyłanych danych.

• Zachowaj aktualność środowiska uruchomieniowego brzegowego: zadbaj o aktualność wdrożenia klastra i operacji usługi Azure IoT, korzystając z najnowszych poprawek i wydań pośrednich, aby uzyskać wszystkie dostępne poprawki zabezpieczeń i błędów. W przypadku wdrożeń produkcyjnych wyłącz automatyczne aktualizacje dla usługi Azure Arc, aby mieć pełną kontrolę nad tym, kiedy nowe aktualizacje są stosowane do klastra. Zamiast tego ręcznie uaktualnij agentów zgodnie z potrzebami.

• Sprawdź integralność kontenerów i obrazów Helm: Przed wdrożeniem dowolnego obrazu w klastrze sprawdź, czy obraz jest podpisany przez firmę Microsoft. Aby dowiedzieć się więcej, zobacz Weryfikacja podpisu obrazu.

• Zawsze używaj certyfikatów X.509 lub tokenów kont usługi Kubernetes do uwierzytelniania za pomocą brokera MQTT: broker MQTT obsługuje wiele metod uwierzytelniania dla klientów. Każdy port odbiornika można skonfigurować tak, aby miał własne ustawienia uwierzytelniania za pomocą zasobu BrokerAuthentication. Aby dowiedzieć się więcej, zobacz Konfigurowanie uwierzytelniania brokera MQTT.

• Podaj najmniejsze uprawnienia wymagane dla zasobu tematu w brokerze MQTT: zasady autoryzacji określają, jakie akcje klienci mogą wykonywać na brokerze, takie jak łączenie, publikowanie lub subskrybowanie tematów. Skonfiguruj brokerA MQTT tak, aby używał jednego lub wielu zasad autoryzacji za pomocą zasobu BrokerAuthorization. Aby dowiedzieć się więcej, zobacz Konfigurowanie autoryzacji brokera MQTT.

Bezpieczeństwo w chmurze

Ta sekcja zawiera wskazówki dotyczące zabezpieczania usług w chmurze, które są usługami, które przetwarzają i przechowują dane zasobów. Bezpieczeństwo usług w chmurze ma kluczowe znaczenie dla zapewnienia integralności i poufności danych.

• Używaj tożsamości zarządzanych przypisanych użytkownikowi do połączeń w chmurze: zawsze korzystaj z uwierzytelniania za pomocą tożsamości zarządzanej. Kiedy to możliwe, używaj tożsamości zarządzanej przypisanej przez użytkownika w punktach końcowych przepływu danych dla elastyczności i możliwości audytu. Aby dowiedzieć się więcej, zobacz Włączanie bezpiecznych ustawień w operacjach usługi Azure IoT.

• Wdrażanie zasobów obserwowania i konfigurowanie dzienników: możliwość obserwacji zapewnia wgląd w każdą warstwę konfiguracji operacji usługi Azure IoT. Zapewnia wgląd w rzeczywisty charakter problemów, co zwiększa efektywność inżynierii niezawodności systemów. Operacje usługi Azure IoT oferują możliwość obserwowania za pośrednictwem niestandardowych wyselekcjonowanych pulpitów nawigacyjnych Grafana hostowanych na platformie Azure. Te panele kontrolne są obsługiwane przez zarządzaną usługę Azure Monitor dla Prometheus i Container Insights. Przed wdrożeniem operacji usługi Azure IoT, wdroż zasoby obserwowalności w klastrze.

• Bezpieczny dostęp do zasobów i punktów końcowych zasobów za pomocą Azure RBAC: Zasoby i punkty końcowe zasobów w Azure IoT Operations mają reprezentacje zarówno w klastrze Kubernetes, jak i w portalu Azure. Użyj kontroli dostępu opartej na rolach platformy Azure, aby zabezpieczyć dostęp do tych zasobów. Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system kontroli dostępu, który umożliwia zarządzanie dostępem do zasobów platformy Azure. Użyj kontroli dostępu opartej na rolach Azure (Azure RBAC), aby przyznawać uprawnienia użytkownikom, grupom i aplikacjom w określonym zakresie. Aby dowiedzieć się więcej, zobacz Bezpieczny dostęp do zasobów i punktów końcowych zasobów.

Rozwiązanie oparte na chmurze

Na poniższym diagramie przedstawiono ogólny widok składników w typowym rozwiązaniu IoT opartym na chmurze. Ten artykuł koncentruje się na zabezpieczeniach w rozwiązaniu IoT opartym na chmurze:

W rozwiązaniu IoT opartym na chmurze można podzielić zabezpieczenia na następujące trzy obszary:

• Bezpieczeństwo urządzenia: Zabezpiecz urządzenie IoT, gdy jest wdrożone lokalnie.

• Zabezpieczenia połączeń: Upewnij się, że wszystkie dane przesyłane między urządzeniem IoT a usługami IoT w chmurze są poufne i są odporne na naruszenia.

• Zabezpieczenia w chmurze: zabezpieczanie danych w miarę ich przechodzenia i przechowywanie ich w chmurze.

Zalecenia przedstawione w tym artykule ułatwiają spełnienie zobowiązań dotyczących zabezpieczeń opisanych w modelu wspólnej odpowiedzialności.

Usługa Microsoft Defender dla IoT

Usługa Microsoft Defender dla IoT automatycznie monitoruje niektóre zalecenia zawarte w tym artykule. Usługa Microsoft Defender dla IoT okresowo analizuje stan zabezpieczeń zasobów platformy Azure, aby zidentyfikować potencjalne luki w zabezpieczeniach, a następnie oferuje zalecenia dotyczące sposobu ich rozwiązywania. Aby dowiedzieć się więcej, zobacz:

• Co to jest usługa Microsoft Defender dla IoT dla organizacji?.
• Co to jest usługa Microsoft Defender dla IoT dla konstruktorów urządzeń?.
• Zwiększ poziom zabezpieczeń dzięki rekomendacjom dotyczącym zabezpieczeń.

Zabezpieczenia urządzenia

Ta sekcja zawiera wskazówki dotyczące zabezpieczania urządzeń IoT, które są składnikami sprzętowymi, które zbierają i przesyłają dane. Bezpieczeństwo urządzenia ma kluczowe znaczenie dla zapewnienia integralności i poufności danych, które generuje i przesyła.

• Dopasuj sprzęt do minimalnych wymagań: wybierz sprzęt urządzenia, aby spełniał tylko minimalne wymagania potrzebne do działania. Na przykład uwzględnij tylko porty USB, jeśli są one niezbędne do działania urządzenia w swoim rozwiązaniu. Dodatkowe funkcje mogą narażać urządzenie na niepożądane wektory ataku.

• Wybierz sprzęt zabezpieczony przed manipulacją: wybierz urządzenie z wbudowanymi mechanizmami do wykrywania manipulacji fizycznej, takimi jak otwarcie osłony urządzenia lub usunięcie części urządzenia. Te sygnały naruszenia mogą być częścią strumienia danych przesyłanego do chmury, dzięki czemu mogą ostrzegać operatorów o tych zdarzeniach.

• Wybierz bezpieczny sprzęt: jeśli to możliwe, wybierz sprzęt urządzenia, który obejmuje funkcje zabezpieczeń, takie jak bezpieczny i zaszyfrowany magazyn i funkcjonalność rozruchu na podstawie modułu zaufanej platformy. Te funkcje sprawiają, że urządzenia są bezpieczniejsze i pomagają chronić ogólną infrastrukturę IoT.

• Włączanie bezpiecznych aktualizacji: użyj usług, takich jak Device Update dla IoT Hub do aktualizacji bezprzewodowych dla urządzeń IoT. Twórz urządzenia z bezpiecznymi ścieżkami dla aktualizacji oraz kryptograficznego potwierdzenia wersji oprogramowania układowego, aby zabezpieczyć urządzenia podczas aktualizacji i po nich.

• Postępuj zgodnie z bezpieczną metodologią tworzenia oprogramowania: opracowywanie bezpiecznego oprogramowania wymaga rozważenia zabezpieczeń od momentu powstania projektu przez implementację, testowanie i wdrażanie. Cykl projektowania zabezpieczeń firmy Microsoft zawiera szczegółowe podejście do tworzenia bezpiecznego oprogramowania.

• Używaj zestawów SDK urządzeń, jeśli to możliwe: zestawy SDK urządzeń implementują różne funkcje zabezpieczeń, takie jak szyfrowanie i uwierzytelnianie, które ułatwiają opracowywanie niezawodnych i bezpiecznych aplikacji urządzeń. Aby dowiedzieć się więcej, zobacz Zestawy SDK Azure IoT.

• Wybierz oprogramowanie typu open source z ostrożnością: oprogramowanie typu open source zapewnia możliwość szybkiego opracowywania rozwiązań. Po wybraniu oprogramowania open source należy wziąć pod uwagę poziom aktywności społeczności dla każdego składnika open source. Aktywna społeczność zapewnia, że oprogramowanie jest obsługiwane, a problemy są wykrywane i rozwiązywane. Niejasny i nieaktywny projekt open source może nie być obsługiwany, a prawdopodobnie nie zostaną wykryte problemy.

• Bezpieczne wdrażanie sprzętu: wdrożenia IoT mogą wymagać rozmieszczenia sprzętu w niezabezpieczonych lokalizacjach, takich jak przestrzenie publiczne lub miejsca, gdzie nie ma nadzoru. W takich sytuacjach wdrożenie sprzętu jest jak najbardziej odporne na naruszenia i umożliwia tylko niezbędne funkcje, aby zminimalizować ślad ataku fizycznego.

• Przechowywanie poświadczeń w sprzętowych modułach zabezpieczeń (HSM): używaj HSM do bezpiecznego przechowywania tajemnic urządzeń, takich jak klucze prywatne i certyfikaty, aby chronić przed wyodrębnieniem i manipulacją. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie usługi IoT Hub X.509, wskazówki dotyczące modułu HSM programu DPS i Menedżer zabezpieczeń usługi IoT Edge.

• Regularnie obracaj klucze urządzeń i certyfikaty: regularnie wymieniaj poświadczenia, szczególnie po naruszeniu lub wygaśnięciu, aby zminimalizować ryzyko nieautoryzowanego dostępu. Aby dowiedzieć się więcej, zobacz Jak wdrażać certyfikaty w usłudze DPS i Zarządzanie certyfikatami X.509 w usłudze IoT Central.

• Aktualizowanie i stosowanie poprawek: zachowaj aktualność wszystkich środowisk uruchomieniowych, zestawów SDK i składników systemu operacyjnego przy użyciu najnowszych poprawek zabezpieczeń i aktualizacji. Aby dowiedzieć się więcej, zobacz Wskazówki dotyczące aktualizacji usługi IoT Edge.

• Ochrona przed złośliwym działaniem: jeśli system operacyjny zezwala, zainstaluj najnowsze funkcje oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem w każdym systemie operacyjnym urządzenia.

• Inspekcja często: Przeprowadź inspekcję infrastruktury IoT pod kątem problemów z zabezpieczeniami, aby umożliwić reagowanie na zdarzenia zabezpieczeń. Większość systemów operacyjnych zapewnia wbudowane rejestrowanie zdarzeń. Przejrzyj dzienniki często, aby sprawdzić naruszenia zabezpieczeń. Urządzenie może wysyłać informacje inspekcji jako oddzielny strumień danych do usługi w chmurze, gdzie można je analizować.

• Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i wdrażania producenta urządzeń: jeśli producent urządzenia zapewnia wskazówki dotyczące zabezpieczeń i wdrażania, postępuj zgodnie z ogólnymi wskazówkami w tym artykule.

• Użyj bramy pola, aby zapewnić usługi zabezpieczeń dla starszych lub ograniczonych urządzeń: starsze i ograniczone urządzenia mogą nie mieć możliwości szyfrowania danych, nawiązywania połączenia z Internetem lub zapewniania zaawansowanej inspekcji. W takich przypadkach nowoczesna i bezpieczna brama terenowa może agregować dane ze starszych urządzeń i zapewnić bezpieczeństwo wymagane do połączenia tych urządzeń za pośrednictwem Internetu. Urządzenie usługi IoT Edge może być używane jako brama i zapewnić bezpieczne uwierzytelnianie, negocjacje zaszyfrowanych sesji, odbieranie poleceń z chmury i wiele innych funkcji zabezpieczeń. Usługa Azure Sphere może pełnić rolę modułu ochrony w celu zabezpieczenia innych urządzeń, w tym istniejących starszych systemów, które nie są przeznaczone do zaufanej łączności.

• Zaszyfruj dane w stanie spoczynku: użyj szyfrowania na poziomie systemu operacyjnego, takiego jak BitLocker dla Windows, dla urządzeń i pamięci brzegowej, aby chronić dane w przypadku utraty lub kradzieży urządzeń. Aby dowiedzieć się więcej, zobacz Zabezpieczenia usługi IoT Edge.

Zabezpieczenia połączeń

Ta sekcja zawiera wskazówki dotyczące zabezpieczania połączeń między urządzeniami IoT i usługami w chmurze. Bezpieczeństwo połączeń ma kluczowe znaczenie dla zapewnienia integralności i poufności przesyłanych danych.

• Użyj certyfikatów X.509 do uwierzytelniania urządzeń w usłudze IoT Hub lub IoT Central: usługa IoT Hub i usługa IoT Central obsługują certyfikaty X509 na potrzeby uwierzytelniania urządzeń. Użyj uwierzytelniania opartego na architekturze X509 w środowiskach produkcyjnych, ponieważ zapewnia większe bezpieczeństwo niż klucze symetryczne. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie urządzenia w usłudze IoT Hub i Pojęcia dotyczące uwierzytelniania urządzeń w usłudze IoT Central.

• Unikaj współużytkowanych kluczy symetrycznych: jeśli używasz kluczy symetrycznych, nie udostępniaj kluczy symetrycznych między urządzeniami. Każde urządzenie wymaga unikatowych poświadczeń, aby zapobiec powszechnemu naruszeniu bezpieczeństwa w przypadku wycieku klucza. Aby dowiedzieć się więcej, zobacz Rozwiązania dotyczące zabezpieczeń dla producentów urządzeń.

• Użyj protokołu Transport Layer Security (TLS) 1.2, aby zabezpieczyć połączenia z urządzeń: usługa IoT Hub i usługa IoT Central używają protokołu TLS do zabezpieczania połączeń z urządzeń i usług IoT. Obecnie obsługiwane są trzy wersje protokołu TLS: 1.0, 1.1 i 1.2. Protokoły TLS 1.0 i 1.1 są uznawane za starsze. Aby dowiedzieć się więcej, zobacz Obsługa protokołu Transport Layer Security (TLS) w usłudze IoT Hub i obsłudze protokołu TLS w usłudze Azure IoT Hub Device Provisioning Service (DPS).

• Używaj silnych zestawów szyfrowania i aktualizuj certyfikaty głównego urzędu certyfikacji: regularnie aktualizuj pakiety szyfrowania i zaufane certyfikaty główne w celu utrzymania bezpiecznych połączeń. Aby dowiedzieć się więcej, zobacz Obsługa protokołu TLS usługi IoT Hub.

• Upewnij się, że istnieje sposób aktualizowania certyfikatu głównego TLS na urządzeniach: certyfikaty główne TLS są długowieczne, ale mogą wygasać lub być unieważnione. Jeśli nie możesz zaktualizować certyfikatu na urządzeniu, urządzenie może nie być w stanie nawiązać połączenia z usługą IoT Hub, usługą IoT Central lub inną usługą w chmurze w późniejszym terminie. Aby dowiedzieć się więcej, zobacz Jak wdrażać certyfikaty urządzeń X.509.

• Rozważ użycie usługi Azure Private Link: usługa Azure Private Link umożliwia łączenie urządzeń z prywatnym punktem końcowym w sieci wirtualnej, co umożliwia blokowanie dostępu do publicznych punktów końcowych centrum IoT Hub. Aby dowiedzieć się więcej, zobacz Łączność z usługą IoT Hub przy użyciu Azure Private Link i Zabezpieczenia sieci dla usługi IoT Central przy użyciu prywatnych punktów końcowych.

• Ograniczanie dostępu do sieci: użyj filtrowania adresów IP, aby ograniczyć dostęp do zaufanych źródeł i sieci. Aby dowiedzieć się więcej, zobacz Filtrowanie adresów IP usługi IoT Hub, prywatne punkty końcowe usługi IoT Central i filtrowanie adresów IP usługi DPS.

• Wyłącz dostęp do sieci publicznej, jeśli nie jest to wymagane: zapobiegaj narażeniu na publiczny Internet, wyłączając publiczne punkty końcowe, gdy to możliwe. Aby dowiedzieć się więcej, zobacz Dostęp do sieci publicznej usługi IoT Hub i dostęp do sieci publicznej usługi DPS.

• Izolowanie urządzeń brzegowych i usług w bezpiecznych segmentach sieci: użyj segmentacji sieci i zapór, aby odizolować urządzenia i usługi usługi IoT Edge od innych zasobów sieciowych. Aby dowiedzieć się więcej, zobacz Artykuł IoT Edge for Linux on Windows security (Usługa IoT Edge dla systemu Linux w zabezpieczeniach systemu Windows).

Bezpieczeństwo w chmurze

Ta sekcja zawiera wskazówki dotyczące zabezpieczania usług w chmurze, które są usługami, które przetwarzają i przechowują dane urządzenia IoT. Bezpieczeństwo usług w chmurze ma kluczowe znaczenie dla zapewnienia integralności i poufności danych.

• Postępuj zgodnie z bezpieczną metodologią tworzenia oprogramowania: opracowywanie bezpiecznego oprogramowania wymaga rozważenia zabezpieczeń od momentu powstania projektu przez implementację, testowanie i wdrażanie. Cykl projektowania zabezpieczeń firmy Microsoft zawiera szczegółowe podejście do tworzenia bezpiecznego oprogramowania.

• Wybierz oprogramowanie typu open source z ostrożnością: oprogramowanie typu open source zapewnia możliwość szybkiego opracowywania rozwiązań. Podczas wybierania oprogramowania typu open source należy wziąć pod uwagę poziom aktywności społeczności dla każdego składnika open source. Aktywna społeczność zapewnia, że oprogramowanie jest obsługiwane, a problemy są wykrywane i rozwiązywane. Niejasny i nieaktywny projekt oprogramowania typu open source może nie być obsługiwany, a problemy prawdopodobnie nie zostaną odnalezione.

• Uważna integracja: wiele wad zabezpieczeń oprogramowania pojawia się na styku bibliotek i interfejsów API. Funkcje, które nie są wymagane do bieżącego wdrożenia, mogą być nadal dostępne za pośrednictwem warstwy interfejsu API. Aby zapewnić ogólne bezpieczeństwo, sprawdź wszystkie interfejsy zintegrowanych składników pod kątem wad zabezpieczeń.

• Ochrona poświadczeń w chmurze: osoba atakująca może użyć poświadczeń uwierzytelniania w chmurze, których używasz do konfigurowania i obsługi wdrożenia IoT w celu uzyskania dostępu do systemu IoT i naruszenia zabezpieczeń. Chroń poświadczenia, zmieniając hasło często i nie używaj tych poświadczeń na maszynach publicznych.

• Użyj Microsoft Entra ID i RBAC z IoT Hub: Użyj Microsoft Entra ID i kontroli dostępu opartej na rolach platformy Azure do uzyskania dostępu do interfejsu API usług i zarządzania, aby umożliwić szczegółową kontrolę dostępu opartą na tożsamości. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie Entra ID usługi IoT Hub i Uwierzytelnianie Entra ID usługi DPS.

• Wyłącz zasady dostępu współdzielonego, jeśli nie są potrzebne: zmniejsz obszar ataków, wyłączając zasady dostępu współdzielonego i tokeny, gdy nie są one potrzebne. Aby dowiedzieć się więcej, zobacz Zasady dostępu współdzielonego usługi IoT Hub.

• Definiowanie kontroli dostępu dla aplikacji usługi IoT Central: Opis i definiowanie typu dostępu włączonego dla aplikacji usługi IoT Central. Aby dowiedzieć się więcej, zobacz:

  • Zarządzanie użytkownikami i rolami w aplikacji usługi IoT Central
  • Zarządzanie organizacjami IoT Central
  • Użyj dzienników inspekcji, aby śledzić aktywność w swojej aplikacji IoT Central
  • Jak uwierzytelniać i autoryzować wywołania interfejsu API REST usługi IoT Central

• Zdefiniowanie mechanizmów kontroli dostępu dla usług zaplecza: inne usługi platformy Azure mogą korzystać z danych, które Twoje centrum IoT lub aplikacja IoT Central przechwytuje z urządzeń. Komunikaty można kierować z urządzeń do innych usług platformy Azure. Omówienie i konfigurowanie odpowiednich uprawnień dostępu dla usługi IoT Hub lub IoT Central w celu nawiązania połączenia z tymi usługami. Aby dowiedzieć się więcej, zobacz:

  • Odczytywanie komunikatów z urządzenia do chmury z wbudowanego punktu końcowego usługi IoT Hub
  • Używanie routingu komunikatów usługi IoT Hub do wysyłania komunikatów z urządzenia do chmury do różnych punktów końcowych
  • Eksportowanie danych usługi IoT Central
  • Eksportowanie danych usługi IoT Central do bezpiecznego miejsca docelowego w usłudze Azure Virtual Network

• Przyznaj tylko wymagane minimalne uprawnienia: zastosuj zasadę najniższych uprawnień podczas przypisywania ról i uprawnień do użytkowników, aplikacji i urządzeń. Aby dowiedzieć się więcej, zobacz Najlepsze rozwiązania dotyczące zarządzania tożsamościami.

• Monitorowanie rozwiązania IoT z chmury: monitorowanie ogólnej kondycji rozwiązania IoT przy użyciu metryk usługi IoT Hub w usłudze Azure Monitor lub monitorowanie kondycji aplikacji usługi IoT Central.

• Konfigurowanie diagnostyki: monitorowanie operacji przez rejestrowanie zdarzeń w rozwiązaniu, a następnie wysyłanie dzienników diagnostycznych do usługi Azure Monitor. Aby dowiedzieć się więcej, zobacz Monitorowanie i diagnozowanie problemów w centrum IoT.

Treści powiązane

• Zabezpieczenia usługi IoT Hub
• Przewodnik po zabezpieczeniach usługi IoT Central
• Praktyki zabezpieczeń DPS
• Struktura zabezpieczeń usługi IoT Edge
• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure IoT Hub
• Perspektywa struktury Well-Architected Framework w usłudze Azure IoT Hub
• Punkt odniesienia zabezpieczeń platformy Azure dla Kubernetes z obsługą Azure Arc
• Pojęcia dotyczące zabezpieczania obciążenia natywnego dla chmury