Badanie infrastruktury zabezpieczeń IoT od podstaw

  • 5 min

Internet rzeczy (IoT) stanowi unikatowe wyzwania związane z bezpieczeństwem, prywatnością i zgodnością z firmami na całym świecie. W przeciwieństwie do tradycyjnej technologii cybernetycznej, w której te problemy obracają się wokół oprogramowania i sposobu jej wdrażania, IoT obawia się, co się dzieje, gdy cyber i światy fizyczne zbiegają się. Ochrona rozwiązań IoT wymaga zapewnienia bezpiecznej aprowizacji urządzeń, bezpiecznej łączności między tymi urządzeniami i chmurą oraz zabezpieczenia ochrony danych w chmurze podczas przetwarzania i przechowywania. Praca z takimi funkcjami jest jednak urządzeniami ograniczonymi zasobami, geograficzną dystrybucją wdrożeń i dużą liczbą urządzeń w ramach rozwiązania.

Microsoft Azure — bezpieczna infrastruktura IoT dla Twojej firmy

Platforma Microsoft Azure oferuje kompletne rozwiązanie w chmurze, które łączy stale rosnącą kolekcję zintegrowanych usług w chmurze — analizy, uczenia maszynowego, magazynu, zabezpieczeń, sieci i sieci Web — z wiodącym w branży zobowiązaniem do ochrony i prywatności danych.

Systemy firmy Microsoft zapewniają ciągłe wykrywanie i zapobieganie włamaniom, zapobieganie atakom usług, regularne testowanie penetracyjne i narzędzia śledcze, które pomagają identyfikować i ograniczać zagrożenia. Uwierzytelnianie wieloskładnikowe zapewnia dodatkową warstwę zabezpieczeń dla użytkowników końcowych w celu uzyskania dostępu do sieci. W przypadku aplikacji i dostawcy hosta firma Microsoft oferuje kontrolę dostępu, monitorowanie, oprogramowanie chroniące przed złośliwym oprogramowaniem, skanowanie luk w zabezpieczeniach, poprawki i zarządzanie konfiguracją.

Usługa Azure IoT Hub oferuje w pełni zarządzaną usługę, która umożliwia niezawodną i bezpieczną dwukierunkową komunikację między urządzeniami IoT i usługami platformy Azure, takimi jak Azure Machine Edukacja i Azure Stream Analytics przy użyciu poświadczeń zabezpieczeń poszczególnych urządzeń i kontroli dostępu.

Zabezpieczanie aprowizacji i uwierzytelniania urządzeń

Bezpieczna aprowizacja urządzeń oznacza zapewnienie unikatowego klucza tożsamości dla każdego urządzenia, które może być używane przez infrastrukturę IoT do komunikowania się z urządzeniem podczas jego działania. Wygenerowany klucz z wybranym przez użytkownika identyfikatorem urządzenia stanowi podstawę tokenu używanego we wszystkich komunikacji między urządzeniem a usługą Azure IoT Hub.

Identyfikatory urządzeń mogą być skojarzone z urządzeniem podczas produkcji (czyli migane w module zaufania sprzętowego) lub mogą używać istniejącej stałej tożsamości jako serwera proxy (na przykład numerów seryjnych procesora CPU). Ponieważ zmiana tych informacji identyfikacyjnych na urządzeniu nie jest prosta, ważne jest wprowadzenie identyfikatorów urządzeń logicznych w przypadku zmiany sprzętu urządzenia bazowego, ale urządzenie logiczne pozostaje takie same. W niektórych przypadkach skojarzenie tożsamości urządzenia może nastąpić w czasie wdrażania urządzenia (na przykład uwierzytelniony inżynier terenowy fizycznie konfiguruje nowe urządzenie podczas komunikacji z zapleczem rozwiązania). Rejestr tożsamości usługi Azure IoT Hub zapewnia bezpieczny magazyn tożsamości urządzeń i kluczy zabezpieczeń dla rozwiązania. Pojedyncze lub grupy tożsamości urządzeń można dodać do listy dozwolonych lub listy zablokowanych, umożliwiając pełną kontrolę nad dostępem urządzeń.

Zasady kontroli dostępu usługi Azure IoT Hub w chmurze umożliwiają aktywację i wyłączanie dowolnej tożsamości urządzenia, co umożliwia usunięcie skojarzenia urządzenia z wdrożenia IoT w razie potrzeby. To skojarzenie i usuwanie skojarzenia urządzeń jest oparte na każdej tożsamości urządzenia.

Inne funkcje zabezpieczeń urządzeń to:

  • Urządzenia nie akceptują niechcianych połączeń sieciowych. Ustanawiają wszystkie połączenia i trasy w sposób tylko dla ruchu wychodzącego. Aby urządzenie odbierało polecenie z zaplecza, urządzenie musi zainicjować połączenie, aby sprawdzić, czy oczekujące polecenia będą przetwarzane. Po bezpiecznym nawiązaniu połączenia między urządzeniem a usługą IoT Hub komunikaty z chmury do urządzenia i urządzenia do chmury można wysyłać w sposób niewidoczny.
  • Urządzenia łączą się tylko z dobrze znanymi usługami, za pomocą których są połączone równorzędnie, na przykład z usługą Azure IoT Hub lub ustanawiają trasy.
  • Autoryzacja na poziomie systemu i uwierzytelnianie używają tożsamości poszczególnych urządzeń, dzięki czemu poświadczenia dostępu i uprawnienia są niemal natychmiast odwoływalne.

Bezpieczna łączność

Usługa Azure IoT Hub obsługuje bezpieczną łączność przy użyciu sprawdzonych w branży protokołów — HTTPS, AMQP i MQTT.

Usługa Azure IoT Hub oferuje trwałość obsługi komunikatów między chmurą a urządzeniami za pośrednictwem systemu potwierdzenia w odpowiedzi na komunikaty. Dodatkowa trwałość komunikatów jest osiągana przez buforowanie komunikatów w usłudze IoT Hub przez maksymalnie siedem dni w przypadku telemetrii i dwa dni dla poleceń. Takie podejście umożliwia sporadycznie łączenie urządzeń ze względu na problemy z zasilaniem lub łącznością w celu odbierania tych poleceń. Usługa Azure IoT Hub obsługuje kolejkę dla każdego urządzenia.

Skalowalność wymaga możliwości bezpiecznego współdziałania z szeroką gamą urządzeń. Usługa Azure IoT Hub umożliwia bezpieczne połączenie zarówno z urządzeniami obsługującymi adresy IP, jak i urządzeniami bez obsługi adresów IP (przy użyciu urządzenia usługi IoT Edge jako bramy).

Inne funkcje zabezpieczeń połączeń obejmują:

  • Ścieżka komunikacji między urządzeniami a usługą Azure IoT Hub lub między bramami i usługą Azure IoT Hub jest zabezpieczona przy użyciu standardowego protokołu Transport Layer Security (TLS) w usłudze Azure IoT Hub uwierzytelnionej przy użyciu protokołu X.509.
  • Aby chronić urządzenia przed niechcianymi połączeniami przychodzącymi, usługa Azure IoT Hub nie otwiera żadnego połączenia z urządzeniem. Urządzenie inicjuje wszystkie połączenia.
  • Usługa Azure IoT Hub trwale przechowuje komunikaty dla urządzeń i czeka na nawiązanie połączenia z urządzeniem. Te polecenia są przechowywane przez dwa dni, umożliwiając sporadycznie łączenie urządzeń ze względu na problemy z zasilaniem lub łącznością w celu odbierania tych poleceń. Usługa Azure IoT Hub obsługuje kolejkę dla każdego urządzenia.

Zabezpieczanie przetwarzania i magazynowania w chmurze

Korzystając z identyfikatora Entra firmy Microsoft na potrzeby uwierzytelniania i autoryzacji użytkowników, usługa Azure IoT Hub może udostępnić model autoryzacji opartej na zasadach dla danych w chmurze, umożliwiając łatwe zarządzanie dostępem, które można przeprowadzać inspekcję i przeglądać.

Gdy dane znajdują się w chmurze, mogą być przetwarzane i przechowywane w dowolnym przepływie pracy zdefiniowanym przez użytkownika. Dostęp do każdej części danych jest kontrolowany za pomocą identyfikatora Firmy Microsoft Entra w zależności od używanej usługi magazynu.

Wszystkie klucze używane przez infrastrukturę IoT są przechowywane w chmurze w bezpiecznym magazynie, z możliwością przerzucania w przypadku konieczności ponownego aprowizacji kluczy. Dane można przechowywać w usłudze Azure Cosmos DB lub w bazach danych SQL, włączając definicję żądanego poziomu zabezpieczeń. Ponadto platforma Azure umożliwia monitorowanie i inspekcję całego dostępu do danych, aby otrzymywać alerty o wszelkich nieautoryzowanym dostępie lub włamaniu.

Zabezpieczanie sieci

Domyślnie nazwy hostów usługi IoT Hub są mapowane na publiczny punkt końcowy z publicznym routingiem adresu IP za pośrednictwem Internetu. Dzięki temu różni klienci mogą udostępniać ten publiczny punkt końcowy usługi IoT Hub i zapewnić, że urządzenia IoT łączące się za pośrednictwem sieci rozległych i sieci lokalnych mogą uzyskiwać dostęp do centrum. Istnieją jednak sytuacje, w których można ograniczyć dostęp do zasobów platformy Azure. Rozwiązania Azure IoT obsługują filtrowanie adresów IP i sieci wirtualne, aby w razie potrzeby zapewnić bezpieczny dostęp.

Aby uzyskać szczegółowe informacje na temat zabezpieczania dostępu do sieci, zobacz następujące zasoby: