Preparação do dispositivo Linux para o pacote de gerenciamento e segurança da Microsoft
Artigo
Por meio de uma combinação de serviços de nuvem avançados e componentes eficientes do lado do dispositivo compactos, a Microsoft fornece recursos fundamentais de segurança e gerenciamento para dispositivos conectados ao Azure-IoT. Esses recursos incluem gerenciamento de ameaças, gerenciamento de carga de trabalho, gerenciamento de configuração e gerenciamento de atualizações.
Empresas e construtores de soluções desejam se concentrar consistentemente na parte superior da pilha. Por exemplo: valor diferenciado por meio de IA, insights operacionais e experiências do cliente. A Microsoft fornece serviços de segurança e gerenciamento prontos para que você ou seus clientes possam se concentrar na diferenciação, não na recriação de conceitos básicos.
Quando você incluir os componentes de instalação gratuita da Microsoft em seus dispositivos, você ou seus clientes estarão prontos para ativar e usar os recursos de gerenciamento e segurança do Azure a qualquer momento. Adicionar componentes do lado do dispositivo posteriormente no ciclo de vida de design ou implantação pode ser lento e caro, portanto, incentivamos os construtores a incluir esses componentes do lado do dispositivo no início do ciclo de vida.
O Azure IoT Edge é a ferramenta da Microsoft para implantar e gerenciar remotamente e com segurança cargas de trabalho nativas de nuvem, como IA, serviços do Azure ou sua própria lógica de negócios, para serem executadas diretamente em seus dispositivos IoT. IoT Edge pode ser usado para otimizar os gastos com a nuvem e permitir que seus dispositivos reajam mais rapidamente às alterações locais e operem de forma confiável mesmo em períodos offline estendidos. Usando IoT Edge, você pode:
Implante o Azure IoT Edge local para dividir silos de dados e consolidar dados operacionais em escala na Nuvem do Azure.
Implante e gerencie remotamente e com segurança cargas de trabalho nativas de nuvem, como IA, serviços do Azure ou sua própria lógica de negócios, para serem executadas diretamente em seus dispositivos IoT.
Otimize os gastos com a nuvem e permita que seus dispositivos reajam mais rapidamente às alterações locais e operem de forma confiável mesmo em períodos offline estendidos.
O Defender para IoT fornece um conjunto abrangente de recursos e funcionalidades de segurança que podem ser integrados aos seus produtos durante o processo de desenvolvimento. Isso ajuda a proteger os dispositivos desde o início e reduz o risco de vulnerabilidades e ataques. A solução pode ser personalizada para atender às necessidades de segurança específicas de diferentes dispositivos IoT e pode ser integrada às ferramentas e processos de desenvolvimento existentes do construtor de dispositivos. Com o Defender para IoT, é possível:
Em conformidade com os regulamentos e padrões do setor: o Defender para IoT ajuda os construtores de dispositivos a cumprir os regulamentos e padrões de segurança relevantes, como o NIST Cybersecurity Framework, fornecendo um conjunto abrangente de controles de segurança.
Monitorar proativamente a postura de segurança de um dispositivo IoT: o Defender para IoT fornece recomendações de postura de segurança com base no parâmetro de comparação cis, juntamente com recomendações específicas do dispositivo. Com o microagente, os usuários também podem obter visibilidade da segurança do sistema operacional, incluindo configuração do sistema operacional, configurações de firewall e permissões.
Proteger seus produtos contra ameaças cibernéticas: a solução fornece monitoramento e proteção em tempo real (EDR – Detecção e Resposta de Ponto de Extremidade) contra malware, invasão, acesso não autorizado e outras ameaças à segurança, ajudando a garantir a segurança de dispositivos IoT durante todo o ciclo de vida.
Verifique a interoperabilidade com o Microsoft SIEM/SOAR e o XDR para interromper ataques com segurança automatizada entre domínios e IA interna.
Em resumo, o Defender para IoT fornece aos construtores de dispositivos um conjunto abrangente de recursos e funcionalidades de segurança que ajudam a proteger dispositivos IoT desde o início e reduzir o risco de vulnerabilidades e ataques. Ele permite que os construtores de dispositivos forneçam produtos de IoT seguros, compatíveis e confiáveis para seus clientes.
A Atualização de Dispositivo para Hub IoT do Azure é um serviço que permite que você implante as atualizações remotas nos dispositivos IoT.
À medida que as soluções de IoT (Internet das Coisas) continuam a ser adotadas a taxas crescentes, é essencial que os dispositivos que formam essas soluções sejam fáceis de conectar e gerenciar em escala. A Atualização de Dispositivo para o Hub IoT é uma plataforma de ponta a ponta que os clientes podem usar para publicar, distribuir e gerenciar atualizações por satélite para tudo, desde pequenos sensores até dispositivos de nível de gateway.
Para entender os benefícios completos da transformação digital habilitada para IoT, os clientes precisam dessa capacidade de operar, manter e atualizar dispositivos em escala. A Atualização de Dispositivo para Hub IoT desbloqueia recursos como:
Responder rapidamente a ameaças de segurança
Implantar novos recursos para obter objetivos de negócios
Evitar os custos extras de desenvolvimento e manutenção da criação de suas próprias plataformas de atualização.
os fluxos de trabalho automáticos Gerenciamento de Dispositivos e baseados em gêmeos do Hub IoT são vinculados ao componente OSConfig da Microsoft em dispositivos para fornecer gerenciamento de configuração de ponta a ponta. Por exemplo:
Provisionar automaticamente regras de firewall para dispositivos, no momento da implantação, com base no site ou na função do dispositivo
Auditar a configuração de rede em dispositivos individuais ou em escala
Solução de problemas e diagnóstico
Configurar automaticamente fontes do gerenciador de pacotes para que os dispositivos efetuem pull de pacotes de seus repositórios aprovados
Obter e definir nomes de host, arquivos de hosts etc.
Obter informações do dispositivo, incluindo propriedades de hardware, propriedades de versão do sistema operacional ou status do processador de segurança
Reinicializar remotamente um dispositivo problemático ou muitos dispositivos em um agendamento
O restante deste documento se concentra em como preparar dispositivos instalando os componentes necessários do lado do dispositivo. Para obter mais informações sobre os serviços de nuvem e cenários de uso operacional, consulte Próximas etapas.
Quais componentes do lado do dispositivo instalar e como instalá-los
Lista de componentes do lado do dispositivo
Componente
Observações
Runtime do Azure IoT Edge or para dispositivos menores: Serviço de Identidade IoT do Azure
O runtime do Edge é mais conhecido pelo gerenciamento de contêineres, mas também fornece vários serviços adicionais no dispositivo. O subcomponentes do Serviço de Identidade permite que todos os componentes no dispositivo funcionem perfeitamente com o Hub IoT. Para obter a funcionalidade completa, instale o runtime do IoT Edge (também conhecido como aziot-edge) que inclui o Serviço de Identidade. Para dispositivos menores que não executarão contêineres, você pode instalar apenas o Serviço de Identidade (também conhecido como aziot-identity-service) para economizar espaço. Para obter detalhes sobre a instalação, consulte a seção a seguir deste artigo.
Microsoft Defender para IoT
Para obter detalhes sobre a instalação, consulte a seção a seguir deste artigo.
Documentação da Atualização de dispositivo para o Hub IoT
Para obter detalhes sobre a instalação, consulte a seção a seguir deste artigo.
Microsoft OSConfig
Para obter detalhes sobre a instalação, consulte a seção a seguir deste artigo.
Como instalar os componentes do lado do dispositivo
Para dispositivos Ubuntu em processadores x86_64 ou Aarch64, você pode usar a Ferramenta de Configuração do Edge v2 para obter tudo instalado e conectado ao Azure.
No momento, a Ferramenta de Configuração do Edge v2 não instala um cliente de Atualização de Dispositivo.
Os pacotes de instalação para cada componente do pacote estão disponíveis em packages.microsoft.com.
Neste momento, a disponibilidade do pacote varia de acordo com a arquitetura da CPU e da disto. Por exemplo, todos os componentes têm pacotes publicados para o Ubuntu Server 18.04 (x86_64 e Aarch64) e alguns componentes têm pacotes disponíveis para muitos ambientes adicionais do Linux. Se você estiver usando uma arquitetura de distribuição ou CPU em que nenhum pacote está disponível para um determinado componente, considere o caminho de build de origem.
Criar identidade do dispositivo na nuvem
Em Hub IoT, estabeleça uma identidade para o dispositivo como neste exemplo: Registrar seu dispositivo
Observação
Ignore a etapa acima se você estiver apenas pré-instalando o software no momento (não se conectando ao Azure)
Para simplificar, este exemplo usa uma chave simétrica provisionada manualmente. Para escala e segurança de produção, há opções avançadas disponíveis, como autenticação baseada em x.509 e provisionamento de identidade em escala por meio do Serviço de Provisionamento de Dispositivos.
Instalar o primeiro pacote
Adicione packages.microsoft.com como uma fonte de pacote no dispositivo e instale IoT Edge (ou apenas o Serviço de Identidade para dispositivos menores), como neste exemplo: Instalar IoT Edge
Observação
Para dispositivos menores que não executarão contêineres, modifique a etapa acima da seguinte maneira:
Não instalar um mecanismo de contêiner
Instalar o aziot-identity-service pacote em vez de aziot-edge
Ignore a etapa acima se você estiver apenas pré-instalando o software no momento (não se conectando ao Azure)
Para dispositivos menores com apenas o Serviço de Identidade em vez do runtime de IoT Edge completo, use a ferramenta aziotctl de linha de comando em vez de iotedge na etapa acima. Embora as ferramentas tenham nomes diferentes, elas usam os mesmos argumentos para configurar a identidade do dispositivo
Instalar os pacotes restantes
Por exemplo, em um sistema baseado em apt, como o Ubuntu:
A criação da origem é a abordagem mais flexível quando você precisa adaptar os componentes do lado do dispositivo a seus dispositivos, distribuições ou arquiteturas de CPU exclusivos.
A Microsoft está trabalhando com parceiros para permitir que o ecossistema compre dispositivos com os componentes já instalados. Por exemplo, o programa edge secure-core (versão prévia) requer que os dispositivos implementem uma postura de segurança com suporte de hardware com Inicialização Segura etc. e incluem esses componentes para segurança e gerenciamento do Azure.
Enquanto isso, alguns dispositivos já estão chegando ao catálogo com um subconjunto do pacote incluído. Por exemplo, os seguintes dispositivos já incluem o runtime do IoT Edge, o componente defender para IoT e o componente OSConfig:
Este foi um breve resumo das opções de instalação. Para obter a documentação completa da instalação, incluindo parâmetros de configuração para cada componente, consulte: