Linux-enhetsberedskap för Microsofts säkerhets- och hanteringspaket
Artikel
Genom en kombination av omfattande molntjänster och kompakta effektiva komponenter på enhetssidan tillhandahåller Microsoft grundläggande säkerhets- och hanteringsfunktioner för Azure-IoT-anslutna enheter. Dessa funktioner omfattar hothantering, arbetsbelastningshantering, konfigurationshantering och uppdateringshantering.
Företag och lösningsbyggare vill konsekvent fokusera överst i stacken. Exempel: differentierat värde via AI, driftinsikter och kundupplevelser. Microsoft tillhandahåller säkerhets- och hanteringstjänster utanför hyllan så att du eller dina kunder kan fokusera på differentiering, inte att återskapa grunderna.
När du inkluderar Microsofts kostnadsfria komponenter på dina enheter är du eller dina kunder redo att aktivera och använda Azures hanterings- och säkerhetsfunktioner när som helst. Att lägga till komponenter på enhetssidan senare i design- eller distributionslivscykeln kan vara långsamt och kostsamt, så vi uppmuntrar byggare att inkludera dessa komponenter på enhetssidan tidigt i livscykeln.
Azure IoT Edge är Microsofts verktyg för fjärrdistribution och säker distribution och hantering av molnbaserade arbetsbelastningar, till exempel AI, Azure-tjänster eller din egen affärslogik, för att köras direkt på dina IoT-enheter. IoT Edge kan användas för att optimera molnutgifter och göra det möjligt för dina enheter att reagera snabbare på lokala ändringar och fungera tillförlitligt även under längre offlineperioder. Genom att använda IoT Edge kan du:
Distribuera Azure IoT Edge lokalt för att dela upp datasilor och konsolidera driftdata i stor skala i Azure Cloud.
Distribuera och hantera molnbaserade arbetsbelastningar på ett säkert sätt – till exempel AI, Azure-tjänster eller din egen affärslogik – för att köras direkt på dina IoT-enheter.
Optimera molnutgifter och gör det möjligt för dina enheter att reagera snabbare på lokala ändringar och arbeta tillförlitligt även under längre offlineperioder.
Defender för IoT tillhandahåller en omfattande uppsättning säkerhetsfunktioner och funktioner som kan integreras i deras produkter under utvecklingsprocessen. Detta hjälper till att skydda enheter från grunden och minskar risken för sårbarheter och attacker. Lösningen kan anpassas för att uppfylla de specifika säkerhetsbehoven för olika IoT-enheter och kan integreras med enhetsbyggarens befintliga utvecklingsverktyg och processer. Med Defender för IoT kan du:
Följ branschregler och standarder: Defender for IoT hjälper enhetsbyggare att följa relevanta säkerhetsbestämmelser och standarder, till exempel NIST Cybersecurity Framework, genom att tillhandahålla en omfattande uppsättning säkerhetskontroller.
Övervaka säkerhetsstatusen för en IoT-enhet proaktivt: Defender for IoT tillhandahåller rekommendationer för säkerhetsstatus baserat på CIS-benchmark, tillsammans med enhetsspecifika rekommendationer. Med mikroagenten kan användarna också få insyn i operativsystemets säkerhet, inklusive operativsystemkonfiguration, brandväggsinställningar och behörigheter.
Skydda dina produkter mot cyberhot: Lösningen tillhandahåller övervakning och skydd i realtid (EDR – Slutpunktsidentifiering och svar) mot skadlig kod, hackning, obehörig åtkomst och andra säkerhetshot, vilket bidrar till att säkerställa säkerheten för IoT-enheter under hela livscykeln.
Säkerställ samverkan med Microsoft SIEM/SOAR och XDR för att stoppa attacker med automatiserad säkerhet över domäner och inbyggd AI.
Sammanfattningsvis ger Defender för IoT enhetsbyggare en omfattande uppsättning säkerhetsfunktioner och funktioner som hjälper till att skydda IoT-enheter från grunden och minska risken för sårbarheter och attacker. Det gör det möjligt för enhetsbyggare att leverera säkra, kompatibla och tillförlitliga IoT-produkter till sina kunder.
Enhetsuppdatering för Azure IoT Hub är en tjänst som gör att du kan distribuera trådlösa uppdateringar för dina IoT-enheter.
Eftersom IoT-lösningar (Internet of Things) fortsätter att antas i ökande takt är det viktigt att de enheter som bildar dessa lösningar är enkla att ansluta och hantera i stor skala. Enhetsuppdatering för IoT Hub är en plattform från slutpunkt till slutpunkt som kunderna kan använda för att publicera, distribuera och hantera trådlösa uppdateringar för allt från små sensorer till enheter på gatewaynivå.
För att kunna dra nytta av alla fördelar med IoT-aktiverad digital omvandling behöver kunderna kunna använda, underhålla och uppdatera enheter i stor skala. Enhetsuppdatering för IoT Hub låser upp funktioner som:
Svara snabbt på säkerhetshot
Distribuera nya funktioner för att få affärsmål
Undvika de extra utvecklings- och underhållskostnaderna för att skapa egna uppdateringsplattformar.
IoT Hub automatiska Enhetshantering och tvillingbaserade arbetsflöden länkar till Microsofts OSConfig-komponent på enheter för att leverera konfigurationshantering från slutpunkt till slutpunkt. Exempel:
Etablera brandväggsregler automatiskt till enheter, vid distributionstillfället, baserat på enhetens plats eller roll
Granska nätverkskonfigurationen på enskilda enheter eller i stor skala
Felsökning och diagnostik
Konfigurera pakethanterarkällor automatiskt, så enheter hämtar paket från dina godkända lagringsplatser
Hämta och ange värdnamn, värdfiler osv.
Hämta enhetsinformation, inklusive maskinvaruegenskaper, egenskaper för operativsystemversion eller säkerhetsprocessorstatus
Starta om en problematisk enhet via fjärranslutning eller många enheter enligt ett schema
Resten av det här dokumentet fokuserar på hur du förbereder enheter genom att installera nödvändiga komponenter på enhetssidan. Mer information om molntjänster och användningsscenarier finns i Nästa steg.
Vilka komponenter på enhetssidan som ska installeras och hur du installerar dem
Lista över komponenter på enhetssidan
Komponent
Kommentarer
Azure IoT Edge-körning Eller för mindre enheter: Azure IoT Identity Service
Edge-körningen är mest känd för containerhantering, men tillhandahåller även flera ytterligare tjänster på enheten. Underkomponenten Identity Service gör att alla komponenter på enheten kan fungera sömlöst med din IoT Hub. För fullständig funktionalitet installerar du IoT Edge runtime (även kallat aziot-edge) som innehåller identitetstjänsten. För mindre enheter som inte kommer att köra containrar kan du bara installera identitetstjänsten (även kallat aziot-identity-service) för att spara utrymme. Installationsinformation finns i följande avsnitt i den här artikeln.
Microsoft Defender for IoT
Installationsinformation finns i följande avsnitt i den här artikeln.
Enhetsuppdatering för IoT Hub
Installationsinformation finns i följande avsnitt i den här artikeln.
Microsoft OSConfig
Installationsinformation finns i följande avsnitt i den här artikeln.
Så här installerar du komponenterna på enhetssidan
För närvarande installerar inte Edge Config Tool v2 någon enhetsuppdateringsklient.
Installationspaket för varje komponent i sviten är tillgängliga på packages.microsoft.com.
För närvarande varierar pakettillgängligheten beroende på disto- och CPU-arkitektur. Alla komponenter har till exempel paket publicerade för Ubuntu Server 18.04 (x86_64 och Aarch64) och vissa komponenter har paket tillgängliga för många ytterligare Linux-miljöer. Om du använder en distributions- eller CPU-arkitektur där inget paket är tillgängligt för en viss komponent bör du överväga sökvägen build-from-source.
Skapa enhetsidentitet i molnet
I IoT Hub upprättar du en identitet för enheten som i det här exemplet: Registrera din enhet
Anteckning
Hoppa över ovanstående steg om du bara förinstallerar programvara för tillfället (inte ansluter till Azure)
För enkelhetens skull använder det här exemplet en manuellt etablerad symmetrisk nyckel. För produktionsskala och säkerhet är omfattande alternativ tillgängliga, till exempel x.509-baserad autentisering och identitetsetablering i skala via device provisioning-tjänsten.
Installera det första paketet
Lägg till packages.microsoft.com som paketkälla på enheten och installera IoT Edge (eller bara identitetstjänsten för mindre enheter), som i det här exemplet: Installera IoT Edge
Anteckning
För mindre enheter som inte kommer att köra containrar ändrar du ovanstående steg enligt följande:
Installera inte en containermotor
Installera paketet aziot-identity-service i stället för aziot-edge
Hoppa över ovanstående steg om du bara förinstallerar programvara för tillfället (inte ansluter till Azure)
För mindre enheter med bara identitetstjänsten i stället för den fullständiga IoT Edge körningen använder du kommandoradsverktyget aziotctl i stället iotedge för i ovanstående steg. Även om verktygen har olika namn använder de samma argument för att konfigurera enhetsidentiteten
Installera återstående paket
Till exempel på ett apt-baserat system som Ubuntu:
Att bygga från källan är den mest flexibla metoden när du behöver anpassa komponenterna på enhetssidan till dina unika enheter, distributioner eller CPU-arkitekturer.
Microsoft samarbetar med partner för att göra det möjligt för ekosystemet att köpa enheter med de komponenter som redan är installerade. Till exempel kräver Edge Secured-core-programmet (förhandsversion) att enheter implementerar en maskinvarubaserad säkerhetsstatus med säker start osv. och inkludera dessa komponenter för Säkerhet och hantering i Azure.
Under tiden når vissa enheter redan katalogen med en delmängd av sviten inkluderad. Följande enheter innehåller till exempel redan IoT Edge-körning, Defender för IoT-komponenten och OSConfig-komponenten:
Det här har varit en kort sammanfattning av konfigurationsalternativen. Fullständig installationsdokumentation, inklusive konfigurationsparametrar för varje komponent, finns i: