Azure IoT cihaz üreticileri için güvenlik uygulamaları
Daha fazla üretici IoT cihazlarını piyasaya sürerken, yaygın yöntemlerle ilgili yönergeleri belirlemek yararlı olur. Bu makalede, Azure IoT Cihaz Sağlama Hizmeti (DPS) ile kullanmak üzere cihaz üretirken göz önünde bulundurmanız gereken önerilen güvenlik uygulamaları özetlenmektedir.
- Cihaz kimlik doğrulaması seçeneklerini belirleme
- IoT cihazlarına sertifika yükleme
- Güvenilir Platform Modülünü (TPM) üretim süreciyle tümleştirme
Cihaz kimlik doğrulaması seçeneklerini belirleme
Tüm IoT cihaz güvenlik önlemlerinin nihai amacı güvenli bir IoT çözümü oluşturmaktır. Ancak donanım sınırlamaları, maliyet ve güvenlik uzmanlığı düzeyi gibi sorunların tümü seçtiğiniz seçenekleri etkiler. Ayrıca, güvenlik yaklaşımınız IoT cihazlarınızın buluta bağlanma şeklini etkiler. Dikkate alınması gereken birkaç IoT güvenliği öğesi olsa da, her müşterinin karşılaştığı önemli bir öğe, kullanılacak kimlik doğrulama türüdür.
Yaygın olarak kullanılan üç kimlik doğrulama türü X.509 sertifikaları, Güvenilen Platform Modülleri (TPM) ve simetrik anahtarlardır. Diğer kimlik doğrulama türleri mevcut olsa da, Azure IoT üzerinde çözüm oluşturan müşterilerin çoğu bu üç türden birini kullanır. Bu makalenin geri kalanı, her kimlik doğrulama türünü kullanmanın olumlu ve dezavantajlarını sorgular.
X.509 sertifikası
X.509 sertifikaları, kimlik doğrulaması için kullanabileceğiniz bir dijital kimlik türüdür. X.509 sertifika standardı IETF RFC 5280'de belgelenmiştir. Azure IoT'de sertifikaların kimliğini doğrulamanın iki yolu vardır:
- Parmak izi. Onaltılık dize oluşturmak için bir sertifika üzerinde parmak izi algoritması çalıştırılır. Oluşturulan dize, sertifika için benzersiz bir identifer'dır.
- Tam zincire dayalı CA kimlik doğrulaması. Sertifika zinciri, bir son varlık (EE) sertifikasının kimliğini doğrulamak için gereken tüm sertifikaların hiyerarşik bir listesidir. Bir EE sertifikasının kimliğini doğrulamak için, güvenilir bir kök CA dahil olmak üzere zincirdeki her sertifikanın kimliğini doğrulamak gerekir.
X.509 için Artılar:
- X.509, Azure IoT'de desteklenen en güvenli kimlik doğrulama türüdür.
- X.509, sertifika yönetimi amacıyla yüksek düzeyde denetim sağlar.
- Birçok satıcı X.509 tabanlı kimlik doğrulama çözümleri sağlamak için kullanılabilir.
X.509 için eksiler:
- Birçok müşterinin sertifikaları için dış satıcılara güvenmesi gerekebilir.
- Sertifika yönetimi maliyetli olabilir ve toplam çözüm maliyetine eklenir.
- Lojistik iyi düşünülmediyse sertifika yaşam döngüsü yönetimi zor olabilir.
Güvenilir Platform Modülü (TPM)
ISO/IEC 11889 olarak da bilinen TPM, şifreleme anahtarlarını güvenli bir şekilde oluşturmak ve depolamak için bir standarttır. TPM ayrıca, standardı uygulayan modüllerle etkileşim kuran sanal veya fiziksel G/Ç cihazını da ifade eder. TPM cihazı ayrı donanım, tümleşik donanım, üretici yazılımı tabanlı modül veya yazılım tabanlı modül olarak bulunabilir.
TPM'ler ile simetrik anahtarlar arasında iki önemli fark vardır:
- TPM yongaları X.509 sertifikalarını da depolayabilir.
- DPS'de TPM kanıtlama, asimetrik kimlik doğrulamasının bir biçimi olan TPM onay anahtarını (EK) kullanır. Asimetrik kimlik doğrulaması ile şifreleme için ortak anahtar ve şifre çözme için ayrı bir özel anahtar kullanılır. Buna karşılık simetrik anahtarlar, özel anahtarın hem şifreleme hem de şifre çözme için kullanıldığı simetrik kimlik doğrulamasını kullanır.
TPM için Artılar:
- TPM'ler, birçok Windows cihazında standart donanım olarak bulunur ve işletim sistemi için yerleşik destek sağlanır.
- TPM kanıtlamanın güvenliğini sağlamak, paylaşılan erişim imzası (SAS) belirteci tabanlı simetrik anahtar kanıtlamasından daha kolaydır.
- Cihaz kimlik bilgilerini kolayca sona erdirebilir ve yenileyebilir veya dağıtabilirsiniz. BIR TPM cihazının yeniden sağlanması gerektiğinde DPS, IoT Hub kimlik bilgilerini otomatik olarak alır.
TPM için dezavantajlar:
- TPM'ler karmaşıktır ve kullanımı zor olabilir.
- Fiziksel TPM'niz veya kaliteli öykünücüsü yoksa, TPM'lerle uygulama geliştirme zordur.
- Donanıma TPM eklemek için cihazınızın panosunun yeniden tasarlanması gerekebilir.
- EK'yi bir TPM üzerinde yuvarlarsanız, TPM'nin kimliğini yok eder ve yeni bir tane oluşturur. Fiziksel yonga aynı kalsa da IoT çözümünüzde yeni bir kimliğe sahiptir.
Simetrik anahtar
Simetrik anahtarlarla, iletileri şifrelemek ve şifresini çözmek için aynı anahtar kullanılır. Sonuç olarak, aynı anahtar hem cihaz hem de kimliği doğrulayan hizmet tarafından bilinir. Azure IoT, SAS belirteci tabanlı simetrik anahtar bağlantılarını destekler. Simetrik anahtar kimlik doğrulaması, anahtarların güvenliğini sağlamak ve X.509 kimlik doğrulaması ile eşit düzeyde güvenlik elde etmek için önemli sahip sorumluluğu gerektirir. Simetrik anahtarlar kullanıyorsanız, önerilen yöntem bir donanım güvenlik modülü (HSM) kullanarak anahtarları korumaktır.
Simetrik anahtar için artılar:
- Simetrik anahtarları kullanmak, kimlik doğrulamasını kullanmaya başlamanın en basit ve en düşük maliyetli yoludur.
- Simetrik anahtarların kullanılması, oluşturulacak ek bir şey olmadığından işleminizi kolaylaştırır.
Simetrik anahtar için dezavantajlar:
- Simetrik anahtarlar, anahtarların güvenliğini sağlamak için önemli ölçüde çaba gerektirir. Aynı anahtar, cihaz ve bulut arasında paylaşılır ve bu da anahtarın iki yerde korunması gerektiği anlamına gelir. Buna karşılık, TPM ve X.509 sertifikalarıyla ilgili sınama, özel anahtarı ortaya çıkarmadan ortak anahtarın sahip olduğunu kanıtlamaktır.
- Simetrik anahtarlar, kötü güvenlik uygulamalarını izlemeyi kolaylaştırır. Simetrik anahtarlarla ilgili yaygın bir eğilim, cihazlarda şifrelenmemiş anahtarları sabit olarak kodlamadır. Bu uygulama kullanışlı olsa da anahtarları savunmasız bırakır. Simetrik anahtarı cihazda güvenli bir şekilde depolayarak riski azaltabilirsiniz. Ancak önceliğiniz kolaylık yerine nihai güvenlikse kimlik doğrulaması için X.509 sertifikalarını veya TPM'yi kullanın.
Paylaşılan simetrik anahtar
Simetrik anahtar kimlik doğrulamasının paylaşılan simetrik anahtar olarak bilinen bir varyasyonu vardır. Bu yaklaşım, tüm cihazlarda aynı simetrik anahtarın kullanılmasını içerir. Önerilen, cihazlarınızda paylaşılan simetrik anahtarları kullanmaktan kaçınmaktır.
Paylaşılan simetrik anahtar için Pro:
- Büyük ölçekte üretmek için basit uygulama ve ucuz.
Paylaşılan simetrik anahtarın dezavantajları:
- Saldırıya karşı son derece savunmasız. Kolay uygulamanın avantajı riskten çok daha ağır basmış durumdadır.
- Paylaşılan anahtarı alan herkes cihazlarınızın kimliğine bürünebilir.
- Gizliliği tehlikeye atılan paylaşılan bir simetrik anahtara güveniyorsanız, cihazların denetimini kaybetme olasılığınız yüksektir.
Cihazlarınız için doğru seçimi yapma
Bir kimlik doğrulama yöntemi seçmek için, benzersiz üretim sürecinize yönelik her yaklaşımın avantajlarını ve maliyetlerini göz önünde bulundurdığınızdan emin olun. Cihaz kimlik doğrulaması için genellikle belirli bir yaklaşımın ne kadar güvenli olduğu ve ne kadar uygun olduğu arasında ters bir ilişki vardır.
IoT cihazlarına sertifika yükleme
IoT cihazlarınızın kimliğini doğrulamak için X.509 sertifikaları kullanıyorsanız, bu bölüm sertifikaları üretim sürecinizle tümleştirme konusunda rehberlik sağlar. Birkaç karar vermeniz gerekir. Bunlar arasında yaygın sertifika değişkenleri, ne zaman sertifika oluşturulacağı ve bunların ne zaman yükleneceğiyle ilgili kararlar yer alır.
Parolaları kullanmaya alışkınsanız, tüm cihazlarınızda aynı parolayı kullanabileceğiniz şekilde neden tüm cihazlarınızda aynı sertifikayı kullanamadığınızı sorabilirsiniz. İlk olarak, her yerde aynı parolayı kullanmak tehlikelidir. Bu uygulama, şirketleri birkaç yıl önce ABD Doğu Yakası'nda DNS'yi indiren de dahil olmak üzere büyük DDoS saldırılarına maruz bırakmıştır. Kişisel hesaplarda bile hiçbir zaman her yerde aynı parolayı kullanmayın. İkincisi, sertifika parola değildir, benzersiz bir kimliktir. Parola, herkesin güvenli bir binada kapı açmak için kullanabileceği gizli kod gibidir. Bu bildiğiniz bir şeydir ve giriş yapmak için herkese parola verebilirsiniz. Sertifika, fotoğrafınız ve diğer ayrıntıları içeren bir sürücü belgesi gibidir ve güvenlikli bir binaya girmek için bir muhafıza gösterebilirsiniz. Bu senin kim olduğunu gösterir. Korumanın ehliyetli kişilerle doğru bir şekilde eşleşmesi koşuluyla, yalnızca siz girişi kazanmak için lisansınızı (kimliğinizi) kullanabilirsiniz.
Sertifika kararlarında yer alan değişkenler
Aşağıdaki değişkenleri ve her birinin genel üretim sürecini nasıl etkilediğini göz önünde bulundurun.
Güven sertifika kökünün geldiği yer
Ortak anahtar altyapısını (PKI) yönetmek maliyetli ve karmaşık olabilir. Özellikle şirketinizin PKI'yı yönetme deneyimi yoksa. Seçenekleriniz aşağıdaki gibidir:
- Üçüncü taraf PKI kullanın. Bir üçüncü taraf sertifika satıcısından ara imzalama sertifikaları satın alabilirsiniz. Veya özel bir Sertifika Yetkilisi (CA) kullanabilirsiniz.
- Kendi kendine yönetilen bir PKI kullanın. Kendi PKI sisteminizi koruyabilir ve kendi sertifikalarınızı oluşturabilirsiniz.
- Azure Sphere güvenlik hizmetini kullanın. Bu seçenek yalnızca Azure Sphere cihazları için geçerlidir.
Sertifikaların depolandığı yer
Sertifikaların nerede depolandığına ilişkin kararı etkileyen birkaç faktör vardır. Bu faktörler arasında cihaz türü, beklenen kar marjları (güvenli depolamayı karşılayıp karşılayamayacağınız), cihaz özellikleri ve kullanabileceğiniz cihazdaki mevcut güvenlik teknolojisi yer alır. Aşağıdaki seçenekleri göz önünde bulundurun:
- Donanım güvenlik modülünde (HSM). HSM kullanılması kesinlikle önerilir. Cihazınızın denetim panosunda zaten bir HSM yüklü olup olmadığını denetleyin. HSM'niz olmadığını biliyorsanız, gereksinimlerinizi karşılayan bir HSM belirlemek için donanım üreticinizle birlikte çalışın.
- Güvenilen yürütme ortamı (TEE) gibi disk üzerinde güvenli bir yerde.
- Yerel dosya sisteminde veya sertifika deposunda. Örneğin, Windows sertifika deposu.
Fabrikada Bağlan üretkenlik
Fabrikadaki Bağlan üretkenliği, cihazlara yüklenecek sertifikaların nasıl ve ne zaman alındığını belirler. Bağlan üretkenlik seçenekleri şunlardır:
- Bağlantı. Bağlantının olması en uygun özelliktir ve yerel olarak sertifika oluşturma işlemini kolaylaştırır.
- Bağlantı yok. Bu durumda, yerel ve çevrimdışı cihaz sertifikaları oluşturmak için CA'dan imzalı bir sertifika kullanırsınız.
- Bağlantı yok. Bu durumda, önceden oluşturulmuş sertifikaları alabilirsiniz. İsterseniz, yerel olarak sertifika oluşturmak için çevrimdışı bir PKI kullanabilirsiniz.
Denetim gereksinimi
Ürettiğiniz cihazların türüne bağlı olarak, cihazlarınıza cihaz kimliklerinin nasıl yüklendiğine ilişkin bir denetim kaydı oluşturmak için yasal bir gereksiniminiz olabilir. Denetim önemli bir üretim maliyeti ekler. Bu nedenle çoğu durumda, yalnızca gerekirse yapın. Bir denetimin gerekli olup olmadığından emin değilseniz şirketinizin hukuk departmanına danışın. Denetim seçenekleri şunlardır:
- Hassas bir sektör değil. Denetim gerekmez.
- Hassas sektör. Sertifikalar, uyumluluk sertifikası gereksinimlerine göre güvenli bir odaya yüklenmelidir. Sertifikaları yüklemek için güvenli bir odaya ihtiyacınız varsa, büyük olasılıkla sertifikaların cihazlarınıza nasıl yüklendiğini zaten biliyorsunuz. Ve muhtemelen zaten bir denetim sisteminiz var.
Sertifika geçerlilik süresi
Bir sürücü lisansı gibi, sertifikaların da oluşturulduğunda ayarlanan bir son kullanma tarihi vardır. Sertifika geçerlilik süresi seçenekleri şunlardır:
- Yenileme gerekli değildir. Bu yaklaşım uzun bir yenileme süresi kullandığından, cihazın ömrü boyunca sertifikayı yenilemeniz gerekmez. Böyle bir yaklaşım kullanışlı olsa da, aynı zamanda risklidir. Cihazlarınızda HSM gibi güvenli depolama alanı kullanarak riski azaltabilirsiniz. Ancak, önerilen uygulama uzun süreli sertifikaları kullanmaktan kaçınmaktır.
- Yenileme gerekiyor. Cihazın kullanım ömrü boyunca sertifikayı yenilemeniz gerekir. Sertifika geçerliliğinin uzunluğu bağlama bağlıdır ve yenileme için bir stratejiye ihtiyacınız olacaktır. Strateji, sertifikaları nereden aldığınızı ve cihazlarınızın yenileme sürecinde ne tür bir havadan işlevsellik kullanması gerektiğini içermelidir.
Sertifikalar ne zaman oluşturulur?
Fabrikanızdaki İnternet bağlantısı özellikleri, sertifika oluşturma işleminizi etkiler. Sertifikaların ne zaman oluşturulacağı konusunda çeşitli seçenekleriniz vardır:
- Önceden yüklenmiş sertifikalar. Bazı HSM satıcıları, HSM satıcısının müşteri için sertifikaları yüklediği bir premium hizmet sunar. İlk olarak, müşteriler HSM satıcısına imzalama sertifikası erişimi verir. Ardından HSM satıcısı, müşterinin satın aldığı her HSM'ye bu imzalama sertifikası tarafından imzalanan sertifikaları yükler. Müşterinin tek yapması gereken cihaza HSM'yi yüklemektir. Bu hizmet maliyet katsa da üretim sürecinizi kolaylaştırmaya yardımcı olur. Ayrıca sertifikaların ne zaman yükleneceği sorusunu çözer.
- Cihaz tarafından oluşturulan sertifikalar. Cihazlarınız dahili olarak sertifika oluşturuyorsa, genel X.509 sertifikasını DPS'ye kaydetmek için cihazdan ayıklamanız gerekir.
- Bağlan fabrika. Fabrikanızın bağlantısı varsa, ihtiyacınız olduğunda cihaz sertifikaları oluşturabilirsiniz.
- Kendi PKI'nız ile çevrimdışı fabrika. Fabrikanızın bağlantısı yoksa ve çevrimdışı destekle kendi PKI'nızı kullanıyorsanız, ihtiyacınız olduğunda sertifikaları oluşturabilirsiniz.
- Üçüncü taraf PKI ile çevrimdışı fabrika. Fabrikanızın bağlantısı yoksa ve üçüncü taraf PKI kullanıyorsanız sertifikaları önceden oluşturmanız gerekir. Ayrıca sertifikaların bağlantısı olan bir konumdan oluşturulması gerekir.
Sertifikaların ne zaman yükleneceği
IoT cihazlarınız için sertifika oluşturduktan sonra bunları cihazlara yükleyebilirsiniz.
HSM ile önceden yüklenmiş sertifikalar kullanıyorsanız işlem basitleştirilmiştir. HSM cihaza yüklendikten sonra cihaz kodu cihaza erişebilir. Ardından HSM'de depolanan sertifikaya erişmek için HSM API'lerini çağıracaksınız. Bu yaklaşım, üretim süreciniz için en uygun yaklaşımdır.
Önceden yüklenmiş bir sertifika kullanmıyorsanız, sertifikayı üretim sürecinizin bir parçası olarak yüklemeniz gerekir. En basit yaklaşım, ilk üretici yazılımı görüntüsünü yanıp sönerken sertifikayı HSM'ye yüklemektir. İşleminiz, görüntüyü her cihaza yüklemek için bir adım eklemelidir. Bu adımdan sonra, cihazı paketleyip göndermeden önce son kalite denetimlerini ve diğer adımları çalıştırabilirsiniz.
Yükleme işlemini ve son kalite denetimini tek adımda çalıştırmanıza olanak sağlayan yazılım araçları vardır. Sertifika oluşturmak veya önceden oluşturulmuş bir sertifika deposundan sertifika çekmek için bu araçları değiştirebilirsiniz. Ardından yazılım, sertifikayı yüklemeniz gereken yere yükleyebilir. Bu türdeki yazılım araçları, üretim kalitesindeki üretimi büyük ölçekte çalıştırmanızı sağlar.
Cihazlarınızda sertifikaları yükledikten sonra, sonraki adım cihazların DPS'ye nasıl kaydedileceğinizi öğrenmektir.
TPM'yi üretim süreciyle tümleştirme
IoT cihazlarınızın kimliğini doğrulamak için TPM kullanıyorsanız, bu bölüm rehberlik sunar. Bu kılavuz, karma tabanlı ileti kimlik doğrulama kodu (HMAC) anahtar desteğine sahip yaygın olarak kullanılan TPM 2.0 cihazlarını kapsar. TPM yongaları için TPM belirtimi, Güvenilen Bilgi İşlem Grubu tarafından korunan bir ISO standardıdır. TPM hakkında daha fazla bilgi için tpm 2.0 ve ISO/IEC 11889 belirtimlerine bakın.
TPM'nin sahipliğini alma
TPM yongasıyla cihaz üretmenin kritik bir adımı TPM'nin sahipliğini almaktır. Cihaz sahibine bir anahtar sağlayabilmeniz için bu adım gereklidir. İlk adım, onay anahtarını (EK) cihazdan ayıklamaktır. Sonraki adım gerçekten sahiplik talep etmektir. Bunu nasıl yapacağınız, hangi TPM ve işletim sistemini kullandığınıza bağlıdır. Gerekirse, sahipliğin nasıl talepleneceğini belirlemek için TPM üreticisine veya cihaz işletim sisteminin geliştiricisine başvurun.
Üretim sürecinizde EK'yi ayıklayabilir ve sahipliği farklı zamanlarda talep edebilirsiniz ve bu da esneklik sağlar. Birçok üretici, cihazlarının güvenliğini artırmak için bir donanım güvenlik modülü (HSM) ekleyerek bu esnekliklerden yararlanıyor. Bu bölümde EK'nin ne zaman ayıklanması, TPM'nin sahipliğini ne zaman talep etmek ve bu adımları bir üretim zaman çizelgesiyle tümleştirmek için dikkat edilmesi gerekenler hakkında rehberlik sağlanır.
Önemli
Aşağıdaki kılavuzda ayrık, üretici yazılımı veya tümleşik TPM kullandığınız varsayılır. Geçerli olduğu yerlerde, kılavuz ayrık olmayan bir TPM veya yazılım TPM'sini kullanma hakkında notlar ekler. Yazılım TPM'sini kullanıyorsanız, bu kılavuzun içermediği ek adımlar olabilir. Yazılım TPM'leri, bu makalenin kapsamı dışında olan çeşitli uygulamalara sahiptir. Genel olarak, yazılım TPM'sini aşağıdaki genel üretim zaman çizelgesiyle tümleştirmek mümkündür. Ancak yazılım öykünmüş TPM prototip oluşturma ve test için uygun olsa da ayrık, üretici yazılımı veya tümleşik TPM ile aynı güvenlik düzeyini sağlayamaz. Genel bir uygulama olarak, üretimde yazılım TPM'sini kullanmaktan kaçının.
Genel üretim zaman çizelgesi
Aşağıdaki zaman çizelgesinde TPM'nin üretim sürecinden nasıl geçtiği ve bir cihazda nasıl sona ermesi gösterilmektedir. Her üretim süreci benzersizdir ve bu zaman çizelgesi en yaygın desenleri gösterir. Zaman çizelgesi, anahtarlarla belirli eylemlerin ne zaman gerçekleştirildiğinde rehberlik sağlar.
1. Adım: TPM üretiliyor
Cihazlarınızda kullanmak üzere bir üreticiden TPM satın alırsanız, sizin için genel onay anahtarlarını (EK_pubs) ayıklayıp ayıklamadıklarını görün. Üreticinin gönderilen cihazlarla EK_pubs listesini sağlaması yararlı olur.
Dekont
Sağlama hizmetinizde paylaşılan erişim ilkelerini kullanarak TPM üreticisine kayıt listenize yazma erişimi verebilirsiniz. Bu yaklaşım, TPM'leri sizin için kayıt listenize eklemelerini sağlar. Ancak bu, üretim sürecinin erken aşamalarındadır ve TPM üreticisine güvenmeyi gerektirir. Bunu kendi riskinizle yapın.
Cihaz üreticilerine satmak üzere TPM'ler üretiyorsanız, müşterilerinize fiziksel TPM'leriyle birlikte bir EK_pubs listesi vermeyi göz önünde bulundurun. Müşterilere EK_pubs sağlamak, işlemlerinde bir adım kaydeder.
Kendi cihazlarınızla kullanmak üzere TPM'ler üretiyorsanız, sürecinizdeki hangi noktanın EK_pub ayıklamak için en uygun olduğunu belirleyin. zaman çizelgesinde kalan noktalardan herhangi birinde EK_pub ayıklayabilirsiniz.
2. Adım: TPM bir cihaza yüklenir
Üretim sürecinin bu noktasında, cihazın hangi DPS örneğiyle kullanılacağını bilmeniz gerekir. Sonuç olarak, otomatik sağlama için cihazları kayıt listesine ekleyebilirsiniz. Otomatik cihaz sağlama hakkında daha fazla bilgi için DPS belgelerine bakın.
- EK_pub ayıklamadıysanız, şimdi bunu yapmak için iyi bir zaman.
- TPM'nin yükleme işlemine bağlı olarak, bu adım TPM'nin sahipliğini almak için de uygun bir zamandır.
3. Adım: Cihazda üretici yazılımı ve yazılım yüklü
İşlemin bu noktasında, sağlama için kimlik kapsamı ve genel URL ile birlikte DPS istemcisini yükleyin.
- Şimdi EK_pub ayıklamak için son şans. Yazılımı cihazınıza üçüncü bir taraf yükleyecektir, önce EK_pub ayıklamak iyi bir fikirdir.
- Üretim sürecindeki bu nokta TPM'nin sahipliğini almak için idealdir.
Dekont
Yazılım TPM'sini kullanıyorsanız şimdi yükleyebilirsiniz. EK_pub aynı anda ayıklayın.
4. Adım: Cihaz paketlenip ambara gönderilir
Bir cihaz bazen DPS ile dağıtılmadan ve sağlanmadan önce bir yıla kadar bir depoda oturabilir. Bir cihaz dağıtımdan önce uzun süre bir ambarda yer alırsa, cihazı dağıtan müşterilerin üretici yazılımını, yazılımı veya süresi dolmuş kimlik bilgilerini güncelleştirmeleri gerekebilir.
5. Adım: Cihaz konuma yüklenir
Cihaz son konumuna geldikten sonra DPS ile otomatik sağlamadan geçer.
Daha fazla bilgi için bkz . sağlama ve TPM kanıtlama.
Kaynaklar
Bu makalede önerilen güvenlik uygulamalarına ek olarak Azure IoT, güvenli donanım seçmeye ve güvenli IoT dağıtımları oluşturmaya yardımcı olacak kaynaklar sağlar:
- Dağıtım işlemine yol gösteren Azure IoT güvenlik en iyi yöntemleri .
- Bulut için Microsoft Defender, güvenli IoT dağıtımları oluşturmaya yardımcı olacak bir hizmet sunar.
- Donanım ortamınızı değerlendirme konusunda yardım için ioT Güvenliğinizi değerlendirme teknik incelemesine bakın.
- Güvenli donanım seçme konusunda yardım için bkz . IoT Dağıtımınız için Doğru Güvenli Donanım.