Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Applies to:
IoT Edge 1.5
Önemli
IoT Edge 1.5 LTS, desteklenen bir sürümdür. IoT Edge 1.4 LTS, 12 Kasım 2024'te kullanım ömrüne ulaştı. Önceki bir sürümü kullanıyorsanız bkz. Update IoT Edge.
Azure IoT Edge, verilerinizi ve analizlerinizi akıllı uca taşımanın doğası gereği riskleri ele alır. IoT Edge güvenlik standartları, müşterilerin Azure hizmetlerden beklediği koruma ile farklı dağıtım senaryoları için esnekliği dengeler.
IoT Edge çeşitli donanım modelleri üzerinde çalışır, çeşitli işletim sistemlerini destekler ve çeşitli dağıtım senaryoları için geçerlidir. IoT Edge, belirli senaryolar için somut çözümler sunmak yerine, ölçek için tasarlanmış sağlam ilkelere dayalı genişletilebilir bir güvenlik çerçevesidir. Dağıtım senaryosunun riski, aşağıdakiler dahil olmak üzere birçok faktöre bağlıdır:
- Çözümün Sahipliği
- Dağıtım coğrafyası
- Veri duyarlılığı
- Gizlilik
- Uygulama dikey
- Mevzuat gereksinimleri
Bu makalede IoT Edge güvenlik çerçevesine genel bir bakış sağlanır. Daha fazla bilgi için bkz . Akıllı kenarın güvenliğini sağlama.
Standartlar
Standartlar, güvenliğin önemli özellikleri olan incelemeyi ve uygulamayı kolaylaştırır. Güvenlik çözümünün güven açısından değerlendirilmesi kolay olmalı ve dağıtımı engellememelidir. Azure IoT Edge güvenliğini sağlamaya yönelik çerçeve, tanıdıklık ve yeniden kullanım için kanıtlanmış güvenlik protokollerini kullanır.
Kimlik Doğrulaması
Bir IoT çözümü dağıtırken yalnızca güvenilen aktörlerin, cihazların ve modüllerin çözümünüze erişebildiğini bilmeniz gerekir. Sertifika tabanlı kimlik doğrulaması, Azure IoT Edge platformu için kimlik doğrulaması için birincil mekanizmadır. Bu mekanizma, İnternet Mühendisliği Görev Gücü (IETF) tarafından Ortak Anahtar Altyapısı'nı (PKiX) yöneten bir dizi standarttan türetilir.
Azure IoT Edge cihazla etkileşim kuran tüm cihazların, modüllerin ve aktörlerin benzersiz sertifika kimlikleri olmalıdır. Bu kılavuz, etkileşimlerin fiziksel veya ağ bağlantısı üzerinden olup olmadığını uygular. Her senaryo veya bileşen sertifika tabanlı kimlik doğrulamasına uygun olmayabilir, bu nedenle güvenlik çerçevesinin genişletilebilirliği güvenli alternatifler sağlar.
Daha fazla bilgi için bkz. Azure IoT Edge sertifika kullanımı.
Yetkilendirme
En düşük ayrıcalık ilkesi, bir sistemin kullanıcılarının ve bileşenlerinin yalnızca rollerini gerçekleştirmek için gereken en düşük kaynak ve veri kümesine erişimi olması gerektiğini belirtir. Cihazlar, modüller ve aktörler yalnızca izin kapsamındaki kaynaklara ve verilere yalnızca mimari olarak izin verildiğinde erişmelidir. Bazı izinler yeterli ayrıcalıklarla yapılandırılabilirken, diğerleri mimari yapıyla uygulanır. Örneğin, bazı modüller Azure IoT Hub bağlanma yetkisine sahip olabilir. Ancak, bir IoT Edge cihazındaki modülün başka bir IoT Edge cihazdaki modülün ikizine erişmesi için bir neden yoktur.
Diğer yetkilendirme düzenleri arasında sertifika imzalama hakları ve rol tabanlı erişim denetimi veya RBAC yer alır.
Kanıtlama
Kanıtlama, kötü amaçlı yazılımları algılamak ve önlemek için önemli olan yazılım bitlerinin bütünlüğünü sağlar. Azure IoT Edge güvenlik çerçevesi kanıtlamayı üç ana kategori altında sınıflandırır:
- Statik kanıtlama
- Çalışma zamanı doğrulama
- Yazılım doğrulama
Statik kanıtlama
Statik kanıtlama, işletim sistemi, tüm çalışma zamanları ve yapılandırma bilgileri de dahil olmak üzere güç sağlama sırasında bir cihazdaki tüm yazılımların bütünlüğünü doğrular. Statik doğrulama, başlangıç aşamasında gerçekleştiği için genellikle güvenli önyükleme olarak adlandırılır. IoT Edge cihazlar için güvenlik çerçevesi, üreticilerin kapsamını genişletir ve statik kanıtlama işlemlerini güvence altına alan güvenli donanım özellikleri içerir. Bu işlemler güvenli önyükleme ve güvenli firmware yükseltmesini içerir. Silikon satıcılarıyla işbirliği yapmak gereksiz üretici yazılımı katmanlarını ortadan kaldırır ve tehdit yüzeyini en aza indirir.
Çalışma zamanı doğrulama
Sistem güvenli önyükleme işlemini tamamladıktan sonra, iyi tasarlanmış sistemler kötü amaçlı yazılım ekleme girişimlerini algılamalı ve uygun önlemler almalıdır. Kötü amaçlı yazılım saldırıları sistemin bağlantı noktalarını ve arabirimlerini hedef alabilir. Kötü niyetli kişilerin bir cihaza fiziksel erişimi varsa, cihaz üzerinde değişiklik yapabilirler veya cihaza erişim sağlamak için yan kanal saldırıları kullanabilirler. Kötü amaçlı yazılım veya yetkisiz yapılandırma değişiklikleri gibi kötü amaçlı yazılımlar, önyükleme işleminden sonra eklendiği için statik kanıtlama tarafından algılanamaz. Donanım tabanlı karşı önlemler bu tür tehditlerin önlenmesine yardımcı olur. IoT Edge için güvenlik çerçevesi, çalışma zamanı tehditleriyle mücadele eden uzantıları açıkça çağırır.
Yazılım doğrulama
Akıllı uç sistemleri de dahil olmak üzere tüm sağlıklı sistemlerin yamalara ve yükseltmelere ihtiyacı vardır. Güncelleştirme işlemleri için güvenlik önemlidir, aksi takdirde bunlar olası tehdit vektörleri olabilir. IoT Edge güvenlik çerçevesi, paket bütünlüğünü sağlamak ve kaynaklarının kimliğini doğrulamak için ölçülen ve imzalanmış paketler aracılığıyla güncelleştirmeler gerektirir. Bu standart tüm işletim sistemleri ve uygulama yazılımı bitleri için geçerlidir.
Güvenin donanım kökü
Birçok akıllı uç cihaz, özellikle de olası kötü amaçlı aktörler tarafından fiziksel olarak erişilebilen cihazlar için, donanım güvenliği koruma için son savunmadır. Kurcalamaya dayanıklı donanımlar bu tür dağıtımlar için çok önemlidir. Azure IoT Edge, çeşitli risk profillerini ve dağıtım senaryolarını barındırmak için güvenli silikon donanım sağlayıcılarının farklı türlerde donanım kök güveni sunmalarını teşvik eder. Donanım güveni, Güvenilen Platform Modülü (ISO/IEC 11889) ve Güvenilen Bilgi İşlem Grubu'nun Cihaz Tanımlayıcı Oluşturma Altyapısı (DICE) gibi ortak güvenlik protokolü standartlarından gelebilir. TrustZones ve Software Guard Uzantıları (SGX) gibi güvenli kapanım teknolojileri de donanım güveni sağlar.
Sertifikasyon
Müşterilerin dağıtımları için Azure IoT Edge cihaz temin ederken bilinçli kararlar almalarına yardımcı olmak için IoT Edge çerçevesi sertifikasyon gereksinimlerini içerir. Bu gereksinimlerin temeli, güvenlik uygulamasının doğrulanmasıyla ilgili güvenlik talepleri ve sertifikalarla ilgili sertifikalardır. Örneğin, güvenlikle ilgili bir sertifika, IoT Edge cihazının önyükleme saldırılarına karşı dirençli olduğu bilinen güvenli bir donanım kullandığı anlamına gelir. Doğrulama sertifikası, güvenli donanımın cihazda bu değeri sunmak için düzgün şekilde uygulandığı anlamına gelir. Çerçeve, basitlik ilkesiyle uyumlu hale getirmek için sertifikasyon yükünü minimum düzeyde tutar.
Bekleme sırasında şifreleme
Durumda şifreleme, depolanan veriler için veri koruması sağlar. Bekleyen verilere yönelik saldırılar, verilerin depolandığı donanıma fiziksel erişim elde etme ve ardından kapsanan verilerin güvenliğini aşma girişimlerini içerir. Cihazda depolanan verileri korumak için depolama şifrelemesini kullanabilirsiniz. Linux veri saklama sırasında şifreleme için çeşitli seçeneklere sahiptir. İhtiyaçlarınıza en uygun seçeneği belirleyin. Windows için, sistem boştayken şifreleme için Windows BitLocker önerilen seçenektir.
Genişletilebilirlik
IoT teknolojisinin farklı türlerdeki iş dönüşümlerini yönlendirmesiyle, güvenlik yeni ortaya çıkan senaryoları ele almak için paralel olarak gelişmelidir. Azure IoT Edge güvenlik çerçevesi sağlam bir temelle başlar ve aşağıdakiler dahil olmak üzere farklı boyutlarda genişletilebilirlik oluşturur:
- Azure IoT Hub için Cihaz Sağlama Hizmeti gibi birinci taraf güvenlik hizmetleri.
- Üçüncü taraf hizmetler, endüstriyel veya sağlık hizmetleri gibi çeşitli uygulama dikeyleri ya da ağ ağlarında güvenlik izleme veya silikon donanım kanıtlama hizmetleri gibi teknoloji odakları için yönetilen güvenlik hizmetleri gibi zengin bir iş ortakları ağı aracılığıyla sunulmaktadır.
- Kimlik doğrulaması ve kimlik yönetimi için sertifikalar dışında güvenli teknoloji kullanma gibi alternatif güvenlik stratejileriyle geriye dönük düzeltme de dahil olmak üzere eski sistemler.
- Yeni ortaya çıkan güvenli donanım teknolojilerinin ve silikon iş ortağı katkılarının benimsenmesi için güvenli donanım.
Akıllı uç noktanın güvenliğini sağlamak için, IoT güvenliği konusunda ortak ilgiyle yönlendiren açık bir topluluk tarafından işbirliğine dayalı katkılar gereklidir. Bu katkılar güvenli teknolojiler veya hizmetler biçiminde olabilir. Azure IoT Edge güvenlik çerçevesi, akıllı uçta Azure bulut ile aynı güven ve bütünlük düzeyini sunmak üzere maksimum kapsam için genişletilebilir bir güvenlik temeli sunar.
Sonraki adımlar
Azure IoT Edge'in akıllı uçları nasıl güvenli hale getirdiği hakkında daha fazla bilgi edinin.