Azure IoT Edge için güvenlik standartları

  • Makale

Şunlar için geçerlidir:IoT Edge 1.5 onay işareti IoT Edge 1.5 IoT Edge 1.4 onay işareti IoT Edge 1.4

Önemli

IoT Edge 1.5 LTS ve IoT Edge 1.4 LTS desteklenen sürümlerdir. IoT Edge 1.4 LTS, 12 Kasım 2024'te kullanım ömrü sona erer. Önceki bir sürümdeyseniz bkz. IoT Edge’i güncelleştirme.

Azure IoT Edge, verilerinizi ve analizinizi akıllı uca taşırken doğal riskleri ele alır. IoT Edge güvenlik standartları, farklı dağıtım senaryoları için esnekliği tüm Azure hizmetlerinden beklediğiniz korumayla dengeler.

IoT Edge çeşitli donanım modellerinde çalışır, çeşitli işletim sistemlerini destekler ve çeşitli dağıtım senaryoları için geçerlidir. IoT Edge, belirli senaryolar için somut çözümler sunmak yerine, ölçek için tasarlanmış sağlam ilkelere dayalı genişletilebilir bir güvenlik çerçevesidir. Dağıtım senaryosunun riski, aşağıdakiler dahil olmak üzere birçok faktöre bağlıdır:

  • Çözüm sahipliği
  • Dağıtım coğrafyası
  • Veri duyarlılığı
  • Gizlilik
  • Uygulama dikey
  • Mevzuat gereksinimleri

Bu makalede IoT Edge güvenlik çerçevesine genel bir bakış sağlanır. Daha fazla bilgi için bkz . Akıllı kenarın güvenliğini sağlama.

Standartlar

Standartlar, her ikisi de güvenliğin önemli özellikleri olan inceleme ve uygulama kolaylığını teşvik eder. Bir güvenlik çözümü, güven oluşturmak için değerlendirme aşamasında incelemeye uygun olmalıdır ve dağıtıma engel olmamalıdır. Azure IoT Edge'in güvenliğini sağlamak için çerçevenin tasarımı, aşinalık ve yeniden kullanım için zaman test edilmiş ve sektörde kanıtlanmış güvenlik protokollerini temel alır.

Kimlik Doğrulaması

Bir IoT çözümü dağıtırken yalnızca güvenilen aktörlerin, cihazların ve modüllerin çözümünüze erişebildiğini bilmeniz gerekir. Sertifika tabanlı kimlik doğrulaması, Azure IoT Edge platformu için kimlik doğrulaması için birincil mekanizmadır. Bu mekanizma, İnternet Mühendisliği Görev Gücü (IETF) tarafından Ortak Anahtar Altyapısı'nı (PKiX) yöneten bir dizi standarttan türetilir.

Azure IoT Edge cihazıyla etkileşim kuran tüm cihazların, modüllerin ve aktörlerin benzersiz sertifika kimlikleri olmalıdır. Bu kılavuz, etkileşimlerin fiziksel veya ağ bağlantısı üzerinden olup olmadığını uygular. Her senaryo veya bileşen sertifika tabanlı kimlik doğrulamasına uygun olmayabilir, bu nedenle güvenlik çerçevesinin genişletilebilirliği güvenli alternatifler sunar.

Daha fazla bilgi için bkz . Azure IoT Edge sertifika kullanımı.

Yetkilendirme

En düşük ayrıcalık ilkesi, bir sistemin kullanıcılarının ve bileşenlerinin yalnızca rollerini gerçekleştirmek için gereken en düşük kaynak ve veri kümesine erişimi olması gerektiğini belirtir. Cihazlar, modüller ve aktörler yalnızca izin kapsamındaki kaynaklara ve verilere yalnızca mimari olarak izin verildiğinde erişmelidir. Bazı izinler yeterli ayrıcalıklarla yapılandırılabilir ve diğerleri mimari olarak zorlanır. Örneğin, bazı modüller Azure IoT Hub'a bağlanma yetkisine sahip olabilir. Ancak, bir IoT Edge cihazındaki modülün başka bir IoT Edge cihazındaki modülün ikizine erişmesi için bir neden yoktur.

Diğer yetkilendirme düzenleri arasında sertifika imzalama hakları ve rol tabanlı erişim denetimi (RBAC) bulunur.

Kanıtlama

Kanıtlama, kötü amaçlı yazılımları algılamak ve önlemek için önemli olan yazılım bitlerinin bütünlüğünü sağlar. Azure IoT Edge güvenlik çerçevesi kanıtlamayı üç ana kategori altında sınıflandırır:

  • Statik kanıtlama
  • Çalışma zamanı kanıtlama
  • Yazılım kanıtlama

Statik kanıtlama

Statik kanıtlama, işletim sistemi, tüm çalışma zamanları ve yapılandırma bilgileri de dahil olmak üzere güç sağlama sırasında bir cihazdaki tüm yazılımların bütünlüğünü doğrular. Statik kanıtlama, güç sağlama sırasında gerçekleştiği için genellikle güvenli önyükleme olarak adlandırılır. IoT Edge cihazları için güvenlik çerçevesi üreticilere kadar uzanır ve statik kanıtlama işlemlerini güvence altına alan güvenli donanım özellikleri içerir. Bu işlemler güvenli önyükleme ve güvenli üretici yazılımı yükseltmesini içerir. Silikon satıcılarıyla yakın işbirliği içinde çalışmak gereksiz üretici yazılımı katmanlarını ortadan kaldırır, bu nedenle tehdit yüzeyini en aza indirir.

Çalışma zamanı kanıtlama

Sistem güvenli önyükleme işlemini tamamladıktan sonra, iyi tasarlanmış sistemler kötü amaçlı yazılım ekleme girişimlerini algılamalı ve uygun önlemler almalıdır. Kötü amaçlı yazılım saldırıları sistemin bağlantı noktalarını ve arabirimlerini hedef alabilir. Kötü amaçlı aktörlerin bir cihaza fiziksel erişimi varsa, cihazla oynanabilir veya erişim kazanmak için yan kanal saldırıları kullanabilirler. Kötü amaçlı yazılım veya yetkisiz yapılandırma değişiklikleri gibi kötü amaçlı yazılımlar, önyükleme işleminden sonra eklendiği için statik kanıtlama tarafından algılanamaz. Cihazın donanımı tarafından sunulan veya uygulanan karşı önlemler, bu tür tehditleri önlemek için yardımcı olur. IoT Edge için güvenlik çerçevesi, çalışma zamanı tehditleriyle mücadele eden uzantıları açıkça çağırır.

Yazılım kanıtlama

Akıllı uç sistemleri de dahil olmak üzere tüm sağlıklı sistemlerin yamalara ve yükseltmelere ihtiyacı vardır. Güncelleştirme işlemleri için güvenlik önemlidir, aksi takdirde bunlar olası tehdit vektörleri olabilir. IoT Edge için güvenlik çerçevesi, paketlerin bütünlüğünü sağlamak ve paketlerin kaynağının kimliğini doğrulamak için ölçülen ve imzalanmış paketler aracılığıyla güncelleştirmeleri çağırır. Bu standart tüm işletim sistemleri ve uygulama yazılımı bitleri için geçerlidir.

Güvenin donanım kökü

Birçok akıllı uç cihaz, özellikle de olası kötü amaçlı aktörler tarafından fiziksel olarak erişilebilen cihazlar için, donanım güvenliği koruma için son savunmadır. Kurcalamaya dayanıklı donanımlar bu tür dağıtımlar için çok önemlidir. Azure IoT Edge, çeşitli risk profillerini ve dağıtım senaryolarını barındırmak için güvenli silikon donanım satıcılarının farklı donanım güven kökü sunmalarını önerir. Donanım güveni, Güvenilen Platform Modülü (ISO/IEC 11889) ve Güvenilen Bilgi İşlem Grubu'nun Cihaz Tanımlayıcı Oluşturma Altyapısı (DICE) gibi ortak güvenlik protokolü standartlarından gelebilir. TrustZones ve Software Guard Uzantıları (SGX) gibi güvenli kapanım teknolojileri de donanım güveni sağlar.

Sertifikasyon

Müşterilerin dağıtımları için Azure IoT Edge cihazları temin ederken bilinçli kararlar almalarına yardımcı olmak için IoT Edge çerçevesi sertifikasyon gereksinimlerini içerir. Bu gereksinimlerin temeli, güvenlik uygulamasının doğrulanmasıyla ilgili güvenlik talepleri ve sertifikalarla ilgili sertifikalardır. Örneğin güvenlik talebi sertifikası, IoT Edge cihazının önyükleme saldırılarına karşı dayanıklı olduğu bilinen güvenli donanım kullandığı anlamına gelir. Doğrulama sertifikası, güvenli donanımın cihazda bu değeri sunmak için düzgün şekilde uygulandığı anlamına gelir. Çerçeve, basitlik ilkesine uygun olarak sertifikasyon yükünü en az düzeyde tutmaya çalışır.

Bekleme sırasında şifreleme

Bekleyen şifreleme, depolanan veriler için veri koruması sağlar. Bekleyen verilere yönelik saldırılar, verilerin depolandığı donanıma fiziksel erişim elde etme ve ardından kapsanan verilerin güvenliğini aşma girişimlerini içerir. Cihazda depolanan verileri korumak için depolama şifrelemesini kullanabilirsiniz. Linux bekleyen şifreleme için çeşitli seçeneklere sahiptir. İhtiyaçlarınıza en uygun seçeneği belirleyin. Windows için, bekleyen şifreleme için önerilen seçenek Windows BitLocker'dır .

Genişletilebilirlik

IoT teknolojisinin farklı türlerdeki iş dönüşümlerini yönlendirmesiyle, güvenlik yeni ortaya çıkan senaryoları ele almak için paralel olarak gelişmelidir. Azure IoT Edge güvenlik çerçevesi, aşağıdakileri içerecek şekilde farklı boyutlara genişletilebilirlik sağlayan sağlam bir temelle başlar:

  • Azure IoT Hub için Cihaz Sağlama Hizmeti gibi birinci taraf güvenlik hizmetleri.
  • Farklı uygulama dikeyleri (endüstriyel veya sağlık hizmetleri gibi) için yönetilen güvenlik hizmetleri veya teknoloji odağı (ağ ağlarında güvenlik izleme veya silikon donanım kanıtlama hizmetleri gibi) gibi üçüncü taraf hizmetler, zengin bir iş ortakları ağı aracılığıyla.
  • Kimlik doğrulaması ve kimlik yönetimi için sertifikalar dışında güvenli teknoloji kullanma gibi alternatif güvenlik stratejileriyle geriye dönük doğrulamayı içeren eski sistemler.
  • Yeni ortaya çıkan güvenli donanım teknolojilerinin ve silikon iş ortağı katkılarının benimsenmesi için güvenli donanım.

Sonunda, akıllı kenarın güvenliğini sağlamak için IoT'nin güvenliğini sağlamaya yönelik ortak ilginin yönlendirdiği açık bir topluluktan işbirliğine dayalı katkılar gerekir. Bu katkılar güvenli teknolojiler veya hizmetler biçiminde olabilir. Azure IoT Edge güvenlik çerçevesi, azure bulutunda olduğu gibi akıllı uçta da aynı güven ve bütünlük düzeyini sunmak üzere maksimum kapsam için genişletilebilir bir güvenlik temeli sunar.

Sonraki adımlar

Azure IoT Edge'in akıllı kenarın güvenliğini sağlama hakkında daha fazla bilgi edinin.