Azure IoT Edge için güvenlik standartları

  • Makale
  • Okumak için 5 dakika

Şunlar için geçerlidir:IoT Edge 1.4 onay işareti IoT Edge 1.4

Azure IoT Edge, verilerinizi ve analizinizi akıllı uca taşırken doğal olarak bulunan riskleri ele alır. IoT Edge güvenlik standartları, farklı dağıtım senaryoları için esnekliği tüm Azure hizmetlerinden beklediğiniz korumayla dengeler.

IoT Edge çeşitli donanım modelleri üzerinde çalışır, çeşitli işletim sistemlerini destekler ve çeşitli dağıtım senaryoları için geçerlidir. IoT Edge, belirli senaryolar için somut çözümler sunmak yerine, ölçek için tasarlanmış iyi temel ilkeleri temel alan genişletilebilir bir güvenlik çerçevesidir. Dağıtım senaryosunun riski, aşağıdakiler gibi birçok faktöre bağlıdır:

  • Çözüm sahipliği
  • Dağıtım coğrafyası
  • Veri duyarlılığı
  • Gizlilik
  • Uygulama dikey
  • Mevzuat gereksinimleri

Bu makalede IoT Edge güvenlik çerçevesine genel bir bakış sağlanır. Daha fazla bilgi için bkz . Akıllı kenarın güvenliğini sağlama.

Standartlar

Standartlar, her ikisi de güvenliğin önemli özellikleri olan inceleme ve uygulama kolaylığını teşvik eder. Bir güvenlik çözümü, güven oluşturmak için değerlendirme aşamasında incelemeye uygun olmalıdır ve dağıtıma engel olmamalıdır. Azure IoT Edge güvenliğini sağlamaya yönelik çerçevenin tasarımı, aşinalık ve yeniden kullanım için zaman testine ve sektörde kanıtlanmış güvenlik protokollerine dayanır.

Kimlik Doğrulaması

Bir IoT çözümü dağıtırken yalnızca güvenilen aktörlerin, cihazların ve modüllerin çözümünüze erişebildiğini bilmeniz gerekir. Sertifika tabanlı kimlik doğrulaması, Azure IoT Edge platformu için kimlik doğrulaması için birincil mekanizmadır. Bu mekanizma, İnternet Mühendisliği Görev Gücü (IETF) tarafından Ortak Anahtar Altyapısı'nı (PKiX) yöneten bir dizi standarttan türetilir.

Azure IoT Edge cihazıyla etkileşim kuran tüm cihazların, modüllerin ve aktörlerin benzersiz sertifika kimlikleri olmalıdır. Bu kılavuz, etkileşimlerin fiziksel veya ağ bağlantısı üzerinden olup olmadığını uygular. Her senaryo veya bileşen sertifika tabanlı kimlik doğrulamasına uygun olmayabilir, bu nedenle güvenlik çerçevesinin genişletilebilirliği güvenli alternatifler sunar.

Daha fazla bilgi için bkz. Azure IoT Edge sertifika kullanımı.

Yetkilendirme

En düşük ayrıcalık ilkesi, bir sistemin kullanıcılarının ve bileşenlerinin yalnızca rollerini gerçekleştirmek için gereken en düşük kaynak ve veri kümesine erişimi olması gerektiğini belirtir. Cihazlar, modüller ve aktörler yalnızca izin kapsamındaki kaynaklara ve verilere erişmeli ve yalnızca mimari olarak izin verildiğinde erişmelidir. Bazı izinler yeterli ayrıcalıklarla yapılandırılabilirken diğerleri mimari olarak zorlanır. Örneğin, bazı modüller Azure IoT Hub bağlanma yetkisine sahip olabilir. Ancak, bir IoT Edge cihazındaki modülün başka bir IoT Edge cihazdaki modülün ikizine erişmesi için bir neden yoktur.

Diğer yetkilendirme düzenleri arasında sertifika imzalama hakları ve rol tabanlı erişim denetimi (RBAC) bulunur.

Kanıtlama

Kanıtlama, kötü amaçlı yazılımları algılamak ve önlemek için önemli olan yazılım bitlerinin bütünlüğünü güvence altına alır. Azure IoT Edge güvenlik çerçevesi kanıtlamayı üç ana kategori altında sınıflandırır:

  • Statik kanıtlama
  • Çalışma zamanı kanıtlama
  • Yazılım kanıtlama

Statik kanıtlama

Statik kanıtlama, işletim sistemi, tüm çalışma zamanları ve yapılandırma bilgileri de dahil olmak üzere bir cihazdaki tüm yazılımların bütünlüğünü doğrular. Statik kanıtlama güç sağlama sırasında gerçekleştiği için genellikle güvenli önyükleme olarak adlandırılır. IoT Edge cihazlar için güvenlik çerçevesi, üreticilerin kapsamını genişletir ve statik kanıtlama işlemlerini güvence altına alan güvenli donanım özellikleri içerir. Bu işlemler güvenli önyükleme ve güvenli üretici yazılımı yükseltmesini içerir. Silikon satıcılarıyla yakın işbirliği içinde çalışmak gereksiz üretici yazılımı katmanlarını ortadan kaldırır, bu nedenle tehdit yüzeyini en aza indirir.

Çalışma zamanı kanıtlama

Sistem güvenli bir önyükleme işlemini tamamladıktan sonra, iyi tasarlanmış sistemler kötü amaçlı yazılım ekleme girişimlerini algılamalı ve uygun önlemler almalıdır. Kötü amaçlı yazılım saldırıları sistemin bağlantı noktalarını ve arabirimlerini hedef alabilir. Kötü amaçlı aktörlerin bir cihaza fiziksel erişimi varsa, cihazın kendisiyle oynanabilir veya erişim kazanmak için yan kanal saldırılarını kullanabilirler. Kötü amaçlı yazılım veya yetkisiz yapılandırma değişiklikleri gibi kötü amaçlı yazılımlar, önyükleme işleminden sonra eklendiğinden statik kanıtlama tarafından algılanamaz. Cihazın donanımı tarafından sunulan veya uygulanan karşı önlemler bu tür tehditleri önlemek için yardımcı olur. IoT Edge için güvenlik çerçevesi, çalışma zamanı tehditleriyle mücadele eden uzantıları açıkça çağırır.

Yazılım kanıtlama

Akıllı uç sistemleri de dahil olmak üzere tüm iyi durumdaki sistemlerin yamalara ve yükseltmelere ihtiyacı vardır. Güncelleştirme işlemleri için güvenlik önemlidir, aksi takdirde bunlar olası tehdit vektörleri olabilir. IoT Edge için güvenlik çerçevesi, paketlerin bütünlüğünü sağlamak ve kaynağın kimliğini doğrulamak için ölçülen ve imzalanan paketler aracılığıyla güncelleştirmeleri çağırır. Bu standart tüm işletim sistemleri ve uygulama yazılımı bitleri için geçerlidir.

Güvenin donanım kökü

Birçok akıllı uç cihaz, özellikle de olası kötü amaçlı aktörler tarafından fiziksel olarak erişilebilen cihazlar için, donanım güvenliği koruma için son savunmadır. Kurcalamaya dayanıklı donanım, bu tür dağıtımlar için çok önemlidir. Azure IoT Edge, çeşitli risk profillerini ve dağıtım senaryolarını barındırmak için güvenli silikon donanım satıcılarını farklı donanım güven kökü türleri sunmaya teşvik eder. Donanım güveni, Güvenilen Platform Modülü (ISO/IEC 11889) ve Güvenilir Bilgi İşlem Grubunun Cihaz Tanımlayıcı Oluşturma Altyapısı (DICE) gibi yaygın güvenlik protokolü standartlarından gelebilir. TrustZones ve Software Guard Uzantıları (SGX) gibi güvenli kapanım teknolojileri de donanım güveni sağlar.

Sertifikasyon

Müşterilerin dağıtımları için Azure IoT Edge cihazları temin ederken bilinçli kararlar almalarına yardımcı olmak için IoT Edge çerçevesi sertifikasyon gereksinimlerini içerir. Bu gereksinimlerin temeli, güvenlik taleplerinin ve güvenlik uygulamasının doğrulanmasıyla ilgili sertifikaların tasdikleridir. Örneğin, güvenlik talebi sertifikası, IoT Edge cihazın önyükleme saldırılarına karşı direnmek için bilinen güvenli donanım kullandığı anlamına gelir. Doğrulama sertifikası, güvenli donanımın cihazda bu değeri sunmak için düzgün bir şekilde uygulandığı anlamına gelir. Çerçeve, basitlik ilkesine uygun olarak sertifikasyon yükünü en az düzeyde tutmaya çalışır.

Genişletilebilirlik

Farklı türlerdeki iş dönüşümlerini yönlendiren IoT teknolojisi sayesinde güvenlik, yeni ortaya çıkan senaryoları ele almak için paralel olarak geliştirilmelidir. Azure IoT Edge güvenlik çerçevesi, aşağıdakileri içerecek şekilde farklı boyutlarda genişletilebilirlik içinde derlediği sağlam bir temelle başlar:

  • Azure IoT Hub için Cihaz Sağlama Hizmeti gibi birinci taraf güvenlik hizmetleri.
  • Farklı uygulama dikeyleri için yönetilen güvenlik hizmetleri (endüstriyel veya sağlık hizmetleri gibi) veya teknoloji odağı (ağ ağlarında güvenlik izleme veya silikon donanım kanıtlama hizmetleri gibi) gibi üçüncü taraf hizmetler, zengin bir iş ortakları ağı üzerinden.
  • Kimlik doğrulaması ve kimlik yönetimi için sertifikalar dışında güvenli teknoloji kullanma gibi alternatif güvenlik stratejileriyle geriye dönük doğrulamayı içerecek eski sistemler.
  • Yeni ortaya çıkan güvenli donanım teknolojilerinin ve silikon iş ortağı katkılarının benimsenmesi için güvenli donanım.

Sonunda, akıllı uç güvenliğini sağlamak için IoT'nin güvenliğini sağlamaya yönelik ortak ilginin yönlendirdiği açık bir topluluktan işbirliğine dayalı katkılar gerekir. Bu katkılar güvenli teknolojiler veya hizmetler biçiminde olabilir. Azure IoT Edge güvenlik çerçevesi, azure bulutunda olduğu gibi akıllı uçta da aynı güven ve bütünlük düzeyini sunmak üzere maksimum kapsam için genişletilebilir olan sağlam bir güvenlik temeli sunar.

Sonraki adımlar

Azure IoT Edge'nin akıllı uç güvenliğini sağlama hakkında daha fazla bilgi edinin.