Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu güvenlik temeli , Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan IoT Central'a yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve IoT Central için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
IoT Central için geçerli olmayan özellikler dışlanmıştır. IoT Central'ın Microsoft bulut güvenlik karşılaştırmasına nasıl tamamen eşlediğini görmek için , tam IoT Central güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, IoT Central'ın yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | IoT |
| Müşteri HOST/işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Yanlış |
| Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: IoT Central, doğrudan bir sanal ağa dağıtmayı desteklemez. IoT Central'ı özel bir ağ ortamına güvenli hale getirmek için Azure Özel Bağlantı kullanın.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Özel bağlantı, cihaz bağlantıları için etkinleştirilmiştir ve kullanıcıların özel uç nokta üzerinden trafiği etkinleştirmek için cihazın DPS uç noktasını güncelleştirmesini gerektirir.
Yapılandırma Kılavuzu: Azure Sanal Ağ özel uç noktasını kullanarak cihazlarınızı IoT Central uygulamanıza bağlayın. Özel uç noktalar, cihazlarınızı IoT Central uygulamanıza özel olarak bağlamak için sanal ağ adres alanından özel IP adresleri kullanır.
Başvuru: IoT Central için özel uç nokta oluşturma ve yapılandırma
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Şu anda özel bağlantı yalnızca IoT Central uygulamasında temel alınan IoT hub'larına ve DPS'ye yapılan cihaz bağlantıları için etkinleştirilmiştir. IoT Central web kullanıcı arabirimi ve API'leri genel uç noktaları üzerinden çalışmaya devam eder.
Yapılandırma Kılavuzu: IoT Central, cihaz bağlantısı için genel erişimi devre dışı bırakmayı destekler, böylece tüm cihaz trafiğine yalnızca özel bir uç nokta veya belirtilen IP kuralları üzerinden erişilebilir.
Başvuru: Azure IoT Central'a bağlanan cihazlar için genel erişimi kısıtlama
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: ioT Central'daki tüm veri düzlemi erişimi için Azure AD kimlikler desteklenir. AD kullanıcıları portal aracılığıyla erişim için IoT Central uygulamalarına eklenebilir ve REST API ile kimlik doğrulaması yapmak için ilişkili AAD taşıyıcı belirteçleri kullanılabilir. AD hizmet sorumluları, REST API çağrıları için gereken yetkilendirme için IoT Central'ın veri düzlemi erişimine de eklenebilir.
Yapılandırma Kılavuzu: IoT Central REST API Çağrılarını yetkilendirmek için iki yolu destekler
- taşıyıcı belirteci Azure AD - Taşıyıcı belirteci, Azure Active Directory kullanıcı hesabı veya hizmet sorumlusuyla ilişkilendirilir. Belirteç, çağırana kullanıcının veya hizmet sorumlusunun IoT Central uygulamasında sahip olduğu izinleri verir.
- API belirteci - IoT Central uygulamasında belirli bir API belirteci oluşturun ve bir rolle ilişkilendirin.
REST API kullanan otomasyon ve betikleri geliştirirken ve test ederken kullanıcı hesabınızla ilişkilendirilmiş bir taşıyıcı belirteci kullanın. Üretim otomasyonu ve betikler için hizmet sorumlusuyla ilişkili taşıyıcı belirteci kullanın. Belirteçlerin süresi dolduğunda sızıntı ve sorun riskini azaltmak için API belirtecine tercih olarak taşıyıcı belirteci kullanın.
Başvuru: Azure IoT Central'da REST API'sini yetkilendirme
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesapların kullanımından kaçının; bunlar mümkün olduğunda devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: IoT Central, 2 senaryo için yerel kimlik doğrulama yöntemleri sağlar
- Paylaşılan erişim imzası (SAS) belirteci tarafından cihaz kimlik doğrulaması
- API belirteçleri aracılığıyla REST API kimlik doğrulaması
Cihazlar, paylaşılan erişim imzası (SAS) belirteci veya X.509 sertifikası kullanarak IoT Central uygulamasıyla kimlik doğrulaması yapar. X.509 sertifikaları üretim ortamlarında önerilir.
REST API kullanarak bir IoT Central uygulamasına erişmek için Azure Active Directory Taşıyıcı belirtecinin yanı sıra ioT Central API belirteci oluşturabilir ve kullanabilirsiniz. Şu anda bu tür yerel kimlik doğrulamasını engellemek/devre dışı bırakmak mümkün değildir, ancak API belirteçleri oluşturma/yönetme özelliği Rol Tabanlı Access Control (RBAC) ve Kuruluşlar tarafından yönetilir.
Başvuru: Cihaz kimlik doğrulaması
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: IoT Central, sürekli veri dışarı aktarma özelliği aracılığıyla yapılandırılan veri çıkış hedeflerine bağlantıyı güvenli hale getirmek için sistem tarafından atanan yönetilen kimlikleri destekler.
IoT Central uygulamaları için yönetilen kimlik yapılandırma hakkında daha fazla bilgi edinin
Dışarı aktarma hedeflerine bağlantının güvenliğini sağlamak için yönetilen kimlikleri kullanma hakkında daha fazla bilgi edinin
Başvuru: Yönetilen kimlik yapılandırma
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Ek Rehberlik: IoT Central, veri düzlemi erişimine Hizmet Sorumluları eklemeyi destekler. Hizmet sorumlusu, IoT Central uygulamasıyla ilişkili Azure aboneliğiyle aynı Azure Active Directory kiracısına ait olmalıdır.
Hizmet sorumlularını kullanıcı olarak ekleme hakkında daha fazla bilgi edinin
Hizmet Sorumlusu ile ilişkili Azure Active Directory taşıyıcı belirteci, REST API çağrılarının kimliğini doğrulamak ve yetkilendirmek için de kullanılabilir.
IoT Central REST API çağrılarının kimliğini doğrulama ve yetkilendirme hakkında daha fazla bilgi edinin
Başvuru: Azure IoT Central API hizmet sorumlusu kimlik doğrulaması
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Role-Based Access Control (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: IoT Central şu anda Azure Role-Based Access Control 'yi (Azure RBAC) desteklemez, ancak kapsamlı RBAC, uygulama yüzeyi alanının tamamını kapsayan özel roller ve Kuruluşlar aracılığıyla IoT Central uygulamalarında benzer özellikler sağlar.
Roller, kuruluşunuzdaki kimlerin IoT Central'da çeşitli görevler gerçekleştirmesine izin verileceğinizi denetlemenize olanak tanır. Uygulamanızın kullanıcılarına atayabileceğiniz üç yerleşik rol vardır. Daha ayrıntılı denetime ihtiyacınız varsa özel roller de oluşturabilirsiniz.
Kullanıcıları ve rolleri yönetme veözel rolü sonlandırma hakkında daha fazla bilgi edinin
Kuruluşlar, IoT Central uygulamanızda hangi kullanıcıların hangi cihazları görebileceğini yönetmek için kullandığınız bir hiyerarşi tanımlamanıza olanak tanır. Kullanıcının rolü, gördüğü cihazlar ve erişebileceği deneyimler üzerindeki izinlerini belirler. Çok kiracılı bir uygulama uygulamak için kuruluşları kullanın.
IoT Central kuruluşlarını yönetme hakkında daha fazla bilgi edinin
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri taşımayı (müşterinin içeriğinde) izlemek için DLP çözümünü destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
AktarımDaki Veriler Şifrelemesi
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Aktarım sırasında veri şifrelemesi (TLS) hizmette varsayılan olarak etkindir
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-4: Bekleyen verileri varsayılan olarak şifrelemeyi etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Varsayılan olarak bekleyen Azure verileri şifrelemesi
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler şifrelemesi, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylı hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure IoT Central Azure İlkesi destekler ve ağ yalıtımını desteklemek için çeşitli yerleşik ilkeler sunar.
Başvuru: yerleşik ilke tanımlarını Azure İlkesi
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet için Microsoft Defender / Ürün Teklifi
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya log analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Hizmet ölçümleri desteklenir ancak kaynak günlükleri desteklenmez.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin