适用于 Microsoft 安全和管理套件的 Linux 设备就绪情况
本文内容
安全和管理套件功能
要安装哪些设备端组件以及如何安装它们
后续步骤
通过丰富的 云服务 和精简高效的 设备端组件 的组合,Microsoft 为连接 Azure IoT 的设备提供基本的安全和管理功能。 这些功能包括 威胁管理 、 工作负载管理 、 配置 管理和 更新管理 。
企业和解决方案构建者始终希望专注于堆栈顶部。 例如:通过 AI、运营见解和客户体验来区分价值。 Microsoft 提供现成的安全和管理服务,以便你或你的客户可以专注于差异化,而不是重新发明基础知识。
当你在设备中包含 Microsoft 的免费安装组件时,你或你的客户将随时可以激活和使用 Azure 管理和安全功能。 在设计或部署生命周期的后期添加设备端组件可能速度缓慢且成本高昂,因此我们鼓励构建者在生命周期的早期包括这些设备端组件。
套件的亮点包括:
Azure IoT Edge 是 Microsoft 用于远程安全地部署和管理云原生工作负载(例如 AI、Azure 服务或你自己的业务逻辑)的工具,以便直接在 IoT 设备上运行。 IoT Edge可用于优化云支出,使设备能够更快地响应本地更改,即使在长时间的脱机状态下也能可靠地运行。 通过使用 IoT Edge,可以:
在本地部署 Azure IoT Edge,以打破数据孤岛,并在 Azure 云中大规模合并操作数据。
远程且安全地部署和管理云原生工作负载(例如 AI、Azure 服务或你自己的业务逻辑),以直接在 IoT 设备上运行。
优化云支出,使设备能够更快地响应本地更改,即使在长时间的脱机状态下也能可靠地运行。
Defender for IoT 提供了一组全面的安全功能和功能,可在开发过程中集成到其产品中。 这有助于从头开始保护设备,并降低漏洞和攻击的风险。 可以自定义解决方案以满足不同 IoT 设备的特定安全需求,并且可以与设备生成器的现有开发工具和流程集成。 使用 Defender for IoT,可以:
遵守行业法规和标准:Defender for IoT 通过提供一组全面的安全控制措施,帮助设备构建者遵守相关的安全法规和标准,例如 NIST 网络安全框架。
主动监视 IoT 设备的安全状况:Defender for IoT 根据 CIS 基准提供安全态势建议,以及特定于设备的建议。 使用微代理,用户还可以了解操作系统安全性,包括 OS 配置、防火墙设置和权限。
保护产品免受网络威胁:该解决方案 (EDR - 终结点检测和响应) 提供实时监视和保护,防止恶意软件、黑客攻击、未经授权的访问和其他安全威胁,帮助确保 IoT 设备的整个生命周期的安全性。
确保与 Microsoft SIEM/SOAR 和 XDR 的互操作性,以通过自动化的跨域安全性和内置 AI 来阻止攻击。
总之,Defender for IoT 为设备生成器提供了一套全面的安全功能和功能,可帮助从头开始保护 IoT 设备并降低漏洞和攻击的风险。 它使设备生成器能够向其客户提供安全、合规和值得信赖的 IoT 产品。
Device Update for Azure IoT Hub 是一项服务,可用于为 IoT 设备部署无线更新。
随着物联网 (IoT) 解决方案的采用率不断提高,生成这些解决方案的设备就必须易于大规模连接和管理。 Device Update for IoT Hub 是一个端到端平台,客户可以使用它来发布、分发和管理从微型传感器到网关级设备的所有内容的无线更新。
为了实现 IoT 支持的数字化转型的全部优势,客户需要能够大规模操作、维护和更新设备。 Device Update for IoT Hub 解锁如下功能:
快速响应安全威胁
部署新功能以获取业务目标
在生成自己的更新平台时不会产生额外的开发和维护成本。
IoT 中心的自动设备管理和基于孪生的工作流与设备上的 Microsoft OSConfig 组件链接,以提供端到端的配置管理。 例如:
在部署时,根据设备的站点或角色,自动将防火墙规则预配到设备
审核单个设备或大规模上的网络配置
故障排除和诊断
自动配置包管理器源,以便设备从批准的存储库拉取包
获取和设置主机名、主机文件等。
获取设备信息,包括硬件属性、OS 版本属性或安全处理器状态
远程重启有问题的设备,或按计划重启多个设备
本文档的其余部分重点介绍如何通过安装必要的设备端组件来准备设备。 有关云服务和操作使用方案的详细信息,请参阅 后续步骤 。
组件
备注
Azure IoT Edge运行时 or 适用于小型设备: Azure IoT 标识服务
Edge 运行时最有名的是容器管理,但也在设备上提供了一些附加服务。 标识服务子组件使设备上的所有组件都能与IoT 中心无缝协作。 若要获得完整功能,请安装IoT Edge运行时 (又名aziot-edge
) ,其中包括标识服务。 对于不会运行容器的较小设备,可以仅安装标识服务 (又名 aziot-identity-service
) 以节省空间。 有关安装详细信息,请参阅本文的以下部分。
Microsoft Defender for IoT
有关安装详细信息,请参阅本文的以下部分。
IoT 中心的设备更新文档
有关安装详细信息,请参阅本文的以下部分。
Microsoft OSConfig
有关安装详细信息,请参阅本文的以下部分。
从以下选项中选择:
套件的每个组件的安装包在 上 packages.microsoft.com
可用。
目前,包可用性因 disto 和 CPU 体系结构而异。 例如,所有组件都有针对 Ubuntu Server 18.04 (x86_64 和 Aarch64) 发布的包,某些组件具有可用于许多其他 Linux 环境的包。 如果使用发行版或 CPU 体系结构,其中没有包可用于给定组件,请考虑从源生成路径。
在云中创建设备标识
在 IoT 中心 中,为设备建立标识,如以下示例所示:注册设备
注意
如果目前仅预安装软件, (未连接到 Azure)
为简单起见,此示例使用手动预配的对称密钥。 对于生产规模和安全性,提供了丰富的选项,例如基于 x.509 的身份验证,以及通过设备预配服务进行大规模标识预配。
安装第一个包
在设备上添加packages.microsoft.com
为包源,) 为较小的设备安装IoT Edge (或仅安装标识服务,如以下示例所示:安装 IoT Edge
注意
对于不会运行容器的较小设备,请修改上述步骤,如下所示:
不要安装容器引擎
安装包, aziot-identity-service
而不是 aziot-edge
获取向 Azure 进行身份验证的设备
将IoT 中心信息和设备机密设置为设备,如以下示例所示:使用其云标识预配设备
注意
如果目前仅预安装软件, (未连接到 Azure)
对于仅具有标识服务而不是完整IoT Edge运行时的较小设备,请使用命令行工具aziotctl
,而不是iotedge
在上述步骤中。 尽管这些工具具有不同的名称,但它们使用相同的参数来设置设备标识
安装剩余的包
例如,在基于 apt 的系统(如 Ubuntu)上:
sudo apt install defender-iot-micro-agent-edge deviceupdate-agent osconfig
需要使设备端组件适应独特的设备、发行版或 CPU 体系结构时,从源生成是最灵活的方法。
可以使用以下存储库:
Microsoft 正在与合作伙伴合作,使生态系统能够购买已安装组件的设备。 例如, Edge Secured-core (Preview) 计划要求设备使用安全启动等实现硬件支持的安全态势。和 包括这些用于 Azure 安全和管理的组件。
同时,某些设备已访问包含套件子集的目录。 例如,以下设备已包括 IoT Edge 运行时、Defender for IoT 组件和 OSConfig 组件:
这是设置选项的简要摘要。 有关包括每个组件的配置参数的完整安装文档,请参阅: