Osvědčené postupy zabezpečení pro řešení IoT

Tento přehled představuje klíčové koncepty zabezpečení typického řešení Azure IoT. Každá část obsahuje odkazy na obsah, který poskytuje další podrobnosti a pokyny.

Řešení založené na hraničních zařízeních

Následující diagram znázorňuje základní zobrazení komponent v typickém řešení IoT založeném na hraničních zařízeních. Tento článek se zaměřuje na zabezpečení řešení IoT založeného na hraničních zařízeních:

Zabezpečení v řešení IoT založeném na hraničních zařízeních můžete rozdělit do následujících tří oblastí:

• Zabezpečení prostředků: Zabezpečte fyzickou nebo virtuální položku hodnoty, ze které chcete spravovat, monitorovat a shromažďovat data.

• Zabezpečení připojení: Zajistěte, aby všechna přenášená data mezi assetem, hraničními a cloudovými službami byla důvěrná a manipulována.

• Zabezpečení hraničních zařízení: Zabezpečte svá data při procházení a jsou uložená na hraničním zařízení.

• Zabezpečení cloudu: Zabezpečte svá data při procházení a jsou uložená v cloudu.

Obvykle v hraničním řešení chcete zabezpečit kompletní operace pomocí funkcí zabezpečení Azure. Operace Azure IoT mají integrované možnosti zabezpečení, jako je správa tajných kódů, správa certifikátů a nastavení zabezpečení v clusteru Kubernetes s podporou Azure Arc. Když je cluster Kubernetes připojený k Azure, zahájí se odchozí připojení k Azure pomocí standardního SSL pro zabezpečení přenášených dat a povolí se několik dalších funkcí zabezpečení, například:

• Zobrazení a monitorování clusterů pomocí služby Azure Monitor pro kontejnery
• Vynucujte ochranu před hrozbami pomocí Microsoft Defenderu for Containers.
• Zajistěte zásady správného řízení prostřednictvím použití zásad pomocí Azure Policy pro Kubernetes.
• Udělte přístup ke clusterům Kubernetes a připojte se k němu odkudkoli a spravujte přístup pomocí řízení přístupu na základě role v Azure (Azure RBAC) ve vašem clusteru.

Microsoft Defender pro IoT a kontejnery

Microsoft Defender for IoT je jednotné řešení zabezpečení vytvořené speciálně pro identifikaci zařízení IoT a operačních technologií (OT), ohrožení zabezpečení a hrozeb. Microsoft Defender for Containers je řešení nativní pro cloud, které vylepšuje, monitoruje a udržuje zabezpečení kontejnerizovaných prostředků (clustery Kubernetes, uzly Kubernetes, úlohy Kubernetes, registry kontejnerů, image kontejnerů a další) a jejich aplikace v různých cloudových a místních prostředích.

Defender for IoT i Defender for Containers můžou automaticky monitorovat některá doporučení uvedená v tomto článku. Defender for IoT a Defender for Containers by měl být front-line obrany, aby bylo možné chránit řešení založené na hraničních zařízeních. Další informace najdete v následujících tématech:

• Microsoft Defender for Containers – přehled
• Microsoft Defender pro IoT pro organizace – přehled

Zabezpečení prostředků

• Správa tajných kódů: Použití služby Azure Key Vault k ukládání a správě citlivých informací o prostředcích, jako jsou klíče, hesla, certifikáty a tajné kódy. Operace Azure IoT používají Azure Key Vault jako řešení spravovaného trezoru v cloudu a k synchronizaci tajných kódů z cloudu používá rozšíření Azure Key Vault Secret Store pro Kubernetes a ukládá je na hraničních zařízeních jako tajné kódy Kubernetes. Další informace najdete v tématu Správa tajných kódů pro nasazení operací Azure IoT.

• Správa certifikátů: Správa certifikátů je zásadní pro zajištění zabezpečené komunikace mezi prostředky a vaším hraničním prostředím runtime. Operace Azure IoT poskytují nástroje pro správu certifikátů, včetně vydávání, obnovování a odvolávání certifikátů. Další informace najdete v tématu Správa certifikátů pro interní komunikaci operací Azure IoT.

• Výběr hardwaru odolného proti manipulaci pro prostředky: Zvolte hardware assetu s integrovanými mechanismy pro detekci fyzické manipulace, například otevření krytu zařízení nebo odebrání části zařízení. Tyto signály manipulace můžou být součástí datového proudu nahraného do cloudu a upozorňovat operátory na tyto události.

• Povolte zabezpečené aktualizace firmwaru prostředků: Používejte služby, které umožňují pro vaše prostředky přeletové aktualizace. Vytvářejte prostředky se zabezpečenými cestami pro aktualizace a kryptografické zajištění verzí firmwaru pro zabezpečení prostředků během a po aktualizacích.

• Bezpečně nasaďte hardware prostředků: Zajistěte, aby nasazení hardwaru prostředků bylo co nejvíce odolné proti manipulaci, zejména v nezabezpečených umístěních, jako jsou veřejné prostory nebo neověřená národní prostředí. Povolte pouze nezbytné funkce, které minimalizují nároky na fyzický útok, například bezpečné pokrytí portů USB, pokud nejsou potřeba.

• Postupujte podle osvědčených postupů pro zabezpečení a nasazení zařízení: Pokud výrobce zařízení poskytuje pokyny k zabezpečení a nasazení, postupujte podle těchto pokynů kromě obecných pokynů uvedených v tomto článku.

Zabezpečení připojení

• K zabezpečení připojení z prostředků použijte protokol TLS (Transport Layer Security): Veškerá komunikace v rámci operací Azure IoT se šifruje pomocí protokolu TLS. Aby bylo prostředí zabezpečené ve výchozím nastavení, které minimalizuje neúmyslné vystavení hraničního řešení útočníkům, nasadí se operace Azure IoT s výchozí kořenovou certifikační autoritou a vystavitelem pro certifikáty serveru TLS. Pro produkční nasazení doporučujeme použít vlastního vystavitele certifikační autority a podnikové řešení PKI.

• Zvažte použití podnikových bran firewall nebo proxy serverů ke správě odchozího provozu: Pokud používáte podnikové brány firewall nebo proxy servery, přidejte do seznamu povolených koncových bodů operace Azure IoT.

• Šifrování interního provozu zprostředkovatele zpráv: Zajištění zabezpečení interní komunikace v rámci hraniční infrastruktury je důležité pro zachování integrity a důvěrnosti dat. Zprostředkovatel MQTT byste měli nakonfigurovat tak, aby šifroval interní provoz a přenášená data mezi front-endem zprostředkovatele MQTT a back-endovými pody. Další informace najdete v tématu Konfigurace šifrování interního provozu zprostředkovatele a interních certifikátů.

• Nakonfigurujte protokol TLS s automatickou správou certifikátů pro naslouchací procesy ve zprostředkovateli MQTT: Operace Azure IoT poskytuje automatickou správu certifikátů pro naslouchací procesy ve zprostředkovateli MQTT. To snižuje administrativní režii ruční správy certifikátů, zajišťuje včasné prodlužování platnosti a pomáhá udržovat dodržování zásad zabezpečení. Další informace najdete v tématu Zabezpečení komunikace zprostředkovatele MQTT pomocí BrokerListener.

• Nastavte zabezpečené připojení k serveru OPC UA: Při připojování k serveru OPC UA byste měli určit, kterým serverům OPC UA důvěřujete, abyste mohli bezpečně navázat relaci. Další informace najdete v tématu Konfigurace infrastruktury certifikátů OPC UA pro konektor pro OPC UA.

Zabezpečení Edge

• Udržujte prostředí runtime Edge aktuální: Udržujte cluster a nasazení provozu Azure IoT aktuální s nejnovějšími opravami a dílčími verzemi, abyste získali všechny dostupné opravy zabezpečení a chyb. V případě produkčních nasazení vypněte automatický upgrade služby Azure Arc, abyste měli úplnou kontrolu nad tím, kdy se na váš cluster použijí nové aktualizace. Místo toho podle potřeby agenty ručně upgradujte.

• Ověřte integritu imagí Dockeru a Helmu: Před nasazením jakékoli image do clusteru ověřte, že je image podepsaná Microsoftem. Další informace najdete v tématu Ověření podepisování obrázků.

• Pro ověřování pomocí zprostředkovatele MQTT vždy používejte certifikáty X.509 nebo tokeny účtu služby Kubernetes: Zprostředkovatel MQTT podporuje více metod ověřování pro klienty. Každý port naslouchacího procesu můžete nakonfigurovat tak, aby měl vlastní nastavení ověřování pomocí prostředku BrokerAuthentication. Další informace najdete v tématu Konfigurace ověřování zprostředkovatele MQTT.

• Zadejte nejnižší oprávnění potřebná pro prostředek tématu ve zprostředkovateli MQTT: Zásady autorizace určují, jaké akce můžou klienti na zprostředkovateli provádět, jako je připojení, publikování nebo přihlášení k odběru témat. Nakonfigurujte zprostředkovatele MQTT tak, aby používal jednu nebo více zásad autorizace s prostředkem BrokerAuthorization. Další informace najdete v tématu Konfigurace autorizace zprostředkovatele MQTT.

• Konfigurace izolovaných síťových prostředí pomocí azure IoT Layered Network Management (Preview): Azure IoT Layered Network Management (Preview) je komponenta, která usnadňuje připojení mezi Azure a clustery v izolovaných síťových prostředích. V průmyslových scénářích se izolované sítě řídí architekturou SÍTĚ ISA-95/Purdue. Další informace najdete v tématu Co je Azure IoT Layered Network Management (Preview)?

Zabezpečení cloudu

• Používejte spravované identity přiřazené uživatelem pro cloudová připojení: Vždy používejte ověřování spravované identity. Pokud je to možné, použijte spravovanou identitu přiřazenou uživatelem v koncových bodech toku dat pro flexibilitu a auditovatelnost.

• Nasazení prostředků pozorovatelnosti a nastavení protokolů: Pozorovatelnost poskytuje přehled o každé vrstvě konfigurace operací Azure IoT. Poskytuje přehled o skutečném chování problémů, což zvyšuje efektivitu techniky spolehlivosti lokality. Operace Azure IoT nabízí pozorovatelnost prostřednictvím vlastních kurátorovaných řídicích panelů Grafana hostovaných v Azure. Tyto řídicí panely využívají spravovanou službu Azure Monitor pro Prometheus a Container Insights. Před nasazením operací Azure IoT nasaďte prostředky pozorovatelnosti do clusteru.

• Zabezpečený přístup k prostředkům a koncovým bodům prostředků pomocí Azure RBAC: Prostředky a koncové body prostředků v operacích Azure IoT mají reprezentaci v clusteru Kubernetes i na webu Azure Portal. Azure RBAC můžete použít k zabezpečení přístupu k těmto prostředkům. Azure RBAC je autorizační systém, který umožňuje spravovat přístup k prostředkům Azure. Azure RBAC můžete použít k udělení oprávnění uživatelům, skupinám a aplikacím v určitém rozsahu. Další informace najdete v tématu Zabezpečení přístupu k prostředkům a koncovým bodům prostředků.

Cloudové řešení

Následující diagram znázorňuje základní zobrazení komponent v typickém cloudovém řešení IoT. Tento článek se zaměřuje na zabezpečení cloudového řešení IoT:

Zabezpečení v cloudovém řešení IoT můžete rozdělit do následujících tří oblastí:

• Zabezpečení zařízení: Zabezpečte zařízení IoT během nasazení v zástupné oblasti.

• Zabezpečení připojení: Ujistěte se, že všechna data přenášená mezi zařízením IoT a cloudovými službami IoT jsou důvěrná a manipulovaná.

• Zabezpečení cloudu: Zabezpečte svá data při procházení a jsou uložená v cloudu.

Implementace doporučení v tomto článku vám pomůže splnit bezpečnostní povinnosti popsané v modelu sdílené odpovědnosti.

Microsoft Defender for IoT

Microsoft Defender pro IoT může automaticky monitorovat některá doporučení uvedená v tomto článku. Microsoft Defender pro IoT by měl být frontovou ochranou za účelem ochrany cloudového řešení. Microsoft Defender for IoT pravidelně analyzuje stav zabezpečení vašich prostředků Azure, aby identifikoval potenciální ohrožení zabezpečení. Pak vám poskytne doporučení, jak je řešit. Další informace najdete v následujících tématech:

• Vylepšení stavu zabezpečení pomocí doporučení zabezpečení
• Co je Microsoft Defender for IoT pro organizace?
• Co je Microsoft Defender for IoT pro tvůrce zařízení?

Zabezpečení zařízení

• Určení rozsahu hardwaru na minimální požadavky: Vyberte hardware zařízení, aby zahrnoval minimální funkce požadované pro jeho provoz a nic dalšího. Pokud jsou například potřeba pro provoz zařízení ve vašem řešení, zahrňte jenom porty USB. Další funkce můžou zařízení vystavit nežádoucím vektorům útoku.

• Výběr hardwaru kontroly manipulace: Vyberte hardware zařízení s integrovanými mechanismy pro detekci fyzické manipulace, například otevření krytu zařízení nebo odebrání části zařízení. Tyto signály manipulace můžou být součástí datového streamu nahraného do cloudu, což může upozorňovat operátory na tyto události.

• Vyberte zabezpečený hardware: Pokud je to možné, zvolte hardware zařízení, který zahrnuje funkce zabezpečení, jako je zabezpečené a šifrované úložiště a funkce spouštění založené na modulu Trusted Platform Module. Díky těmto funkcím jsou zařízení bezpečnější a pomáhají chránit celkovou infrastrukturu IoT.

• Povolení zabezpečených aktualizací: Pro zařízení IoT používejte služby, jako je Device Update pro IoT Hub , pro bezdrátová aktualizace. Vytvářejte zařízení se zabezpečenými cestami pro aktualizace a kryptografické zajištění verzí firmwaru, abyste svá zařízení zabezpečili během aktualizací a po aktualizaci.

• Postupujte podle metodologie vývoje zabezpečeného softwaru: Vývoj zabezpečeného softwaru vyžaduje, abyste zvážili zabezpečení od vzniku projektu až po implementaci, testování a nasazení. Životní cyklus vývoje zabezpečení společnosti Microsoft poskytuje podrobný přístup k vytváření zabezpečeného softwaru.

• Sady SDK zařízení používejte, kdykoli je to možné: Sady SDK zařízení implementují různé funkce zabezpečení, jako je šifrování a ověřování, které vám pomůžou vyvíjet robustní a zabezpečené aplikace zařízení. Další informace najdete v sadách AZURE IoT SDK.

• Výběr opensourcového softwaru s opatrností: Opensourcový software poskytuje příležitost rychle vyvíjet řešení. Při výběru opensourcového softwaru zvažte úroveň aktivity komunity pro každou opensourcovou komponentu. Aktivní komunita zajišťuje podporu softwaru a zjištění a řešení problémů. Nejasný a neaktivní opensourcový softwarový projekt nemusí být podporovaný a pravděpodobně se nezjistí problémy.

• Bezpečné nasazení hardwaru: Nasazení IoT můžou vyžadovat nasazení hardwaru v nezabezpečených umístěních, jako jsou veřejné prostory nebo nepřístupná národní prostředí. V takových situacích zajistěte, aby nasazení hardwaru bylo co nejvíce odolné proti manipulaci a aby se minimalizovaly nároky fyzického útoku pouze na nezbytné funkce. Pokud má například hardware porty USB, ujistěte se, že jsou bezpečně pokryté.

• Zachovejte ověřovací klíče v bezpečí: Během nasazování každé zařízení vyžaduje ID zařízení a přidružené ověřovací klíče vygenerované cloudovou službou. Udržujte tyto klíče fyzicky bezpečné a používejte obnovitelné přihlašovací údaje. Škodlivé zařízení může k maskování jako existujícího zařízení použít jakýkoli ohrožený klíč.

• Udržujte systém aktuální: Ujistěte se, že jsou operační systémy zařízení a všechny ovladače zařízení upgradovány na nejnovější verze. Udržování operačních systémů v aktualizovaném stavu pomáhá zajistit, aby byly chráněné proti škodlivým útokům.

• Ochrana před škodlivými aktivitami: Pokud operační systém povolí, nainstalujte do každého operačního systému zařízení nejnovější antivirové a antimalwarové funkce.

• Auditování často: Auditování infrastruktury IoT pro problémy související se zabezpečením je klíčové při reakci na incidenty zabezpečení. Většina operačních systémů poskytuje integrované protokolování událostí, které byste měli často kontrolovat, abyste se ujistili, že nedošlo k narušení zabezpečení. Zařízení může odesílat informace o auditu jako samostatný stream telemetrie do cloudové služby, kde je možné je analyzovat.

• Postupujte podle osvědčených postupů pro zabezpečení a nasazení zařízení: Pokud výrobce zařízení poskytuje pokyny k zabezpečení a nasazení, postupujte podle těchto pokynů kromě obecných pokynů uvedených v tomto článku.

• Pomocí brány polí můžete poskytovat služby zabezpečení pro starší nebo omezená zařízení: Starší a omezená zařízení můžou mít možnost šifrovat data, připojovat se k internetu nebo poskytovat pokročilé auditování. V těchto případech může moderní a zabezpečená brána polí agregovat data ze starších zařízení a poskytovat zabezpečení potřebné pro připojení těchto zařízení přes internet. Zařízení IoT Edge je možné použít jako bránu a poskytovat zabezpečené ověřování, vyjednávání šifrovaných relací, příjem příkazů z cloudu a mnoho dalších funkcí zabezpečení. Azure Sphere je možné použít jako modul strážce k zabezpečení jiných zařízení, včetně stávajících starších systémů, které nejsou navržené pro důvěryhodné připojení.

Zabezpečení připojení

• Pomocí certifikátů X.509 ověřte svá zařízení ve službě IoT Hub nebo IoT Central: IoT Hub a IoT Central podporují ověřování na základě certifikátů X509 i tokeny zabezpečení jako metody pro ověření zařízení. Pokud je to možné, použijte ověřování založené na X509 v produkčních prostředích, protože poskytuje větší zabezpečení. Další informace najdete v tématu Ověřování zařízení ve službě IoT Hub a konceptech ověřování zařízení ve službě IoT Central.

• K zabezpečení připojení ze zařízení použijte protokol TLS (Transport Layer Security) 1.2: IoT Hub a IoT Central k zabezpečení připojení ze zařízení a služeb IoT. V současné době se podporují tři verze protokolu TLS: 1.0, 1.1 a 1.2. Protokoly TLS 1.0 a 1.1 se považují za starší. Další informace najdete v tématu Podpora protokolu TLS (Transport Layer Security) ve službě IoT Hub a podpoře protokolu TLS ve službě Azure IoT Hub Device Provisioning Service (DPS).

• Ujistěte se, že máte na svých zařízeních způsob, jak aktualizovat kořenový certifikát TLS: kořenové certifikáty TLS jsou dlouhodobé, ale přesto můžou vypršet nebo být odvolány. Pokud v zařízení neexistuje žádný způsob aktualizace certifikátu, nemusí se zařízení později připojit ke službě IoT Hub, IoT Central ani žádné jiné cloudové službě. Další informace najdete v tématu Postup vrácení certifikátů zařízení X.509.

• Zvažte použití služby Azure Private Link: Azure Private Link umožňuje připojit vaše zařízení k privátnímu koncovému bodu ve virtuální síti, což vám umožní blokovat přístup k veřejným koncovým bodům ioT Hubu. Další informace najdete v tématu Připojení příchozího přenosu dat ke službě IoT Hub pomocí služby Azure Private Link a zabezpečení sítě pro IoT Central pomocí privátních koncových bodů.

Zabezpečení cloudu

• Postupujte podle metodologie vývoje zabezpečeného softwaru: Vývoj zabezpečeného softwaru vyžaduje, abyste zvážili zabezpečení od vzniku projektu až po implementaci, testování a nasazení. Životní cyklus vývoje zabezpečení společnosti Microsoft poskytuje podrobný přístup k vytváření zabezpečeného softwaru.

• Výběr opensourcového softwaru s opatrností: Opensourcový software poskytuje příležitost rychle vyvíjet řešení. Při výběru opensourcového softwaru zvažte úroveň aktivity komunity pro každou opensourcovou komponentu. Aktivní komunita zajišťuje podporu softwaru a zjištění a řešení problémů. Nejasný a neaktivní opensourcový softwarový projekt nemusí být podporovaný a pravděpodobně se nezjistí problémy.

• Integrace s opatrností: Na hranici knihoven a rozhraní API existuje mnoho chyb zabezpečení softwaru. Funkce, které nemusí být vyžadovány pro aktuální nasazení, můžou být stále dostupné prostřednictvím vrstvy rozhraní API. Aby se zajistilo celkové zabezpečení, nezapomeňte zkontrolovat všechna rozhraní součástí, která jsou integrovaná, kvůli chybám zabezpečení.

• Ochrana cloudových přihlašovacích údajů: Útočník může pomocí přihlašovacích údajů cloudového ověřování, které používáte ke konfiguraci a provozu nasazení IoT, získat přístup k systému IoT a ohrozit ho. Chraňte přihlašovací údaje tím, že často měníte heslo a nepoužívejte tyto přihlašovací údaje na veřejných počítačích.

• Definujte řízení přístupu pro centrum IoT: Seznamte se s typem přístupu, který každá komponenta v řešení IoT Hub potřebuje, a to na základě požadovaných funkcí. Existují dva způsoby, jak udělit oprávnění pro rozhraní API služby pro připojení k centru IoT: Microsoft Entra ID nebo sdílené přístupové podpisy. Pokud je to možné, použijte ID Microsoft Entra v produkčních prostředích, protože poskytuje větší zabezpečení.

• Definujte řízení přístupu pro aplikaci IoT Central: Seznamte se s typem přístupu, který povolíte pro aplikaci IoT Central. Další informace najdete v následujících tématech:

  • Správa uživatelů a rolí v aplikaci IoT Central
  • Správa organizací IoT Central
  • Sledování aktivit v aplikaci IoT Central pomocí protokolů auditu
  • Ověřování a autorizace volání rozhraní IoT Central REST API

• Definování řízení přístupu pro back-endové služby: Ostatní služby Azure můžou využívat data, která vaše služba IoT Hub nebo aplikace IoT Central ingestuje z vašich zařízení. Zprávy ze zařízení můžete směrovat do jiných služeb Azure. Vysvětlení a konfigurace odpovídajících přístupových oprávnění pro IoT Hub nebo IoT Central pro připojení k těmto službám Další informace najdete v následujících tématech:

  • Čtení zpráv zařízení-cloud z integrovaného koncového bodu IoT Hubu
  • Použití směrování zpráv ioT Hubu k odesílání zpráv ze zařízení do cloudu do různých koncových bodů
  • Export dat IoT Central
  • Export dat IoT Central do zabezpečeného cíle ve službě Azure Virtual Network

• Monitorování řešení IoT z cloudu: Monitorování celkového stavu řešení IoT pomocí metrik IoT Hubu ve službě Azure Monitor nebo Monitorování stavu aplikace IoT Central

• Nastavení diagnostiky: Monitorování operací protokolováním událostí ve vašem řešení a následné odeslání diagnostických protokolů do služby Azure Monitor. Další informace najdete v tématu Monitorování a diagnostika problémů ve službě IoT Hub.

Další kroky

Další informace o zabezpečení IoT najdete tady:

• Standardní hodnoty zabezpečení Azure pro Kubernetes s podporou Azure Arc
• Koncepty pro zajištění zabezpečení úloh nativních pro cloud
• Standardní hodnoty zabezpečení Azure pro Azure IoT Hub
• Průvodce zabezpečením IoT Central
• Přehledně navržená architektura v Azure IoT Hubu