Sdílet prostřednictvím


Zabezpečení IoT Edge pro Linux ve Windows

Platí pro: Ikona Ano IoT Edge 1.1

Důležité

Datum ukončení podpory ioT Edge 1.1 bylo 13. prosince 2022. Informace o způsobu podpory tohoto produktu, služby, technologie nebo rozhraní API najdete v tématu věnovaném životnímu cyklu produktů Microsoftu. Další informace o aktualizaci na nejnovější verzi IoT Edge najdete v tématu Aktualizace IoT Edge.

Azure IoT Edge pro Linux ve Windows přináší výhody ze všech nabídek zabezpečení, které běží na hostiteli klienta nebo serveru Windows a zajišťuje, aby všechny další komponenty zůstaly ve stejném prostředí zabezpečení. Tento článek obsahuje informace o různých prostorách zabezpečení, které jsou ve výchozím nastavení povolené, a některé z volitelných míst, které může uživatel povolit.

Zabezpečení virtuálních počítačů

Kurátorovaný virtuální počítač IoT Edge pro Linux (EFLOW) je založený na Microsoft CBL-Mariner. CBL-Mariner je interní linuxová distribuce pro cloudovou infrastrukturu a hraniční produkty a služby Microsoftu. CBL-Mariner je navržený tak, aby poskytoval konzistentní platformu pro tato zařízení a služby a vylepšuje schopnost Microsoftu zůstat aktuální v aktualizacích Linuxu. Další informace najdete v tématu zabezpečení CBL-Mariner.

Virtuální počítač EFLOW je založený na tříbodové komplexní platformě zabezpečení:

  1. Servisní aktualizace
  2. Kořenový systém souborů jen pro čtení
  3. Uzamčení brány firewall

Servisní aktualizace

Když nastanou ohrožení zabezpečení, zpřístupní CBL-Mariner nejnovější opravy zabezpečení a opravy pro obsluhu prostřednictvím měsíčních aktualizací ELOW. Virtuální počítač nemá žádný správce balíčků, takže není možné balíčky RPM stáhnout a nainstalovat ručně. Všechny aktualizace virtuálního počítače se instalují pomocí mechanismu aktualizace EFLOW A/B. Další informace o aktualizacích EFLOW najdete v tématu Aktualizace IoT Edge pro Linux ve Windows.

Kořenový systém souborů jen pro čtení

Virtuální počítač EFLOW se skládá ze dvou hlavních oddílů rootfs a dat. Kořenové oddílyFS-A nebo rootFS-B jsou zaměnitelné a jeden z těchto dvou je připojený jako systém /souborů jen pro čtení , což znamená, že u souborů uložených v tomto oddílu nejsou povoleny žádné změny. Na druhou stranu je datový oddíl připojený k /var oddílu čitelný a zapisovatelný, takže uživatel může upravovat obsah uvnitř oddílu. Data uložená v tomto oddílu nejsou manipulována procesem aktualizace, a proto se v rámci aktualizací nezmění.

Vzhledem k tomu, že možná budete potřebovat přístup k zápisu do /etc, , /var /home/rootpro konkrétní případy použití, zapisovací přístup pro tyto adresáře se provádí jejich překrytím do našeho datového oddílu speciálně do adresáře ./var/.eflow/overlays Konečným výsledkem je, že uživatelé můžou napsat cokoli do výše uvedených adresářů. Další informace o překryvných vrstvách najdete v tématu překryvné vrstvy.

Rozložení oddílů EFLOW 1.1LTS

Oddíl Velikost Popis
Spouštění 192 MB Obsahuje spouštěcí zavaděč.
RootFS A 2 GB Jeden ze dvou aktivních/pasivních oddílů, které uchovávají kořenový systém souborů
RootFS B 2 GB Jeden ze dvou aktivních/pasivních oddílů, které uchovávají kořenový systém souborů
Aktualizace AB 2 GB Obsahuje aktualizační soubory. Ujistěte se, že je na virtuálním počítači vždy dostatek místa pro aktualizace.
Data 2 GB až 2 TB Stavový oddíl pro ukládání trvalých dat napříč aktualizacemi Rozšiřitelné podle konfigurace nasazení

Poznámka:

Rozložení oddílů představuje velikost logického disku a neukazuje fyzické místo, které bude virtuální počítač zabírat na disku s hostitelským operačním systémem.

Brána firewall

Ve výchozím nastavení používá virtuální počítač EFLOW nástroj iptables pro konfigurace brány firewall. Iptables se používá k nastavení, údržbě a kontrole tabulek pravidel filtru paketů PROTOKOLU IP v jádru Linuxu. Výchozí implementace povoluje příchozí provoz jenom na portu 22 (služba SSH) a jinak blokuje provoz. Konfiguraci iptables můžete zkontrolovat pomocí následujících kroků:

  1. Otevření relace PowerShellu se zvýšenými oprávněními

  2. Připojení k virtuálnímu počítači EFLOW

    Connect-EflowVm
    
  3. Výpis všech pravidel iptables

    sudo iptables -L
    

    Výchozí iptables EFLOW

Čip TPM (Trusted Platform Module)

Technologie TPM (Trusted Platform Module) je navržená tak, aby poskytovala hardwarové funkce související se zabezpečením. Čip TPM je zabezpečený kryptografický procesor, který je navržený k provádění kryptografických operací. Čip obsahuje několik mechanismů fyzického zabezpečení, díky kterým je odolný vůči manipulaci a škodlivý software nemůže manipulovat s bezpečnostními funkcemi čipu TPM.

Virtuální počítač EFLOW nepodporuje virtuální počítač vTPM. Uživatel ale může funkci předávání TPM povolit nebo zakázat, která virtuálnímu počítači EFLOW umožňuje používat čip TPM hostitele Windows. To umožňuje dva hlavní scénáře:

Zabezpečená komunikace hostitele a virtuálního počítače

EFLOW nabízí několik způsobů interakce s virtuálním počítačem zveřejněním bohaté implementace modulu PowerShellu. Další informace najdete v tématu Funkce PowerShellu pro IoT Edge pro Linux ve Windows. Tento modul vyžaduje, aby se spustila relace se zvýšenými oprávněními a je podepsaná pomocí certifikátu Microsoft Corporation.

Veškerá komunikace mezi hostitelským operačním systémem Windows a virtuálním počítačem EFLOW vyžadovaným rutinami PowerShellu se provádí pomocí kanálu SSH. Ve výchozím nastavení služba SSH virtuálního počítače nepovolí ověřování pomocí uživatelského jména a hesla a je omezena na ověřování certifikátů. Certifikát se vytvoří během procesu nasazení EFLOW a je jedinečný pro každou instalaci EFLOW. Aby se zabránilo útokům hrubou silou SSH, virtuální počítač navíc zablokuje IP adresu, pokud se pokusí o více než tři připojení za minutu ke službě SSH.

Další kroky

Další informace o místním zabezpečení Windows IoT

Mějte přehled o nejnovějších aktualizacích IoT Edge pro Linux ve Windows.