Určení požadavků na zabezpečení pro úlohy IoT
Tato lekce shrnuje standardní hodnoty zabezpečení Azure pro IoT Hub , které vám pomůžou při vytváření nových specifikací požadavků pro úlohy IoT.
Další informace o srovnávacím testu Microsoft Cloud Security Benchmark najdete v tématu Úvod do referenční architektury kyberbezpečnosti Microsoftu a srovnávacího testu zabezpečení cloudu.
V následující tabulce jsme zahrnuli ovládací prvky z úplného směrného plánu, kde:
- Ovládací prvky zabezpečení byly podporovány, ale ve výchozím nastavení nejsou povolené.
- Existovaly explicitní pokyny, které obsahovaly opatření, která se mají provést na straně zákazníka.
| Plocha | Ovládací prvek | Funkce | Souhrn doprovodných materiálů |
|---|---|---|---|
| Zabezpečení sítě | NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků | Azure Private Link | Nasaďte privátní koncové body pro všechny prostředky Azure, které podporují funkci Private Link, a vytvořte privátní přístupový bod pro prostředky. |
| NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků | Zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby, nebo přepínače pro přístup k veřejné síti. | |
| Správa identit | IM-1: Použití centralizovaného systému identit a ověřování | Místní metody ověřování pro přístup k rovině dat | Omezte použití místních metod ověřování pro přístup k rovině dat. Místo toho použijte Microsoft Entra ID jako výchozí metodu ověřování pro řízení přístupu k rovině dat. |
| IM-3: Zabezpečená a automatická správa identit aplikací | Spravované identity | Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Microsoft Entra. Přihlašovací údaje spravované identity jsou plně spravované, obměněné a chráněné platformou. Vyhnete se pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech. | |
| Instanční objekty | Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat. | ||
| IM-7: Omezení přístupu k prostředkům na základě podmínek | Podmíněný přístup pro rovinu dat | Definujte příslušné podmínky a kritéria pro podmíněný přístup Microsoft Entra v úloze. | |
| Privilegovaný přístup | PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění) | Azure RBAC pro rovinu dat | S Azure AD a RBAC vyžaduje IoT Hub instanční objekt požadující rozhraní API odpovídající úroveň oprávnění pro autorizaci. Pokud chcete objektu zabezpečení udělit oprávnění, dejte mu přiřazení role. |
| Ochrana dat | DP-6: Použití zabezpečeného procesu správy klíčů | Správa klíčů ve službě Azure Key Vault | Pomocí služby Azure Key Vault můžete vytvářet a řídit životní cyklus šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. |
| Správa aktiv | AM-2: Používejte pouze schválené služby. | Podpora služby Azure Policy | Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. |
| Protokolování a detekce hrozeb | LT-4: Povolení protokolování pro šetření zabezpečení | Protokoly prostředků Azure | Povolte pro službu protokoly prostředků. |