Bewährte Methoden für die Sicherheit von IoT-Lösungen
In dieser Übersicht werden die wichtigsten Konzepte rund um die Optionen zum Verwalten einer Azure IoT-Lösung vorgestellt. Jeder Abschnitt enthält Links zu Inhalten, die weitere Details und Anleitungen enthalten.
Das folgende Diagramm zeigt eine allgemeine Übersicht über die Komponenten in einer typischen edgebasierten IoT-Lösung. Dieser Artikel konzentriert sich auf die Sicherheit einer edgebasierten IoT-Lösung:
Sie können die Sicherheit in einer edgebasierten IoT-Lösung in die folgenden drei Bereiche unterteilen:
Ressourcensicherheit: Schützen Sie den physischen oder virtuellen Wertgegenstand, den Sie verwalten und überwachen und von dem Sie Daten sammeln möchten.
Verbindungssicherheit: Stellen Sie sicher, dass alle Daten während der Übertragung zwischen der Ressource, dem Edge und den Clouddiensten vertraulich und manipulationssicher sind.
Edgesicherheit: Schützen Sie Ihre Daten während der Übertragung und Speicherung am Edge.
Cloudsicherheit: Schützen Ihrer Daten während der Übertragung und Speicherung in der Cloud.
In der Regel möchten Sie in einer edgebasierten Lösung Ihre End-to-End-Vorgänge mithilfe von Azure-Sicherheitsfunktionen sichern. Azure IoT Einsatz verfügt über integrierte Sicherheitsfunktionen wie Geheimnisverwaltung, Zertifikatverwaltung und sichere Einstellungen in einem Azure Arc-fähigen Kubernetes-Cluster. Wenn ein Kubernetes-Cluster mit Azure verbunden ist, wird eine ausgehende Verbindung mit Azure initiiert, wobei der Branchenstandard SSL zum Schützen der Daten während der Übertragung verwendet wird und mehrere andere Sicherheitsfeatures aktiviert sind, z. B.:
- Zeigen und überwachen Sie Ihre Cluster mit Azure Monitor für Container.
- Erzwingen von Bedrohungsschutz mit Microsoft Defender for Containers.
- Sicherstellen von Governance durch die Anwendung von Richtlinien mit Azure Policy für Kubernetes
- Gewähren Sie Zugriff auf Ihren Kubernetes-Cluster, und stellen Sie von überall aus eine Verbindung mit ihnen her. Verwalten Sie außerdem den Zugriff mit der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) auf Ihrem Cluster.
Microsoft Defender for IoT und for Containers
Microsoft Defender for IoT ist eine einheitliche Sicherheitslösung, die speziell zum Bestimmen von IoT- und OT-Geräten (Operational Technology), Sicherheitsrisiken und Bedrohungen entwickelt wurde. Microsoft Defender for Containers ist eine cloudnative Lösung zum Verbessern, Überwachen und Verwalten der Sicherheit Ihrer containerisierten Ressourcen (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und vieles mehr) und deren Anwendungen in Multi-Cloud- und lokalen Umgebungen.
Sowohl Defender for IoT als auch Defender for Containers können einige der in diesem Artikel enthaltenen Empfehlungen automatisch überwachen. Defender for IoT und Defender for Containers sollten die erste Verteidigungsbasis darstellen, um Ihre edgebasierte Lösung zu schützen. Weitere Informationen finden Sie unter:
- Microsoft Defender for Containers – Übersicht
- Microsoft Defender for IoT für Organisationen – Übersicht
Anlagensicherheit
Geheimnisverwaltung: Verwenden Sie Azure Key Vault, um vertrauliche Informationen von Ressourcen wie Schlüssel, Kennwörter, Zertifikate und Geheimnisse zu speichern und zu verwalten. Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und die Azure Key Vault Secret Store-Erweiterung für Kubernetes, um Geheimnisse aus der Cloud zu synchronisieren und sie am Edge als Kubernetes-Geheimnisse zu speichern. Weitere Informationen finden Sie unter Verwalten von Geheimnissen für Ihre Azure IoT Einsatz-Bereitstellung.
Zertifikatverwaltung: Die Verwaltung von Zertifikaten ist entscheidend für die sichere Kommunikation zwischen Ressourcen und Ihrer Edge-Laufzeitumgebung. Azure IoT Einsatz bietet Tools zum Verwalten von Zertifikaten, einschließlich des Ausstellens, Erneuerns und Widerrufens von Zertifikaten. Weitere Informationen finden Sie unter Zertifikatverwaltung für die interne Kommunikation von Azure IoT Einsatz.
Auswählen von manipulationssicherer Hardware für Ressourcen: Wählen Sie Gerätehardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, wie etwa das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.
Ermöglichen von sicheren Updates für die Ressourcenfirmware: Verwenden Sie Dienste, die Over-The-Air-Updates für Ihre Ressourcen ermöglichen. Entwickeln Sie Ressourcen mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um die Ressourcen während und nach Updates zu schützen.
Sicheres Bereitstellen von Ressourcenhardware: Stellen Sie sicher, dass die Bereitstellung von Ressourcenhardware möglichst weitgehend gegen Manipulation geschützt ist, insbesondere an unsicheren Orten wie öffentlichen Räumen oder nicht überwachten Gebietsschemas. Aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren, z. B. sicheres Verschließen von USB-Anschlüssen, wenn sie nicht benötigt werden.
Befolgen bewährter Methoden für die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Tipps zur Sicherheit und Bereitstellung bietet, befolgen Sie diese Tipps zusätzlich zu den allgemeinen Anleitungen in diesem Artikel.
Verbindungssicherheit
Verwenden von Transport Layer Security (TLS) zum Sichern von Verbindungen von Ressourcen: Die gesamte Kommunikation innerhalb von Azure IoT Einsatz wird mithilfe von TLS verschlüsselt. Um eine standardmäßig sichere Erfahrung bereitzustellen, die die unbeabsichtigte Gefährdung Ihrer edgebasierten Lösung gegenüber Angreifern minimiert, wird Azure IoT Einsatz mit einer Standardstammzertifizierungsstelle und einem Aussteller für TLS-Serverzertifikate bereitgestellt. Für eine Produktionsbereitstellung empfehlen wir die Verwendung Ihres eigenen ZS-Ausstellers und einer Unternehmens-PKI-Lösung.
Möglichkeit der Verwendung von Unternehmensfirewalls oder Proxys zum Verwalten ausgehenden Datenverkehrs: Wenn Sie Unternehmensfirewalls oder Proxys verwenden, fügen Sie der Zulassungsliste die Azure IoT Einsatz-Endpunkte hinzu.
Verschlüsseln des internen Datenverkehrs des Nachrichtenbrokers: Die Gewährleistung der Sicherheit der internen Kommunikation innerhalb Ihrer Infrastruktur ist wichtig für die Aufrechterhaltung der Datenintegrität und -vertraulichkeit. Sie sollten den MQTT-Broker so konfigurieren dass interner Datenverkehr zwischen den Front-End- und Back-End-Pods des MQTT-Brokers verschlüsselt wird. Weitere Informationen finden Sie unter Konfigurieren der Verschlüsselung des internen Brokerdatenverkehrs und interner Zertifikate.
Konfigurieren von TLS mit der automatischen Zertifikatverwaltung für Listener in Ihrem MQTT-Broker: Azure IoT Einsatz bietet eine automatische Zertifikatverwaltung für Listener in Ihrem MQTT-Broker. Dies reduziert den Verwaltungsaufwand für die manuelle Verwaltung von Zertifikaten, stellt zeitnahe Erneuerungen sicher und hilft bei der Einhaltung von Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Schützen der MQTT-Broker-Kommunikation mit BrokerListener.
Einrichten einer sicheren Verbindung mit dem OPC UA-Server: Beim Herstellen einer Verbindung mit einem OPC UA-Server sollten Sie bestimmen, mit welchen OPC UA-Servern Sie sicher eine Sitzung herstellen können. Weitere Informationen finden Sie unter Konfigurieren der OPC UA-Zertifikatinfrastruktur für den Anschluss für OPC UA.
Edgesicherheit
Halten der Edge-Laufzeitumgebung auf dem neuesten Stand: Halten Sie die Bereitstellung Ihrer Cluster und von Azure IoT Einsatz mit aktuellen Patches und Nebenversionen auf dem neuesten Stand, um alle verfügbaren Sicherheits- und Fehlerbehebungen zu erhalten. In Produktionsbereitstellungen sollten Sie automatische Upgrades für Azure Arc deaktivieren, um die vollständige Kontrolle darüber zu haben, wann neue Updates auf Ihren Cluster angewendet werden. Aktualisieren Sie stattdessen die Agents nach Bedarf manuell.
Überprüfen der Integrität von Docker- und Helm-Images: Überprüfen Sie vor der Bereitstellung eines Images auf Ihrem Cluster, ob das Image von Microsoft signiert ist. Weitere Informationen finden Sie unter Überprüfen der Signierung von Images.
Ausschließliches Verwenden von X.509-Zertifikaten oder Kubernetes-Dienstkontotoken für die Authentifizierung mit Ihrem MQTT-Broker: Ein MQTT-Broker unterstützt mehrere Authentifizierungsmethoden für Clients. Sie können jeden Listenerport so konfigurieren, dass er über eigene Authentifizierungseinstellungen mit einer BrokerAuthentication-Ressource verfügt. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerauthentifizierung.
Bereitstellen der geringsten erforderlichen Rechte für die Themenressource in Ihrem MQTT-Broker: Mithilfe von Autorisierungsrichtlinien wird bestimmt, welche Aktionen die Clients mit dem Broker ausführen können, wie etwa Verbinden, Veröffentlichen oder Abonnieren von Themen. Konfigurieren Sie den MQTT-Broker für die Verwendung einer oder mehrerer Autorisierungsrichtlinien mithilfe der BrokerAuthorization-Ressource. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerautorisierung.
Konfigurieren von isolierten Netzwerkumgebungen mit dem Azure IoT Layered Network Management-Dienst (Vorschau): Der Azure IoT Layered Network Management-Dienst (Vorschau) ist eine Komponente, die die Verbindung zwischen Azure und Clustern in einer isolierten Netzwerkumgebung erleichtert. In industriellen Szenarien folgen die isolierten Netzwerke der ISA-95/Purdue-Netzwerkarchitektur. Weitere Informationen finden Sie unter Was ist mehrschichtige Azure IoT-Netzwerkverwaltung (Vorschau)?.
Cloudsicherheit
Verwenden von benutzerseitig zugewiesenen verwalteten Identitäten für Cloudverbindungen: Verwenden Sie immer die Authentifizierung mit verwalteter Identität. Verwenden Sie nach Möglichkeit die benutzerseitig zugewiesene verwaltete Identität in Datenflussendpunkten, um Flexibilität und Auditierbarkeit zu gewährleisten.
Bereitstellen von Ressourcen für Einblicke und Einrichten von Protokollen: Erhalten Sie Einblicke in jede Ebene Ihrer Azure IoT Operations-Konfiguration. Sie erhalten Einblicke in das tatsächliche Verhalten von Problemen, wodurch die Effektivität des Zuverlässigkeits-Engineerings von Standorten erhöht wird. Azure IoT Operations bietet Observability über benutzerdefinierte kuratierte Grafana-Dashboards, die in Azure gehostet werden. Diese Dashboards werden von dem Azure Monitor verwalteter Dienst für Prometheus und von Container Insights unterstützt. Stellen Sie in Ihrem Cluster Ressourcen für Einblicke bereit.
Sichern des Zugriffs auf Ressourcen und Ressourcenendpunkte mit Azure RBAC: Ressourcen und Ressourcenendpunkte in Azure IoT Einsatz sind sowohl im Kubernetes-Cluster als auch im Azure-Portal vertreten. Sie können Azure RBAC verwenden, um den Zugriff auf diese Ressourcen zu sichern. Azure RBAC ist ein Autorisierungssystem, über das Sie den Zugriff auf Azure-Ressourcen verwalten können. Sie können Azure RBAC verwenden, um Benutzern, Gruppen und Anwendungen Berechtigungen für einen bestimmten Bereich zu gewähren. Weitere Informationen finden Sie unter Sicherer Zugriff auf Objekte und Objektendpunkte.
Nächste Schritte
Weitere Informationen zur IoT-Sicherheit finden Sie unter: