Bewährte Methoden für die Sicherheit von IoT-Lösungen

In dieser Übersicht werden die wichtigsten Konzepte rund um die Optionen zum Verwalten einer Azure IoT-Lösung vorgestellt. Jeder Abschnitt enthält Links zu Inhalten, die weitere Details und Anleitungen enthalten.

Edgebasierte Lösung

Das folgende Diagramm zeigt eine allgemeine Übersicht über die Komponenten in einer typischen edgebasierten IoT-Lösung. Dieser Artikel konzentriert sich auf die Sicherheit einer edgebasierten IoT-Lösung:

Sie können die Sicherheit in einer edgebasierten IoT-Lösung in die folgenden drei Bereiche unterteilen:

• Ressourcensicherheit: Schützen Sie den physischen oder virtuellen Wertgegenstand, den Sie verwalten und überwachen und von dem Sie Daten sammeln möchten.

• Verbindungssicherheit: Stellen Sie sicher, dass alle Daten während der Übertragung zwischen der Ressource, dem Edge und den Clouddiensten vertraulich und manipulationssicher sind.

• Edgesicherheit: Schützen Sie Ihre Daten während der Übertragung und Speicherung am Edge.

• Cloudsicherheit: Schützen Ihrer Daten während der Übertragung und Speicherung in der Cloud.

In der Regel möchten Sie in einer edgebasierten Lösung Ihre End-to-End-Vorgänge mithilfe von Azure-Sicherheitsfunktionen sichern. Azure IoT Einsatz verfügt über integrierte Sicherheitsfunktionen wie Geheimnisverwaltung, Zertifikatverwaltung und sichere Einstellungen in einem Azure Arc-fähigen Kubernetes-Cluster. Wenn ein Kubernetes-Cluster mit Azure verbunden ist, wird eine ausgehende Verbindung mit Azure initiiert, wobei der Branchenstandard SSL zum Schützen der Daten während der Übertragung verwendet wird und mehrere andere Sicherheitsfeatures aktiviert sind, z. B.:

• Zeigen und überwachen Sie Ihre Cluster mit Azure Monitor für Container.
• Erzwingen von Bedrohungsschutz mit Microsoft Defender for Containers.
• Sicherstellen von Governance durch die Anwendung von Richtlinien mit Azure Policy für Kubernetes
• Gewähren Sie Zugriff auf Ihren Kubernetes-Cluster, und stellen Sie von überall aus eine Verbindung mit ihnen her. Verwalten Sie außerdem den Zugriff mit der rollenbasierten Zugriffssteuerung von Azure (Azure RBAC) auf Ihrem Cluster.

Microsoft Defender for IoT und for Containers

Microsoft Defender for IoT ist eine einheitliche Sicherheitslösung, die speziell zum Bestimmen von IoT- und OT-Geräten (Operational Technology), Sicherheitsrisiken und Bedrohungen entwickelt wurde. Microsoft Defender for Containers ist eine cloudnative Lösung zum Verbessern, Überwachen und Verwalten der Sicherheit Ihrer containerisierten Ressourcen (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und vieles mehr) und deren Anwendungen in Multi-Cloud- und lokalen Umgebungen.

Sowohl Defender for IoT als auch Defender for Containers können einige der in diesem Artikel enthaltenen Empfehlungen automatisch überwachen. Defender for IoT und Defender for Containers sollten die erste Verteidigungsbasis darstellen, um Ihre edgebasierte Lösung zu schützen. Weitere Informationen finden Sie unter:

• Microsoft Defender for Containers – Übersicht
• Microsoft Defender for IoT für Organisationen – Übersicht

Anlagensicherheit

• Geheimnisverwaltung: Verwenden Sie Azure Key Vault, um vertrauliche Informationen von Ressourcen wie Schlüssel, Kennwörter, Zertifikate und Geheimnisse zu speichern und zu verwalten. Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und die Azure Key Vault Secret Store-Erweiterung für Kubernetes, um Geheimnisse aus der Cloud zu synchronisieren und sie am Edge als Kubernetes-Geheimnisse zu speichern. Weitere Informationen finden Sie unter Verwalten von Geheimnissen für Ihre Azure IoT Einsatz-Bereitstellung.

• Zertifikatverwaltung: Die Verwaltung von Zertifikaten ist entscheidend für die sichere Kommunikation zwischen Ressourcen und Ihrer Edge-Laufzeitumgebung. Azure IoT Einsatz bietet Tools zum Verwalten von Zertifikaten, einschließlich des Ausstellens, Erneuerns und Widerrufens von Zertifikaten. Weitere Informationen finden Sie unter Zertifikatverwaltung für die interne Kommunikation von Azure IoT Einsatz.

• Auswählen von manipulationssicherer Hardware für Ressourcen: Wählen Sie Gerätehardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, wie etwa das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.

• Ermöglichen von sicheren Updates für die Ressourcenfirmware: Verwenden Sie Dienste, die Over-The-Air-Updates für Ihre Ressourcen ermöglichen. Entwickeln Sie Ressourcen mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um die Ressourcen während und nach Updates zu schützen.

• Sicheres Bereitstellen von Ressourcenhardware: Stellen Sie sicher, dass die Bereitstellung von Ressourcenhardware möglichst weitgehend gegen Manipulation geschützt ist, insbesondere an unsicheren Orten wie öffentlichen Räumen oder nicht überwachten Gebietsschemas. Aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren, z. B. sicheres Verschließen von USB-Anschlüssen, wenn sie nicht benötigt werden.

• Befolgen bewährter Methoden für die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Tipps zur Sicherheit und Bereitstellung bietet, befolgen Sie diese Tipps zusätzlich zu den allgemeinen Anleitungen in diesem Artikel.

Verbindungssicherheit

• Verwenden von Transport Layer Security (TLS) zum Sichern von Verbindungen von Ressourcen: Die gesamte Kommunikation innerhalb von Azure IoT Einsatz wird mithilfe von TLS verschlüsselt. Um eine standardmäßig sichere Erfahrung bereitzustellen, die die unbeabsichtigte Gefährdung Ihrer edgebasierten Lösung gegenüber Angreifern minimiert, wird Azure IoT Einsatz mit einer Standardstammzertifizierungsstelle und einem Aussteller für TLS-Serverzertifikate bereitgestellt. Für eine Produktionsbereitstellung empfehlen wir die Verwendung Ihres eigenen ZS-Ausstellers und einer Unternehmens-PKI-Lösung.

• Möglichkeit der Verwendung von Unternehmensfirewalls oder Proxys zum Verwalten ausgehenden Datenverkehrs: Wenn Sie Unternehmensfirewalls oder Proxys verwenden, fügen Sie der Zulassungsliste die Azure IoT Einsatz-Endpunkte hinzu.

• Verschlüsseln des internen Datenverkehrs des Nachrichtenbrokers: Die Gewährleistung der Sicherheit der internen Kommunikation innerhalb Ihrer Infrastruktur ist wichtig für die Aufrechterhaltung der Datenintegrität und -vertraulichkeit. Sie sollten den MQTT-Broker so konfigurieren dass interner Datenverkehr zwischen den Front-End- und Back-End-Pods des MQTT-Brokers verschlüsselt wird. Weitere Informationen finden Sie unter Konfigurieren der Verschlüsselung des internen Brokerdatenverkehrs und interner Zertifikate.

• Konfigurieren von TLS mit der automatischen Zertifikatverwaltung für Listener in Ihrem MQTT-Broker: Azure IoT Einsatz bietet eine automatische Zertifikatverwaltung für Listener in Ihrem MQTT-Broker. Dies reduziert den Verwaltungsaufwand für die manuelle Verwaltung von Zertifikaten, stellt zeitnahe Erneuerungen sicher und hilft bei der Einhaltung von Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Schützen der MQTT-Broker-Kommunikation mit BrokerListener.

• Einrichten einer sicheren Verbindung mit dem OPC UA-Server: Beim Herstellen einer Verbindung mit einem OPC UA-Server sollten Sie bestimmen, mit welchen OPC UA-Servern Sie sicher eine Sitzung herstellen können. Weitere Informationen finden Sie unter Konfigurieren der OPC UA-Zertifikatinfrastruktur für den Anschluss für OPC UA.

Edgesicherheit

• Halten der Edge-Laufzeitumgebung auf dem neuesten Stand: Halten Sie die Bereitstellung Ihrer Cluster und von Azure IoT Einsatz mit aktuellen Patches und Nebenversionen auf dem neuesten Stand, um alle verfügbaren Sicherheits- und Fehlerbehebungen zu erhalten. In Produktionsbereitstellungen sollten Sie automatische Upgrades für Azure Arc deaktivieren, um die vollständige Kontrolle darüber zu haben, wann neue Updates auf Ihren Cluster angewendet werden. Aktualisieren Sie stattdessen die Agents nach Bedarf manuell.

• Überprüfen der Integrität von Docker- und Helm-Images: Überprüfen Sie vor der Bereitstellung eines Images auf Ihrem Cluster, ob das Image von Microsoft signiert ist. Weitere Informationen finden Sie unter Überprüfen der Signierung von Images.

• Ausschließliches Verwenden von X.509-Zertifikaten oder Kubernetes-Dienstkontotoken für die Authentifizierung mit Ihrem MQTT-Broker: Ein MQTT-Broker unterstützt mehrere Authentifizierungsmethoden für Clients. Sie können jeden Listenerport so konfigurieren, dass er über eigene Authentifizierungseinstellungen mit einer BrokerAuthentication-Ressource verfügt. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerauthentifizierung.

• Bereitstellen der geringsten erforderlichen Rechte für die Themenressource in Ihrem MQTT-Broker: Mithilfe von Autorisierungsrichtlinien wird bestimmt, welche Aktionen die Clients mit dem Broker ausführen können, wie etwa Verbinden, Veröffentlichen oder Abonnieren von Themen. Konfigurieren Sie den MQTT-Broker für die Verwendung einer oder mehrerer Autorisierungsrichtlinien mithilfe der BrokerAuthorization-Ressource. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerautorisierung.

• Konfigurieren von isolierten Netzwerkumgebungen mit dem Azure IoT Layered Network Management-Dienst (Vorschau): Der Azure IoT Layered Network Management-Dienst (Vorschau) ist eine Komponente, die die Verbindung zwischen Azure und Clustern in einer isolierten Netzwerkumgebung erleichtert. In industriellen Szenarien folgen die isolierten Netzwerke der ISA-95/Purdue-Netzwerkarchitektur. Weitere Informationen finden Sie unter Was ist mehrschichtige Azure IoT-Netzwerkverwaltung (Vorschau)?.

Cloudsicherheit

• Verwenden von benutzerseitig zugewiesenen verwalteten Identitäten für Cloudverbindungen: Verwenden Sie immer die Authentifizierung mit verwalteter Identität. Verwenden Sie nach Möglichkeit die benutzerseitig zugewiesene verwaltete Identität in Datenflussendpunkten, um Flexibilität und Auditierbarkeit zu gewährleisten.

• Bereitstellen von Ressourcen für Einblicke und Einrichten von Protokollen: Erhalten Sie Einblicke in jede Ebene Ihrer Azure IoT Operations-Konfiguration. Sie erhalten Einblicke in das tatsächliche Verhalten von Problemen, wodurch die Effektivität des Zuverlässigkeits-Engineerings von Standorten erhöht wird. Azure IoT Operations bietet Observability über benutzerdefinierte kuratierte Grafana-Dashboards, die in Azure gehostet werden. Diese Dashboards werden von dem Azure Monitor verwalteter Dienst für Prometheus und von Container Insights unterstützt. Stellen Sie in Ihrem Cluster Ressourcen für Einblicke bereit.

• Sichern des Zugriffs auf Ressourcen und Ressourcenendpunkte mit Azure RBAC: Ressourcen und Ressourcenendpunkte in Azure IoT Einsatz sind sowohl im Kubernetes-Cluster als auch im Azure-Portal vertreten. Sie können Azure RBAC verwenden, um den Zugriff auf diese Ressourcen zu sichern. Azure RBAC ist ein Autorisierungssystem, über das Sie den Zugriff auf Azure-Ressourcen verwalten können. Sie können Azure RBAC verwenden, um Benutzern, Gruppen und Anwendungen Berechtigungen für einen bestimmten Bereich zu gewähren. Weitere Informationen finden Sie unter Sicherer Zugriff auf Objekte und Objektendpunkte.

Cloudbasierte Lösung

Das folgende Diagramm zeigt eine allgemeine Übersicht über die Komponenten in einer typischen cloudbasierten IoT-Lösung. Dieser Artikel konzentriert sich auf die Sicherheit einer cloudbasierten IoT-Lösung:

Sie können die Sicherheit in einer cloudbasierten IoT-Lösung in die folgenden drei Bereiche unterteilen:

• Gerätesicherheit: Schützen des IoT-Geräts während seiner Bereitstellung in der Praxis.

• Verbindungssicherheit: Sicherstellen, dass alle Daten, die zwischen IoT-Gerät und IoT-Hub übertragen werden, vertraulich und fälschungssicher sind.

• Cloudsicherheit: Schützen Ihrer Daten während der Übertragung und Speicherung in der Cloud.

Durch die Implementierung der Empfehlungen in diesem Artikel können Sie die im Modell für gemeinsame Verantwortungbeschriebenen Sicherheitsverpflichtungen erfüllen.

Microsoft Defender für IoT

Microsoft Defender for IoT kann einige der in diesem Artikel enthaltenen Empfehlungen automatisch überwachen. Microsoft Defender for IoT sollte die erste Verteidigungslinie sein, um Ihre cloudbasierte Lösung zu schützen. Microsoft Defender for IoT analysiert regelmäßig den Sicherheitsstatus Ihrer Azure-Ressourcen, um potenzielle Sicherheitsrisiken zu erkennen. Anschließend erhalten Sie Empfehlungen dazu, wie damit umgegangen werden kann. Weitere Informationen finden Sie unter:

• Verbessern des Sicherheitsstatus mit Sicherheitsempfehlungen.
• Was ist Microsoft Defender for IoT für Organisationen?
• Was ist Microsoft Defender for IoT für Gerätehersteller?

Gerätesicherheit

• Einhalten der Mindestanforderungen für Hardware: Wählen Sie Ihre Gerätehardware so aus, dass sie lediglich die für ihren Betrieb erforderlichen Features enthält. Beziehen Sie beispielsweise nur USB-Anschlüsse ein, wenn sie für den Betrieb des Geräts in Ihrer Lösung erforderlich sind. Zusätzliche Features können das Gerät gegenüber unerwünschten Angriffsvektoren offenlegen.

• Manipulationssicheres Gestalten von Hardware: Wählen Sie Gerätehardware mit integrierten Mechanismen, um physische Manipulationen zu erkennen, wie etwa das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.

• Auswählen sicherer Hardware: Wählen Sie möglichst Gerätehardware, die Sicherheitsfeatures enthält, wie etwa sicheren und verschlüsselten Speicher und eine auf Trusted Platform Module basierende Startfunktion. Diese Features verbessern die Sicherheit der Geräte und tragen zum Schutz der gesamten IoT-Infrastruktur bei.

• Aktivieren von Sicherheitsupdates: Verwenden Sie Dienste wie Device Update for IoT Hub für Over-The-Air-Updates für Ihre IoT-Geräte. Entwickeln Sie Geräte mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um Geräte während und nach Updates zu schützen.

• Befolgen einer sicheren Softwareentwicklungsmethodik: Sichere Software kann nur entwickelt werden, wenn Fragen der Sicherheit von Anfang an und in allen Phasen bedacht werden – zu Beginn des Projekts über die Implementierung und die Tests genauso wie bei der Bereitstellung. Der Microsoft Security Development Lifecycle bietet einen schrittweisen Ansatz für die Entwicklung sicherer Software.

• Geräte-SDKs verwenden, wenn möglich: Geräte-SDKs implementieren verschiedene Sicherheitsfeatures, wie Verschlüsselung und Authentifizierung, die Ihnen bei der Entwicklung robuster und sicherer Geräteanwendungen helfen. Weitere Informationen finden Sie unter Azure IoT SDKs.

• Open Source-Software mit Bedacht wählen: Open Source-Software ermöglicht eine schnelle Lösungsentwicklung. Beim Auswählen von Open Source-Software sollten Sie jedoch berücksichtigen, wie aktiv die Community für die jeweilige Open Source-Komponente ist. Eine aktive Community stellt sicher, dass die Software ausreichend unterstützt wird und dass Probleme erkannt und behoben werden. Ein wenig bekanntes Open Source-Softwareprojekt, zu dem es keine aktive Community gibt, wird unter Umständen nicht unterstützt, und Probleme werden wahrscheinlich nicht entdeckt.

• Hardware sicher bereitstellen: IoT-Bereitstellungen erfordern möglicherweise die Bereitstellung von Hardware an unsicheren Orten, z. B. in öffentlichen Bereichen oder unbeaufsichtigten Gebieten. Stellen Sie in solchen Situationen sicher, dass die Hardwarebereitstellung so manipulationssicher wie möglich ist und nur die erforderlichen Features aktiviert sind, um die physische Angriffsfläche zu minimieren. Wenn die Hardware beispielsweise über USB-Anschlüsse verfügt, müssen diese sicher verdeckt werden.

• Authentifizierungsschlüssel schützen: Jedes Gerät benötigt während der Bereitstellung Geräte-IDs und die zugehörigen Authentifizierungsschlüssel, die vom Clouddienst generiert werden. Halten Sie diese Schlüssel physisch sicher, und verwenden Sie erneuerbare Anmeldeinformationen. Jeder kompromittierte Schlüssel kann von einem böswilligen Gerät verwendet werden, um sich als ein vorhandenes Gerät auszugeben.

• Stetige Aktualisierung des Systems: Stellen Sie sicher, dass Gerätebetriebssysteme und alle Gerätetreiber stets auf die neueste Version aktualisiert werden. Sie sollten unbedingt die Betriebssysteme auf dem aktuellen Stand halten, um sie vor böswilligen Angriffen zu schützen.

• Schutz vor schädlichen Aktivitäten: Wenn es das Betriebssystem zulässt, sollten Sie die neueste Antivirus- und Antischadsoftware auf jedem Gerätebetriebssystem installieren.

• Häufig überwachen: Die Überwachung der IoT-Infrastruktur auf sicherheitsbezogene Probleme ist entscheidend für die Reaktion auf Sicherheitsvorfälle. Die meisten Betriebssysteme bieten eine integrierte Ereignisprotokollierung, die häufig auf Sicherheitsverletzungen geprüft werden sollte. Ein Gerät kann Überwachungsinformationen als separaten Telemetriedatenstrom an den Clouddienst senden, wo sie analysiert werden.

• Befolgen bewährter Methoden für die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Tipps zur Sicherheit und Bereitstellung bietet, befolgen Sie diese Tipps zusätzlich zu den allgemeinen Anleitungen in diesem Artikel.

• Verwenden eines Feldgateways, um Sicherheitsdienste für ältere oder eingeschränkte Geräte bereitzustellen: Veraltete und eingeschränkte Geräte verfügen möglicherweise nicht über die Möglichkeit, Daten zu verschlüsseln, eine Verbindung mit dem Internet herzustellen oder erweiterte Überwachung bereitzustellen. In diesen Fällen können Sie ein modernes und sicheres Bereichsgateway verwenden, um Daten von älteren Geräten zu aggregieren und für die erforderliche Sicherheit zum Anschließen dieser Geräte an das Internet zu sorgen. Ein IoT Edge-Gerät kann als Gateway verwendet werden und somit eine sichere Authentifizierung, die Aushandlung von verschlüsselten Sitzungen sowie den Empfang von Befehlen aus der Cloud ermöglichen. Außerdem bieten diese Gateways noch viele andere Sicherheitsfunktionen. Azure Sphere kann als Schutzmodul verwendet werden, um andere Geräte zu schützen, einschließlich vorhandener Legacysysteme, die nicht für vertrauenswürdige Konnektivität ausgelegt sind.

Verbindungssicherheit

• Verwenden von X.509-Zertifikaten zum Authentifizieren Ihrer Geräte bei IoT Hub oder IoT Central: IoT Hub und IoT Central unterstützen sowohl die zertifikatbasierte X509-Authentifizierung als auch Sicherheitstoken als Methoden für die Authentifizierung eines Geräts. Verwenden Sie nach Möglichkeit die X509-basierte Authentifizierung in Produktionsumgebungen, da sie eine höhere Sicherheit bietet. Weitere Informationen finden Sie unter Authentifizieren eines Geräts für IoT Hub und Geräteauthentifizierungskonzepte in IoT Central.

• Verwenden von Transport Layer Security (TLS) 1.2 für sichere Verbindungen von Geräten: IoT Hub und IoT Central verwenden TLS für sichere Verbindungen von IoT-Geräten und -Diensten. Derzeit werden drei Versionen des TLS-Protokolls unterstützt: 1.0, 1.1 und 1.2. TLS 1.0 und 1.1 gelten als Legacy. Weitere Informationen finden Sie unter TLS-Unterstützung (Transport Layer Security) in IoT Hub und TLS-Unterstützung in Azure IoT Hub Device Provisioning Service (DPS).

• Stellen Sie sicher, dass Sie über eine Möglichkeit verfügen, das TLS-Stammzertifikat auf Ihren Geräten zu aktualisieren: TLS-Stammzertifikate sind langlebig, aber sie können dennoch ablaufen oder widerrufen werden. Wenn es keine Möglichkeit gibt, das Zertifikat auf dem Gerät zu aktualisieren, kann das Gerät möglicherweise keine Verbindung mit IoT Hub, IoT Central oder einem anderen Clouddienst zu einem späteren Zeitpunkt herstellen. Weitere Informationen finden Sie unter Rollen von X.509-Gerätezertifikaten.

• Nachdenken über die Verwendung von Azure Private Link: Mit Azure Private Link können Sie Ihre Geräte mit einem privaten Endpunkt in Ihrem virtuellen Netzwerk verbinden, sodass Sie den Zugriff auf die öffentlichen Endpunkte Ihres IoT-Hubs blockieren können. Weitere Informationen finden Sie unter Eingehende Konnektivität mit IoT Hub mithilfe von Azure Private Link und Netzwerksicherheit für IoT Central mithilfe privater Endpunkte.

Cloudsicherheit

• Befolgen einer sicheren Softwareentwicklungsmethodik: Sichere Software kann nur entwickelt werden, wenn Fragen der Sicherheit von Anfang an und in allen Phasen bedacht werden – zu Beginn des Projekts über die Implementierung und die Tests genauso wie bei der Bereitstellung. Der Microsoft Security Development Lifecycle bietet einen schrittweisen Ansatz für die Entwicklung sicherer Software.

• Open Source-Software mit Bedacht wählen: Open Source-Software ermöglicht eine schnelle Lösungsentwicklung. Beim Auswählen von Open Source-Software sollten Sie jedoch berücksichtigen, wie aktiv die Community für die jeweilige Open Source-Komponente ist. Eine aktive Community stellt sicher, dass die Software ausreichend unterstützt wird und dass Probleme erkannt und behoben werden. Ein wenig bekanntes Open Source-Softwareprojekt, zu dem es keine aktive Community gibt, wird unter Umständen nicht unterstützt, und Probleme werden wahrscheinlich nicht entdeckt.

• Sorgfältiges Integrieren: Viele Software-Sicherheitsschwachstellen befinden sich an der Grenze zwischen Bibliotheken und APIs. Funktionen, die für die aktuelle Bereitstellung möglicherweise nicht erforderlich sind, sind gegebenenfalls immer noch über eine API-Ebene verfügbar. Um die Gesamtsicherheit zu gewährleisten, sollten Sie alle Schnittstellen der zu integrierenden Komponenten auf Sicherheitslücken überprüfen.

• Schützen von Cloudanmeldeinformationen: Ein Angreifer kann die Anmeldeinformationen für die Cloudauthentifizierung verwenden, die Sie verwenden, um Ihre IoT-Bereitstellung zu konfigurieren und zu betreiben, um Zugriff auf Ihr IoT-System zu erhalten und zu kompromittieren. Schützen Sie die Anmeldeinformationen, indem Sie das Kennwort häufig ändern und diese Anmeldeinformationen nicht auf öffentlichen Computern verwenden.

• Definieren von Zugriffssteuerelementen für Ihren IoT Hub: Verstehen und Definieren des Zugriffstyps, den jede Komponente in Ihrer IoT Hub-Lösung basierend auf der erforderlichen Funktionalität benötigt. Es gibt zwei Möglichkeiten, Berechtigungen für die Dienst-APIs zum Herstellen einer Verbindung mit Ihrem IoT-Hub zu erteilen: Microsoft Entra ID oder Shared Access Signatures. Verwenden Sie nach Möglichkeit Microsoft Entra ID in Produktionsumgebungen, da dies eine höhere Sicherheit bietet.

• Definieren von Zugriffssteuerelementen für Ihre IoT Central-Anwendung: Verstehen und Definieren des Zugriffstyps, den Sie für Ihre IoT Central-Anwendung aktivieren. Weitere Informationen finden Sie unter:

  • Verwalten von Benutzern und Rollen in Ihrer IoT Central-Anwendung
  • Verwalten von IoT Central-Organisationen
  • Verwenden Sie Überwachungsprotokolle zum Nachverfolgen von Aktivitäten in Ihrer IoT Central-Anwendung
  • Wie Sie IoT Central-REST-API-Aufrufe authentifizieren und autorisieren

• Definieren von Zugriffssteuerelementen für Back-End-Dienste: Andere Azure-Dienste können die Daten nutzen, die Ihre IoT Hub- oder IoT Central-Anwendung von Ihren Geräten erfasst. Sie können Nachrichten von Ihren Geräten an andere Azure-Dienste weiterleiten. Verstehen und Konfigurieren geeigneter Zugriffsberechtigungen für IoT Hub oder IoT Central zum Herstellen einer Verbindung mit diesen Diensten. Weitere Informationen finden Sie unter:

  • Lesen von D2C-Nachrichten vom integrierten IoT Hub-Endpunkt
  • Verwenden des IoT Hub-Nachrichtenroutings zum Senden von Gerät-zu-Cloud-Nachrichten an verschiedene Endpunkte
  • Exportieren von IoT Central-Daten
  • Exportieren von IoT Central-Daten in ein sicheres Ziel in einem Azure Virtual Network

• Überwachen Ihrer IoT-Lösung aus der Cloud: Überwachen des Gesamtzustands Ihrer IoT-Lösung mithilfe der IoT Hub-Metriken in Azure Monitor oder Überwachen der IoT Central-Anwendungsintegrität.

• Einrichten der Diagnose: Beobachten Sie Ihren Betrieb genau, indem Sie Ereignisse in Ihrer Lösung protokollieren und dann die Diagnoseprotokolle an Azure Monitor senden. Weitere Informationen finden Sie unter Überwachen und Diagnostizieren von Problemen in Ihrem IoT-Hub.

Nächste Schritte

Weitere Informationen zur IoT-Sicherheit finden Sie unter:

• Azure-Sicherheitsbaseline für Kubernetes mit Azure Arc-Unterstützung
• Konzepte für die dauerhafte Sicherheit Ihrer cloudnativen Workload
• Azure-Sicherheitsbaseline für Azure IoT Hub
• Sicherheitsleitfaden für IoT Central
• Well-Architected Framework-Perspektive in Azure IoT Hub