Sicherheitsempfehlungen für IoT Hub
Defender für IoT scannt Ihre Azure-Ressourcen und IoT-Geräte und gibt Sicherheitsempfehlungen zur Reduzierung der Angriffsfläche. Sicherheitsempfehlungen sind umsetzbar und zielen darauf ab, Kunden bei der Einhaltung von Best Practices im Bereich der Sicherheit zu unterstützen.
In diesem Artikel finden Sie eine Liste von Empfehlungen, die für Ihren IoT Hub ausgelöst werden können.
Integrierte Empfehlungen in IoT Hub
Empfehlungsbenachrichtigungen bieten Einblicke und Vorschläge für Aktionen zum Verbessern des Sicherheitszustands Ihrer Umgebung.
Hoher Schweregrad
| severity | Name | Data source | BESCHREIBUNG | RecommendationType |
|---|---|---|---|---|
| High | Dieselben Authentifizierungsdaten werden von mehreren Geräten verwendet | IoT Hub | Von mehreren Geräten wurden die gleichen IoT Hub-Authentifizierungsinformationen verwendet. Dies könnte darauf hindeuten, dass sich ein unrechtmäßiges Gerät als rechtmäßiges Gerät ausgibt, und birgt das Risiko, dass sich ein böswilliger Akteur als Gerät ausgibt. | IoT_SharedCredentials |
| High | Hohe Berechtigungen, die im Zwilling des loT Edge-Modells für das loT Edge-Modul konfiguriert sind | IoT Hub | Das loT-Edge-Modul ist so konfiguriert, dass es im privilegierten Modus läuft, mit umfangreichen Linux-Funktionen oder mit Netzzugang auf Host-Ebene (Senden/Empfangen von Daten an den Host-Computer). | IoT_PrivilegedDockerOptions |
Mittlerer Schweregrad
| severity | Name | Data source | BESCHREIBUNG | RecommendationType |
|---|---|---|---|---|
| Medium | Dienstprinzipal wird mit ACR-Repository nicht verwendet | IoT Hub | Das Authentifizierungsschema, das zum Abrufen eines loT Edge-Moduls aus einem ACR-Repository verwendet wird, nutzt die Dienstprinzipal -Authentifizierung nicht. | IoT_ACRAuthentication |
| Medium | TLS-Cipher-Suite-Upgrade erforderlich | IoT Hub | Es wurden Ungesicherte TLS-Konfigurationen entdeckt. Es werden eine sofortige Aktualisierung der TLS-Cipher-Suite empfohlen. | IoT_VulnerableTLSCipherSuite |
| Medium | Die Standard-IP-Filterrichtlinie muss auf „Verweigern“ festgelegt sein | IoT Hub | Standardmäßig muss die IP-Filterkonfiguration Regeln für erlaubten Datenverkehr definieren und sollte allen anderen Datenverkehr verweigern. | IoT_IPFilter_DenyAll |
| Medium | Die IP-Filterregel umfasst einen großen IP-Adressbereich. | IoT Hub | Ein erlaubbarer IP-Adressbereich für eine IP-Filterregelquelle ist zu groß. Regeln mit übermäßiger Berechtigung können Ihren loT Hub für böswillige Akteure angreifbar machen. | IoT_IPFilter_PermissiveRule |
| Medium | Empfohlene Regeln für IP-Adressfilter | IoT Hub | Es empfiehlt sich, Ihren IP-Adressfilter in die folgenden Regeln zu ändern, die anhand des IotHub-Verhaltens ermittelt wurden. | IoT_RecommendedIpRulesByBaseLine |
| Medium | SecurityGroup hat inkonsistente Moduleinstellungen | IoT Hub | Innerhalb dieser Gerätesicherheitsgruppe gibt es bei einem anomalen Gerät im Vergleich zum Rest der Sicherheitsgruppe inkonsistente loT Edge-Moduleinstellungen. | IoT_InconsistentModuleSettings |
Niedriger Schweregrad
| severity | Name | Data source | BESCHREIBUNG | RecommendationType |
|---|---|---|---|---|
| Niedrig | loT Edge Hub-Speicher kann optimiert werden | IoT Hub | Optimieren Sie die Speichernutzung Ihres loT Edge Hub, indem Sie die Protokollköpfe für alle Protokolle deaktivieren, die nicht von Edge-Modulen in Ihrer Lösung verwendet werden. | IoT_EdgeHubMemOptimize |
| Niedrig | Es ist kein Protokollieren für loT Edge Modul konfiguriert | IoT Hub | Die Protokollierung für dieses loT Edge Modul ist deaktiviert. | IoT_EdgeLoggingOptions |
Nächste Schritte
- Informieren Sie sich über die Sicherheitswarnungen in Bezug auf Legacy Defender für IoT-Geräte