Freigeben über


Sicherheit in Ihrer IoT-Workload

IoT-Lösungen (Internet of Things, Internet der Dinge) stehen vor der Herausforderung, vielfältige und heterogene Workloads auf Geräten mit wenig oder ganz ohne direkte Interaktionen zu sichern. IoT-Geräteentwickler*innen, IoT-Anwendungsentwickler*innen und IoT-Lösungsoperator*innen sind während des gesamten Lebenszyklus der IoT-Lösung gemeinsam für die Sicherheit verantwortlich. Daher muss das Thema Sicherheit bereits zu Beginn des Entwurfs einer Lösung berücksichtigt werden. Wenn Sie eine Lösung entwerfen und entwickeln, müssen Sie mögliche Bedrohungen kennen und tiefgreifende Abwehrmaßnahmen hinzufügen.

Am Anfang der Sicherheitsplanung steht ein Bedrohungsmodell. Wenn Sie die Angriffswege auf ein System kennen, können Sie von Beginn an geeignete Schutzmaßnahmen bereitstellen. Die Bedrohungsmodellierung hat den größten Nutzen, wenn sie in die Entwurfsphase eingebunden wird. Im Rahmen der Übung zur Bedrohungsmodellierung können Sie eine typische IoT-Architektur in die folgenden Komponenten oder Zonen unterteilen: Gerät, Gerätegateway, Cloudgateway und Dienste. Dabei kann jede Zone eigene Authentifizierungs-, Autorisierungs- und Datenanforderungen aufweisen. Mithilfe von Zonen können Sie Schäden isolieren und die Auswirkungen von Zonen mit geringer Vertrauensebene auf Zonen mit höherer Vertrauensebene begrenzen. Weitere Informationen finden Sie unter Sicherheitsarchitektur im Internet der Dinge (IoT).

Der folgende Sicherheitsleitfaden für IoT-Workloads enthält wichtige Überlegungen sowie Empfehlungen für Entwurf und Implementierung.

Bewerten der Sicherheit in Ihrer IoT-Workload

Mithilfe der Sicherheitsfragen für IoT-Workloads in Azure Well-Architected Review können Sie Ihre IoT-Workload im Hinblick auf die Säule „Sicherheit“ von Azure Well-Architected Framework bewerten. Nachdem in der Bewertung die wichtigsten Sicherheitsempfehlungen für Ihre IoT-Lösung identifiziert wurden, können Sie diese mithilfe der folgenden Informationen implementieren.

Entwurfsprinzipien

Fünf Säulen architektonischer Exzellenz untermauern die Entwurfsmethodik für IoT-Workloads. Diese Säulen dienen als Kompass für nachfolgende Entwurfsentscheidungen in den wichtigsten IoT-Designbereichen. Die folgenden Entwurfsprinzipien erweitern die Qualitätssäule des Azure Well-Architected Frameworks – Sicherheit.

Entwurfsprinzip Überlegungen
Starke Identität Verwenden Sie für die Authentifizierung von Geräten und Benutzer*innen eine starke Identität. Nutzen Sie einen zuverlässigen Vertrauensanker auf Hardwarebasis für vertrauenswürdige Identitäten, registrieren Sie Geräte, stellen Sie erneuerbare Anmeldeinformationen aus, und verwenden Sie kennwortlose oder mehrstufige Authentifizierung (MFA). Lesen Sie allgemeine Überlegungen zur Azure-Identitäts- und Zugriffsverwaltung.
Regel der geringsten Rechte Verwenden und automatisieren Sie die Zugriffssteuerung mit den geringsten Rechten, um die Auswirkungen kompromittierter Geräte und Identitäten oder nicht genehmigter Workloads zu begrenzen.
Geräteintegrität Bewerten Sie die Geräteintegrität, um den Gerätezugriff einzuschränken oder Geräte zur Entschärfung zu kennzeichnen. Überprüfen Sie die Sicherheitskonfiguration, bewerten Sie Sicherheitsrisiken und unsichere Kennwörter, überwachen Sie Bedrohungen und Anomalien, und erstellen Sie fortlaufende Risikoprofile.
Geräteupdate Führen Sie kontinuierlich Updates durch, um die Geräteintegrität zu gewährleisten. Verwenden Sie eine zentrale Lösung für die Konfigurations- und Complianceverwaltung und einen stabilen Updatemechanismus, damit die Geräte auf dem neuesten Stand bleiben und fehlerfrei funktionieren.
Überwachen der Systemsicherheit, Planen der Reaktion auf Vorfälle Überwachen Sie nicht autorisierte oder kompromittierte Geräte proaktiv, und reagieren Sie auf neu auftretende Bedrohungen.

Zero-Trust-Sicherheitsmodell

Nicht autorisierter Zugriff auf IoT-Systeme kann zu einer massenbasierten Offenlegung von Informationen führen, z. B. zu geleakten Produktionsdaten in der Fabrik oder zur Erhöhung von Berechtigungen für die Kontrolle cyber-physischer Systeme, z. B. zum Beenden einer Produktionslinie in einer Fabrik. Ein Zero-Trust-Sicherheitsmodell hilft, die potenziellen Auswirkungen von Benutzern zu begrenzen, die nicht autorisierten Zugriff auf Cloud- oder lokale IoT-Dienste und -Daten erhalten.

Anstatt davon auszugehen, dass alles hinter einer Unternehmensfirewall sicher ist, authentifiziert, autorisiert und verschlüsselt Zero Trust jede Zugriffsanforderung vollständig, bevor Sie zugriff gewähren. Das Schützen von IoT-Lösungen mit Zero Trust beginnt mit der Implementierung grundlegender Identitäts-, Geräte- und Zugriffssicherheitsmethoden, z. B. der expliziten Überprüfung von Benutzern, der Überprüfung von Geräten im Netzwerk und der Verwendung von Echtzeitrisikoerkennung, um dynamische Zugriffsentscheidungen zu treffen.

Die folgenden Ressourcen können Ihnen bei der Implementierung einer Zero-Trust-IoT-Lösung helfen:

  • Die Microsoft Zero Trust Assessment analysiert die Lücken in Ihrem aktuellen Schutz für Identitäten, Endpunkte, Apps, Netzwerk, Infrastruktur und Daten. Verwenden Sie die empfohlenen Lösungen, um Ihre Zero Trust-Implementierung zu priorisieren, und führen Sie die Anleitungen aus dem Microsoft Zero Trust Guidance Center aus.

  • Das technische Dokument Zero Trust Cybersicherheit für das Internet der Dinge beschreibt, wie Sie einen Zero-Trust-Ansatz auf IoT-Lösungen anwenden, die auf der Umgebung und den Kundenerfahrungen von Microsoft basieren.

  • Das Dokument NIST Zero Trust Architecture (nist.gov) enthält Anleitungen zum Erstellen von Zero-Trust-Architekturen. Dieses Dokument enthält allgemeine Bereitstellungsmodelle und Anwendungsfälle, bei denen Zero Trust den allgemeinen Informationssicherheitsstatus eines Unternehmens verbessern könnte.

IoT-Architekturmuster

Die meisten IoT-Systeme verwenden entweder ein Architekturmuster für verbundene Produkte oder verbundene Vorgänge. Bei diesen Mustern gibt es wichtige Sicherheitsunterschiede. Lösungen für verbundene Vorgänge oder operative Technologie (OT) verfügen häufig über lokale Geräte, die andere physische Geräte überwachen und steuern. Diese OT-Geräte stellen Sicherheitsherausforderungen dar, etwa in Bezug auf Manipulation, Paketermittlung sowie eine Out-of-Band-Verwaltung oder OTA-Updates (Over The Air).

Factorys und OT-Umgebungen können ein einfaches Ziel für Schadsoftware und Sicherheitsverletzungen darstellen, da die Geräte alt, physisch anfällig und von der Sicherheit auf Serverebene isoliert sein können. Eine End-to-End-Perspektive finden Sie in der Sicherheitssäule azure Well-Architected Framework.

IoT-Architekturebenen

Sicherheitsentwurfsprinzipien helfen bei der Klärung von Überlegungen, um sicherzustellen, dass Ihre IoT-Workload die Anforderungen auf den grundlegenden IoT-Architekturebenen erfüllt.

Alle Ebenen sind unterschiedlichen Bedrohungen ausgesetzt, die anhand des STRIDE-Modells in die folgenden Kategorien eingeteilt werden können: Spoofing, Manipulation (Tampering), Nichtanerkennung (Repudiation), Veröffentlichung von Informationen (Information Disclosure), Denial of Service und Rechteerweiterungen (Elevation of Privilege). Befolgen Sie beim Entwerfen und Erstellen von IoT-Architekturen immer die Methoden von Microsoft Security Development Lifecycle (SDL).

Diagramm: Ebenen und übergreifende Aktivitäten der IoT-Architektur

Geräte- und Gatewayebene

Diese Architekturebene umfasst den unmittelbaren physischen Bereich um Gerät und Gateway, in dem physischer oder digitaler Peer-zu-Peer-Zugriff möglich ist. Viele Industrieunternehmen verwenden das Purdue-Modell der Norm ISA-95, um sicherzustellen, dass die Netzwerke zur Prozesssteuerung sowohl ihre begrenzte Netzwerkbandbreite schützen als auch deterministisches Verhalten in Echtzeit bereitstellen. Das Purdue-Modell bietet eine zusätzliche Ebene tiefgreifender Abwehrmaßnahmen.

Starke Geräteidentität

Eine enge Integration der Funktionen von IoT-Geräten und -Diensten führt zu einer starken Geräteidentität. Diese Funktionen umfassen:

  • Vertrauensanker auf Hardwarebasis
  • Strenge Authentifizierung mithilfe von Zertifikaten, MFA oder kennwortloser Authentifizierung
  • Erneuerbare Anmeldeinformationen
  • Organisationsweite IoT-Geräteregistrierung

Ein Vertrauensanker auf Hardwarebasis weist die folgenden Merkmale auf:

  • Sicheres Speichern von Anmeldeinformationen zum Nachweis der Identität in dedizierter, manipulationssicherer Hardware
  • Unveränderliche, an das physische Gerät gebundene Onboardingidentität
  • Eindeutige, gerätespezifische erneuerbare Betriebsanmeldeinformationen für den regulären Gerätezugriff

Die Onboardingidentität stellt ein physisches Gerät eindeutig dar und ist untrennbar mit ihm verbunden. Diese Identität wird in der Regel bei der Produktion erstellt und installiert und kann während der gesamten Lebensdauer des Geräts nicht geändert werden. Da die Onboardingidentität des Geräts unveränderlich ist und für die gesamte Lebensdauer gilt, sollten Sie diese nur für das Onboarding des Geräts in die IoT-Lösung verwenden.

Stellen Sie nach dem Onboarding eine erneuerbare Betriebsidentität und Anmeldeinformationen bereit, und verwenden Sie diese für die Authentifizierung und Autorisierung bei der IoT-Anwendung. Mit einer erneuerbaren Identität können Sie den Zugriff und die Sperrung des Geräts für den betriebsbedingten Zugriff verwalten. Bei der Erneuerung können Sie richtlinienbasierte Gates anwenden, z. B. den Nachweis der Geräteintegrität.

Der Vertrauensanker auf Hardwarebasis stellt außerdem sicher, dass Geräte gemäß den Sicherheitsspezifikationen erstellt werden und den erforderlichen Complianceszenarios entsprechen. Schützen Sie die Lieferkette des hardwarebasierten Vertrauensankers oder anderer Hardwarekomponenten eines IoT-Geräts, damit die Geräteintegrität nicht durch Angriffe auf die Lieferkette gefährdet wird.

Die kennwortlose Authentifizierung bietet mit standardisierten X.509-Zertifikaten für den Nachweis der Geräteidentität mehr Schutz als geheime Informationen wie Kennwörter und symmetrische Token, die von beiden Seiten gemeinsam genutzt werden. Zertifikate sind ein sicherer, standardisierter Mechanismus, der eine erneuerbare kennwortlose Authentifizierung ermöglicht. Beachten Sie zur Verwaltung von Zertifikaten Folgendes:

  • Stellen Sie Betriebszertifikate aus einer vertrauenswürdigen Public Key-Infrastruktur (PKI) bereit.
  • Verwenden Sie eine Erneuerungsdauer, die für Ihr Unternehmen, den Verwaltungsaufwand und die Kosten geeignet ist.
  • Die Erneuerung sollte automatisch erfolgen, um mögliche Zugriffsprobleme aufgrund einer manuellen Rotation zu minimieren.
  • Verwenden Sie aktuelle Standardtechniken zur Verschlüsselung. Führen Sie die Erneuerung z. B. mit Zertifikatsignieranforderungen (Certificate Signing Requests, CSR) und nicht durch Übermitteln eines privaten Schlüssels durch.
  • Gewähren Sie den Zugriff auf Geräte basierend auf ihrer Betriebsidentität.
  • Unterstützen Sie die Sperrung von Anmeldeinformationen, z. B. durch eine Zertifikatsperrliste (Certificate Revocation List, CRL) bei X.509-Zertifikaten, um den Gerätezugriff im Falle von Kompromittierung oder Diebstahl sofort zu entfernen.

Einige ältere oder ressourcenbeschränkte IoT-Geräte können eine sichere Identität, die kennwortlose Authentifizierung oder erneuerbare Anmeldeinformationen nicht verwenden. Verwenden Sie für die Kommunikation mit diesen weniger leistungsfähigen Geräten IoT-Gateways als Wächter, um den Zugriff auf IoT-Dienste mit starken Identitätsmustern zu überbrücken. Auf diese Weise können Sie schon heute Zero Trust nutzen, wenn Sie später auf leistungsfähigere Geräte wechseln möchten.

Virtuelle Computer (VMs), Container oder Dienste, die einen IoT-Client einbetten, können keinen Vertrauensanker auf Hardwarebasis verwenden. Nutzen Sie bei diesen Komponenten die verfügbaren Funktionen. VMs und Container, die keine Vertrauensanker auf Hardwarebasis unterstützen, können die kennwortlose Authentifizierung und erneuerbare Anmeldeinformationen verwenden. Eine Lösung mit tiefgreifenden Abwehrmaßnahmen sorgt nach Möglichkeit für Redundanzen und füllt bei Bedarf Lücken. So können Sie VMs und Container z. B. in einem Bereich mit größerer physischer Sicherheit nutzen, wie etwa einem Rechenzentrum anstelle eines IoT-Geräts vor Ort.

Verwenden Sie eine zentrale organisationsweite IoT-Geräteregistrierung, um den Lebenszyklus der IoT-Geräte in Ihrer Organisation zu verwalten und den Gerätezugriff zu überwachen. Diese Vorgehensweise ähnelt der Sicherung von Benutzeridentitäten der Belegschaft einer Organisation, um Zero Trust-Sicherheit zu gewährleisten. Mit einer cloudbasierten Identitätsregistrierung können Sie die Skalierung, Verwaltung und Sicherheit einer IoT-Lösung sicherstellen.

Die Informationen der IoT-Geräteregistrierung werden verwendet, um Geräte in eine IoT-Lösung zu integrieren. Dabei wird überprüft, ob die Geräteidentität und die Anmeldeinformationen bekannt und autorisiert sind. Nach dem Onboarding enthält die Geräteregistrierung die wichtigsten Eigenschaften des Geräts, z. B. die Betriebsidentität und erneuerbare Anmeldeinformationen, die für die Authentifizierung im alltäglichen Einsatz verwendet werden.

Sie können die Daten der IoT-Geräteregistrierung für folgende Aktionen verwenden:

  • Anzeigen des Bestands der IoT-Geräte einer Organisation, einschließlich Integritäts-, Patch- und Sicherheitsstatus
  • Abfragen und Gruppieren von Geräten für skalierten Betrieb, Verwaltung, Workloadbereitstellung und Zugriffssteuerung

Verwenden Sie Netzwerksensoren, um nicht verwaltete IoT-Geräte, die keine Verbindung mit Azure IoT-Diensten herstellen, im Hinblick auf mehr Sicherheitsbewusstsein und Überwachung zu erkennen und zu inventarisieren.

Zugriff mit den geringsten Rechten

Eine Zugriffssteuerung basierend auf den geringsten Rechten hilft dabei, die Auswirkungen authentifizierter Identitäten zu begrenzen, die möglicherweise kompromittiert wurden oder nicht genehmigte Workloads ausführen. Verwenden Sie für IoT-Szenarios beim Gewähren von Operator-, Geräte- und Workloadzugriff folgende Elemente:

  • Zugriffssteuerung für Geräte und Workloads, damit Zugriff nur für bereichsbezogene Workloads auf dem Gerät gewährt wird
  • Just-in-Time-Zugriff
  • Strenge Authentifizierungsmechanismen wie MFA und kennwortlose Authentifizierung
  • Bedingten Zugriff basierend auf dem Kontext eines Geräts, wie z. B. IP-Adresse oder GPS-Standort, Systemkonfiguration, Eindeutigkeit, Tageszeit oder Netzwerkdatenverkehrsmuster. Dienste können den Gerätekontext auch für die bedingte Bereitstellung von Workloads verwenden.

Gehen Sie folgendermaßen vor, um den Zugriff mit den geringsten Rechten effektiv zu implementieren:

  • Konfigurieren Sie die Zugriffsverwaltung des IoT-Cloudgateways so, dass nur die für das Back-End erforderlichen Zugriffsberechtigungen gewährt werden.
  • Beschränken Sie Zugriffspunkte auf IoT-Geräte und Cloudanwendungen, indem Ports nur minimalen Zugriff erhalten.
  • Erstellen Sie Mechanismen, um eine Manipulation der physischen Geräte zu erkennen und zu verhindern.
  • Verwalten Sie den Benutzerzugriff über ein geeignetes Zugriffssteuerungsmodell, wie z. B. rollenbasierte oder attributbasierte Zugriffssteuerung.
  • Verwenden Sie Netzwerksegmentierung, um den Zugriff mit den geringsten Rechten zu gruppieren.

Mikrosegmentierung von Netzwerken

Beim Entwerfen und Konfigurieren eines Netzwerks haben Sie die Möglichkeit, tiefgreifende Abwehrmechanismen zu erstellen, indem Sie die IoT-Geräte basierend auf dem Datenverkehrsmuster und der Risikogefährdung segmentieren. Mit einer solchen Segmentierung minimieren Sie die möglichen Auswirkungen kompromittierter Geräte sowie die Chancen von Angreifern, Zugriff auf höherwertige Ressourcen zu erhalten. Bei der Netzwerksegmentierung werden in der Regel Firewalls der nächsten Generation verwendet.

Mit der Mikrosegmentierung des Netzwerks können Sie weniger leistungsfähige Geräte auf der Netzwerkebene hinter einem Gateway oder in einem eigenen Netzwerksegment isolieren. Verwenden Sie die Netzwerksegmentierung zur Gruppierung von IoT-Geräten, und minimieren Sie die Auswirkungen einer potenziellen Kompromittierung mithilfe von Endpunktschutz.

Implementieren Sie eine ganzheitliche Strategie für Firewallregeln, die Geräten bei Bedarf den Zugriff auf das Netzwerk ermöglicht, und nicht zulässigen Zugriff blockiert. Organisationen mit einem ausgereifteren Sicherheitskonzept können Mikrosegmentierungsrichtlinien auf mehreren Ebenen des Purdue-Modells implementieren, um tiefgreifende Abwehrmaßnahmen zu unterstützen. Schränken Sie auf Geräten den Netzwerkzugriff ggf. mit Firewalls ein.

Geräteintegrität

Nach dem Zero Trust-Prinzip ist die Geräteintegrität ein wichtiger Faktor, um das Risikoprofil eines Geräts, einschließlich der Vertrauensebene, zu bestimmen. Sie können dieses Risikoprofil als Anhaltspunkt verwenden, um nur Geräten in fehlerfreiem Zustand den Zugriff auf IoT-Anwendungen und -Dienste zu erlauben, oder um Geräte mit fragwürdiger Integrität zu ermitteln.

Gemäß Branchenstandard sollte die Bewertung der Geräteintegrität folgende Elemente umfassen:

  • Bewertung der Sicherheitskonfiguration und Nachweis über die sichere Konfiguration des Geräts
  • Sicherheitsrisikobewertung zur Ermittlung veralteter Gerätesoftware oder bekannter Sicherheitsrisiken
  • Bewertung unsicherer Anmeldeinformationen zur Überprüfung von Geräteanmeldeinformationen (z. B. Zertifikate) und Protokollen (z. B. TLS 1.2 und höher)
  • Aktive Bedrohungen und Bedrohungswarnungen
  • Warnungen über anomales Verhalten, z. B. Abweichungen des Netzwerkmusters und der Nutzung

Zero Trust-Kriterien für Geräte

Zur Unterstützung von Zero Trust sollten IoT-Geräte

  • einen Vertrauensanker auf Hardwarebasis enthalten, um eine sichere Geräteidentität bereitzustellen.
  • erneuerbare Anmeldeinformationen für den regulären Betrieb und Zugriff verwenden.
  • eine Zugriffssteuerung mit den geringsten Rechten für lokale Geräteressourcen wie Kameras, Speicher und Sensoren erzwingen.
  • ordnungsgemäße Signale zur Geräteintegrität aussenden, um die Erzwingung des bedingten Zugriffs zu ermöglichen.
  • Update-Agents und entsprechende Softwareupdates für die nutzbare Lebensdauer des Geräts bereitstellen, damit Sicherheitsupdates angewendet werden können.
  • Funktionen für die Geräteverwaltung beinhalten, um eine cloudgesteuerte Gerätekonfiguration und automatisierte Sicherheitsantwort zu ermöglichen.
  • Sicherheits-Agents ausführen, die mit Sicherheitsüberwachungs-, Erkennungs- und Reaktionssystemen integriert sind.
  • Möglichkeiten für physische Angriffe minimieren, z. B. durch Deaktivieren nicht benötigter Gerätefeatures wie physische USB- oder UART-Ports sowie WLAN- oder Bluetooth-Konnektivität. Entfernen, überlagern oder blockieren Sie diese bei Bedarf.
  • Daten auf Geräten schützen. Verwenden Sie zur Speicherung von ruhenden Daten auf Geräten Standardalgorithmen zur Verschlüsselung der Daten.

Die folgenden Azure-Produkte und -Dienste unterstützen die IoT-Gerätesicherheit:

  • Azure Sphere-Überwachungsmodule stellen eine Verbindung zwischen kritischen Altgeräten und IoT-Diensten mit Zero Trust-Funktionen, wie starke Identitäten, End-to-End-Verschlüsselung und regelmäßige Sicherheitsupdates, her.

  • Azure IoT Edge stellt eine Edge-Laufzeitverbindung mit IoT Hub und anderen Azure-Diensten bereit und unterstützt Zertifikate als sichere Geräteidentitäten. IoT Edge unterstützt den Standard PKCS#11 für Identitäten bei der Geräteherstellung und andere Geheimnisse, die in TPM (Trusted Platform Module) oder HSM (Hardware Security Module) gespeichert sind.

  • Die Azure IoT Hub SDKS sind eine Reihe von Geräteclientbibliotheken, Entwicklerhandbüchern, Beispielen und Dokumentationen. Geräte-SDKs implementieren verschiedene Sicherheitsfeatures, z. B. Verschlüsselung und Authentifizierung, um Sie bei der Entwicklung einer robusten und sicheren Geräteanwendung zu unterstützen.

  • Azure RTOS bietet ein Echtzeitbetriebssystem als Sammlung von C-Sprachbibliotheken, die Sie auf einer Vielzahl eingebetteter IoT-Geräteplattformen bereitstellen können.

    Azure RTOS umfasst einen vollständigen TCP/IP-Stapel mit TLS 1.2 und 1.3 sowie grundlegenden X.509-Funktionen. Azure RTOS und das Azure IoT Embedded SDK sind auch in Azure IoT Hub, Azure Device Provisioning Service (DPS) und Microsoft Defender integriert. Features wie die gegenseitige X.509-Authentifizierung und die Unterstützung moderner TLS-Verschlüsselungssammlungen wie ECDHE und AES-GCM decken die Grundlagen der sicheren Netzwerkkommunikation ab.

    Azure RTOS unterstützt außerdem Folgendes:

    • Zero-Trust-Design auf Mikrocontrollerplattformen, die Hardwaresicherheitsfeatures unterstützen, z. B. Arm TrustZone, eine Speicherschutz- und Partitionierungsarchitektur.
    • Secure-Element-Geräte, wie der STSAFE-A110 von ST Microelectronics.
    • Branchenstandards wie die Arm Platform Security Architecture (PSA), die Hardware und Firmware kombiniert, um einen standardisierten Satz von Sicherheitsfeatures wie sicheren Start, Kryptografie und Nachweis bereitzustellen.
  • Das Azure Certified Device-Programm ermöglicht Gerätepartnern die einfache Unterscheidung und Förderung von Geräten. Das Programm hilft Lösungsentwicklern und Kunden, IoT-Geräte zu finden, die mit Features erstellt wurden, die eine Zero-Trust-Lösung ermöglichen.

  • Das Programm Edge Secured-Core (Vorschau) überprüft, ob Geräte die Sicherheitsanforderungen im Hinblick auf Geräteidentität, sicheren Start, Betriebssystemhärtung, Geräteupdates, Datenschutz und Offenlegung von Sicherheitsrisiken erfüllen. Die Anforderungen von Edge Secured-Core fassen verschiedene Branchenanforderungen und sicherheitstechnische Gesichtspunkte zusammen.

    Das Edge Secured-Core-Programm ermöglicht Es Azure-Diensten wie dem Azure Attestation-Dienst, bedingte Entscheidungen basierend auf dem Gerätestatus zu treffen und so das Zero-Trust-Modell zu ermöglichen. Geräte müssen über einen Hardwarestamm der Vertrauensstellung verfügen und einen sicheren Start- und Firmwareschutz bieten. Diese Attribute können vom Nachweisdienst gemessen und von nachgeschalteten Diensten verwendet werden, um bedingten Zugriff auf vertrauliche Ressourcen zu gewähren.

Erfassungs- und Kommunikationsebene

Daten, die in der IoT-Lösung erfasst werden, sollten mit der Anleitung in der Sicherheitssäule azure Well-Architected Framework geschützt werden. Darüber hinaus muss bei IoT-Lösungen unbedingt sichergestellt werden, dass die Kommunikation vom Gerät zur Cloud sicher und mit den neuesten TLS-Standards verschlüsselt ist.

Ebene der Geräteverwaltung und -modellierung

Diese Architekturebene umfasst Softwarekomponenten oder Module, die in der Cloud ausgeführt werden und mit Geräten und Gateways zur Datenerfassung und -analyse sowie für Befehle und Steuerungen kommunizieren.

Zero Trust-Kriterien für IoT-Dienste

Verwenden Sie IoT-Dienste, die die folgenden wichtigen Zero Trust-Funktionen bereitstellen:

  • Vollständige Unterstützung für die Zero Trust- Benutzerzugriffssteuerung, wie etwa starke Benutzeridentitäten, MFA und bedingten Benutzerzugriff
  • Integration mit Systemen zur Benutzerzugriffssteuerung für einen Zugriff mit den geringsten Rechten und bedingte Kontrollen
  • Eine zentrale Geräteregistrierung für den vollständigen Bestand und die Verwaltung von Geräten
  • Gegenseitige Authentifizierung mit erneuerbaren Geräteanmeldeinformationen mit strenger Identitätsüberprüfung
  • Gerätezugriffssteuerung mit den geringsten Rechten und bedingtem Zugriff, sodass nur Geräte eine Verbindung herstellen können, die bestimmte Kriterien wie Integrität oder bekannter Standort erfüllen
  • OTA-Updates zur Sicherung der Geräteintegrität
  • Sicherheitsüberwachung von IoT-Diensten und von verbundenen IoT-Geräten
  • Überwachung und Zugriffssteuerung für alle öffentlichen Endpunkte sowie Authentifizierung und Autorisierung sämtlicher Aufrufe dieser Endpunkte

Mehrere Azure IoT-Dienste bieten diese Zero-Trust-Funktionen.

  • Windows für IoT trägt dazu bei, die Sicherheit in wichtigen Bereichen des Spektrums der IoT-Sicherheit zu gewährleisten.

    • BitLocker Drive Encryption, Secure Boot, Windows Defender Application Control, Windows Defender Exploit Guard, UWP-Anwendungen (Secure Universelle Windows-Plattform), Unified Write Filter, ein sicherer Kommunikationsstapel und Die Verwaltung von Sicherheitsanmeldeinformationen schützen ruhende Daten, während der Codeausführung und während der Übertragung.

    • Device Health Attestation (DHA) erkennt und überwacht vertrauenswürdige Geräte, damit Sie mit einem vertrauenswürdigen Gerät beginnen und die Vertrauensstellung im Laufe der Zeit beibehalten können.

    • Device Update Center und Windows Server Update Services die neuesten Sicherheitspatches anwenden. Sie können Bedrohungen für Geräte beheben, indem Sie Azure IoT Hub Geräteverwaltungsfeatures, Microsoft Intune oder Drittanbieterlösungen für die Verwaltung mobiler Geräte und Microsoft System Center Configuration Manager verwenden.

  • Microsoft Defender für IoT ist eine Sicherheitsplattform ohne Agents auf Netzwerkebene, die eine kontinuierliche Ressourcenermittlung, Sicherheitsrisikoverwaltung und Bedrohungserkennung für IoT- und OT-Geräte bietet. Defender für IoT überwacht den Netzwerkdatenverkehr fortlaufend mithilfe IoT-basierter Verhaltensanalysen, um nicht autorisierte oder kompromittierte Komponenten zu identifizieren.

    Defender für IoT unterstützt geschützte eingebettete OT-Geräte und ältere Windows-Systeme, die häufig in OT-Umgebungen zu finden sind. Defender für IoT kann alle IoT-Geräte inventarisieren, Sicherheitsrisiken bewerten, risikobasierte Empfehlungen zur Entschärfung bereitstellen und Geräte kontinuierlich auf anomales oder nicht autorisiertes Verhalten überwachen.

  • Microsoft Sentinel, eine cloudbasierte Plattform für Sicherheitsinformations- und Ereignisverwaltung (SIEM) und Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR), die eng in Microsoft Defender für IoT integriert ist. Microsoft Sentinel bietet eine cloudweite Sicht auf die Sicherheit in Ihrem Unternehmen, indem Daten für alle Benutzer, Geräte, Anwendungen und Infrastruktur erfasst werden, einschließlich Firewalls, Netzwerkzugriffssteuerung und Netzwerkswitchgeräten.

    Microsoft Sentinel kann schnell anomale Verhaltensweisen erkennen, die auf eine potenzielle Kompromittierung von IoT- oder OT-Geräten hindeuten. Microsoft Sentinel unterstützt auch SOC-Lösungen (Security Operations Center) von Drittanbietern, z. B. Splunk, IBM QRadar und ServiceNow.

  • Azure IoT Hub stellt eine betriebsbereite Registrierung für IoT-Geräte bereit. IoT Hub akzeptiert Gerätebetriebszertifikate, um eine starke Identität zu aktivieren, und kann Geräte zentral deaktivieren, um nicht autorisierte Verbindungen zu verhindern. IoT Hub unterstützt die Bereitstellung von Modulidentitäten, die IoT Edge-Workloads unterstützen.

    • Azure IoT Hub Device Provisioning Service (DPS) bietet eine zentrale Geräteregistrierung für Organisationsgeräte, die sich für das Onboarding im großen Stil registrieren können. DPS akzeptiert Gerätezertifikate, um das Onboarding mit einer starken Geräteidentität und erneuerbaren Anmeldeinformationen zu ermöglichen und Geräte in IoT Hub für ihren täglichen Betrieb zu registrieren.

    • Mit Azure Device Update (ADU) für IoT Hub können Sie OTA-Updates für Ihre IoT-Geräte bereitstellen. ADU bietet eine in der Cloud gehostete Lösung zum Verbinden von praktisch jedem Gerät und unterstützt eine breite Palette von IoT-Betriebssystemen, einschließlich Linux und Azure RTOS.

    • Azure IoT Hub Unterstützung für virtuelle Netzwerke können Sie die Konnektivität auf IoT Hub über ein von Ihnen betriebenes virtuelles Netzwerk beschränken. Diese Netzwerkisolation verhindert die Gefährdung der Konnektivität mit dem öffentlichen Internet und kann dazu beitragen, Exfiltrationsangriffe aus sensiblen lokalen Netzwerken zu verhindern.

Die folgenden Microsoft-Produkte integrieren Hardware und Azure-Dienste vollständig in IoT-Gesamtlösungen.

  • Azure Sphere ist eine vollständig verwaltete integrierte Hardware-, Betriebssystem- und Cloudplattformlösung, mit der IoT-Geräte mit mittlerer und geringer Leistung die sieben Eigenschaften hochsicherer Geräte erreichen können, um Zero Trust zu implementieren. Geräte verwenden die explizite Überprüfung und implementieren zertifikatbasierte Gerätenachweise und -authentifizierung (DAA), wodurch die Vertrauensstellung automatisch erneuert wird.

    Azure Sphere verwendet den Zugriff mit den geringsten Rechten, wobei Anwendungen standardmäßig der Zugriff auf alle Peripherie- und Konnektivitätsoptionen verweigert wird. Für die Netzwerkkonnektivität müssen zulässige Webdomänen im Softwaremanifest enthalten sein, andernfalls kann die Anwendung keine Verbindung außerhalb des Geräts herstellen.

    Azure Sphere basiert auf angenommenen Sicherheitsverletzungen. Schutz in Tiefenebenen während des gesamten Betriebssystemdesigns. Eine sichere Weltpartition, die in Arm TrustZone auf Azure Sphere-Geräten ausgeführt wird, hilft beim Segmentieren von Betriebssystemverletzungen vom Zugriff auf Pluton oder Hardwareressourcen.

    Azure Sphere kann ein Schutzmodul sein, um andere Geräte zu schützen, einschließlich vorhandener Legacysysteme, die nicht für vertrauenswürdige Konnektivität konzipiert sind. In diesem Szenario wird ein Azure Sphere-Schutzmodul mit einer Anwendung und Schnittstellen mit vorhandenen Geräten über Ethernet, serial oder BLE bereitgestellt. Die Geräte verfügen nicht unbedingt über eine direkte Internetverbindung.

  • Azure Percept ist eine End-to-End-Edge-KI-Plattform, mit der Sie in wenigen Minuten mit einem Proof of Concept beginnen können. Azure Percept umfasst Hardwarebeschleuniger, die in Azure KI- und IoT-Dienste integriert sind, vordefinierte KI-Modelle und Lösungsverwaltung.

    Azure Percept-Geräte verwenden einen Hardwarestamm des Vertrauens, um Rückschlussdaten, KI-Modelle und datenschutzrelevante Sensoren wie Kameras und Mikrofone zu schützen. Azure Percept ermöglicht die Geräteauthentifizierung und -autorisierung für Azure Percept Studio-Dienste. Weitere Informationen finden Sie unter Azure Percept-Sicherheit.

DevOps-Ebene

Eine IoT-Lösung für Unternehmen sollte eine Strategie für Operator*innen zur Verwaltung des Systems beinhalten. DevOps-Methoden mit proaktivem Sicherheitsaspekt umfassen:

  • Zentrale Konfigurations- und Complianceverwaltung, um Richtlinien sicher anzuwenden und Zertifikate zu verteilen und zu aktualisieren.
  • Bereitstellbare Updates zur Aktualisierung der gesamten Software auf Geräten (Firmware, Treiber, Basisbetriebssystem und Hostanwendungen) sowie der in der Cloud bereitgestellten Workloads.

Weitere Informationen finden Sie unter Aktivieren von DevSecOps mit Azure und GitHub.

Fortlaufende Updates

Für eine Steuerung des Gerätezugriffs basierend auf der Integrität müssen Sie Produktionsgeräte proaktiv in einem funktionierenden, fehlerfreien Zielzustand verwalten. Dabei sollte der Aktualisierungsmechanismus über folgende Funktionen verfügen:

  • Remotebereitstellungsfunktionen
  • Resilienz gegenüber Änderungen in der Umgebung, den Betriebsbedingungen und dem Authentifizierungsmechanismus, wie z. B. Zertifikatänderungen nach Ablauf oder Sperrung
  • Unterstützung der Überprüfung des Rollouts von Updates
  • Integration mit der gängigen Sicherheitsüberwachung, um geplante Sicherheitsupdates zu aktivieren

Sie sollten Updates, die die Geschäftskontinuität beeinträchtigen, zurückstellen können. Wenn Sie jedoch ein Sicherheitsrisiko erkannt haben, sollten Sie die Updates innerhalb eines klar definierten Zeitintervalls abschließen können. Nicht aktualisierte Geräte sollten als fehlerhaft gekennzeichnet werden.

Sicherheitsüberwachung und Reaktion auf Vorfälle

Eine IoT-Lösung muss die Überwachung und Entschärfung von Sicherheitsrisiken passend für alle verbundenen Geräte durchführen können. Die Überwachung fügt als tiefgreifende Abwehrmaßnahme eine zusätzliche Schutzebene für verwaltete Neugeräte hinzu und ermöglicht eine ausgleichende Kontrolle für nicht verwaltete Altgeräte, die keine Agents unterstützen und nicht per Remotezugriff gepatcht oder konfiguriert werden können.

Sie entscheiden über die Protokollierungsebenen, welche Arten von Aktivitäten überwacht werden sollen und welche Reaktion auf Warnungen erfolgen soll. Protokolle sollten sicher gespeichert werden und keine Sicherheitsdetails enthalten.

Nach Angaben der Cybersecurity and Infrastructure Security Agency (CISA) sollte ein Sicherheitsüberwachungsprogramm nicht autorisierte Änderungen an Controllern, ungewöhnliches Verhalten von Geräten sowie Zugriffs- und Autorisierungsversuche überwachen. Die Sicherheitsüberwachung sollte folgende Aktionen umfassen:

  • Generieren des aktuellen Ressourcenbestands und einer Netzwerkzuordnung aller IoT- und OT-Geräte
  • Identifizieren aller Kommunikationsprotokolle, die in IoT- und OT-Netzwerken verwendet werden
  • Katalogisieren aller externen Verbindungen zu und von Netzwerken
  • Identifizieren von Sicherheitsrisiken auf IoT- und OT-Geräten und Verwenden eines risikobasierten Ansatzes zu deren Entschärfung
  • Implementieren eines Überwachungsprogramms mit Anomalieerkennung, um böswillige Cybertaktiken wie LotL-Angriffe (Living off the Land) innerhalb von IoT-Systemen zu erkennen

Die meisten IoT-Angriffe folgen einem Kill Chain-Muster , bei dem Angreifer einen ersten Fuß aufbauen, ihre Rechte erhöhen und sich seitlich über das Netzwerk bewegen. Häufig verwenden Angreifer privilegierte Anmeldeinformationen, um Barrieren wie Firewalls der nächsten Generation zu umgehen, um die Netzwerksegmentierung über Subnetze hinweg zu erzwingen. Die schnelle Erkennung und Reaktion auf diese mehrstufigen Angriffe erfordert eine einheitliche Sicht auf IT-, IoT- und OT-Netzwerke in Kombination mit Automatisierung, maschinellem Lernen und Threat Intelligence.

Sammeln Sie Signale aus der gesamten Umgebung, einschließlich aller Benutzer, Geräte, Anwendungen und Infrastruktur, sowohl lokal als auch in mehreren Clouds. Analysieren Sie die Signale in zentralisierten SIEM- und XDR-Plattformen (Extended Detection and Response), auf denen SOC-Analysten nach bisher unbekannten Bedrohungen suchen und diese aufdecken können.

Verwenden Sie schließlich SOAR-Plattformen, um schnell auf Incidents zu reagieren und Angriffe zu minimieren, bevor sie ihre organization erheblich beeinträchtigen. Sie können Playbooks definieren, die automatisch ausgeführt werden, wenn bestimmte Vorfälle erkannt werden. Sie können beispielsweise kompromittierte Geräte automatisch sperren oder unter Quarantäne stellen, damit sie andere Systeme nicht infizieren können.

Nächste Schritte