Procedimientos recomendados de seguridad para soluciones de IoT

Este resumen presenta los conceptos clave en torno a la seguridad de una solución Azure IoT típica. Cada sección incluye vínculos a contenido que proporciona más detalles e instrucciones.

Solución basada en el perímetro

En el diagrama siguiente se muestra una vista de alto nivel de los componentes en una solución de IoT típica basada en el perímetro. Este artículo se centra en la seguridad de una solución de IoT basada en el borde:

Puede dividir la seguridad en una solución de IoT basada en el borde en las tres áreas siguientes:

• Seguridad de recursos: proteja el elemento físico o virtual de valor del que desea administrar, supervisar y recopilar datos.

• Seguridad de conexión: asegúrese de que todos los datos en tránsito entre el recurso, el borde y los servicios en la nube son confidenciales y a prueba de alteraciones.

• Seguridad de borde: proteja los datos mientras circulan y se almacenan en el borde.

• Seguridad en la nube: proteja los datos mientras se trasladan a la nube y se almacenan allí.

Normalmente, en una solución basada en el borde, quiere proteger las operaciones de un extremo a otro mediante las funcionalidades de seguridad de Azure. Operaciones de IoT de Azure tiene funcionalidades de seguridad integradas, como administración de secretos, administración de certificados y configuración segura en un clúster de Kubernetes habilitado para Azure Arc. Cuando un clúster de Kubernetes está conectado a Azure, se inicia una conexión saliente a Azure, mediante SSL estándar del sector para proteger los datos en tránsito y se habilitan otras características de seguridad, como:

• Visualización y supervisión de clústeres mediante Azure Monitor para contenedores.
• Aplique la protección contra amenazas mediante Microsoft Defender para contenedores.
• Garantice la gobernanza mediante la aplicación de directivas con Azure Policy para Kubernetes.
• Conceda acceso y conéctese a los clústeres de Kubernetes desde cualquier lugar y administre el acceso mediante el Control de acceso basado en roles de Azure (Azure RBAC) en el clúster.

Microsoft Defender para IoT y para contenedores

Microsoft Defender para IoT es una solución de seguridad unificada creada específicamente para identificar dispositivos IoT y tecnología de operaciones (OT), vulnerabilidades y amenazas. Microsoft Defender para contenedores es una solución nativa de nube para mejorar, supervisar y mantener la seguridad de los recursos contenedorizados (clústeres de Kubernetes, nodos de Kubernetes, cargas de trabajo de Kubernetes, registros de contenedor, imágenes de contenedor y mucho más) y sus aplicaciones, en entornos multinube y locales.

Tanto Defender para IoT como Defender para contenedores pueden supervisar automáticamente algunas de las recomendaciones incluidas en este artículo. Defender para IoT y Defender para contenedores deben ser la primera línea de defensa para proteger la solución basada en el borde. Para obtener más información, consulte:

• Microsoft Defender para contenedores - Introducción
• Microsoft Defender para IoT para organizaciones - Introducción.

Seguridad de recursos

• Administración de secretos: use Azure Key Vault para almacenar y administrar la información confidencial del recurso, como claves, contraseñas, certificados y secretos. Operaciones de IoT de Azure usa Azure Key Vault como solución de almacén administrado en la nube y usa la extensión Almacén de secretos de Azure Key Vault para Kubernetes para sincronizar los secretos desde la nube y almacenarlos en el perímetro como secretos de Kubernetes. Para más información, consulte Administración de secretos para la implementación de Operaciones de IoT de Azure.

• Administración de certificados: la administración de certificados es fundamental para garantizar la comunicación segura entre los recursos y el entorno de tiempo de ejecución del borde. Operaciones de IoT de Azure proporciona herramientas para administrar certificados, como la emisión, renovación y revocación de certificados. Para más información, consulte Administración de certificados para la comunicación interna de Operaciones de IoT de Azure.

• Seleccionar hardware a prueba de alteraciones para los recursos: elija hardware de recursos con mecanismos integrados para detectar alteraciones físicas, como la apertura de la cubierta del dispositivo o la eliminación de una parte del dispositivo. Estas señales de manipulación pueden formar parte del flujo de datos cargado en la nube, lo que alerta a los operadores de estos eventos.

• Habilitar actualizaciones seguras para el firmware del recurso: use servicios que habilitan actualizaciones inalámbricas para los recursos. Cree recursos con rutas de acceso seguras para actualizaciones y garantía criptográfica de las versiones de firmware para proteger los recursos durante y después de las actualizaciones.

• Implementar hardware de recursos de forma segura: asegúrese de que la implementación de hardware de recursos sea lo más segura posible, especialmente en ubicaciones no seguras, como espacios públicos o configuraciones regionales no supervisadas. Solo habilite las características necesarias para minimizar la superficie de ataque físico, como cubrir de forma segura los puertos USB si no son necesarios.

• Siga los procedimientos recomendados de seguridad e implementación del fabricante de dispositivos: si el fabricante del dispositivo proporciona instrucciones de seguridad e implementación, siga esa guía además de las instrucciones genéricas que se enumeran en este artículo.

Seguridad de conexión

• Usar la Seguridad de la capa de transporte (TLS) para proteger las conexiones de los recursos: toda la comunicación dentro de las Operaciones de IoT de Azure se cifra mediante TLS. Para proporcionar una experiencia segura de forma predeterminada que minimiza la exposición involuntaria de la solución basada en el borde a los atacantes, Operaciones de IoT de Azure se implementa con una entidad de certificación raíz predeterminada y un emisor para los certificados de servidor TLS. Para una implementación de producción, se recomienda usar su propio emisor de entidad de certificación y una solución PKI empresarial.

• Considere la posibilidad de usar firewalls de empresa o servidores proxy para administrar el tráfico saliente: si usa firewalls de empresa o servidores proxy, agregue los puntos de conexión de Operaciones de IoT de Azure a la lista de permitidos.

• Cifrar el tráfico interno del agente de mensajes: garantizar la seguridad de las comunicaciones internas dentro de la infraestructura de borde es importante para mantener la integridad y la confidencialidad de los datos. Debe configurar el corredor MQTT para cifrar el tráfico interno y los datos en tránsito entre el front-end del corredor MQTT y los pods de back-end. Para obtener más información, consulte Configuración del cifrado del tráfico interno del corredor y certificados internos.

• Configurar TLS con administración automática de certificados para agentes de escucha en el corredor MQTT: Operaciones de IoT de Azure proporciona administración automática de certificados para agentes de escucha en el corredor MQTT. Esto reduce la sobrecarga administrativa de administrar manualmente los certificados, garantiza renovaciones oportunas y ayuda a mantener el cumplimiento de las directivas de seguridad. Para obtener más información, consulte Comunicación de corredor MQTT seguro mediante BrokerListener.

• Configurar una conexión segura con el servidor OPC UA: al conectarse a un servidor OPC UA, debe determinar con qué servidores de OPC UA confía para establecer de forma segura una sesión. Para obtener más información, consulte Configurar la infraestructura de los certificados de OPC UA para el conector para OPC UA.

Seguridad de borde

• Mantener actualizado el entorno en tiempo de ejecución del borde: mantenga actualizado el clúster y la implementación de Operaciones de IoT de Azure con las últimas revisiones y versiones secundarias para obtener todas las correcciones de errores y seguridad disponibles. En el caso de las implementaciones de producción, desactive la actualización automática de Azure Arc para tener control total sobre cuándo se aplican nuevas actualizaciones al clúster. En su lugar, actualice manualmente los agentes según sea necesario.

• Comprobar la integridad de las imágenes de Docker y Helm: antes de implementar cualquier imagen en el clúster, compruebe que Microsoft firma la imagen. Para obtener más información, consulte Validar firma de imágenes.

• Use siempre certificados X.509 o tokens de cuenta de servicio de Kubernetes para la autenticación con el corredor MQTT: un corredor MQTT admite varios métodos de autenticación para los clientes. Puede configurar cada puerto de agente de escucha para tener sus propias opciones de autenticación con un recurso BrokerAuthentication. Para obtener más información, consulte Configuración de la autenticación de corredor MQTT.

• Proporcione los privilegios mínimos necesarios para el recurso de tema en el corredor MQTT: las directivas de autorización determinan qué acciones pueden realizar los clientes en el agente, como conectarse, publicar o suscribirse a temas. Configure el corredor MQTT para usar una o varias directivas de autorización con el recurso de BrokerAuthorization. Para obtener más información, consulte Configuración de la autorización del corredor MQTT.

• Configuración de entornos de red aislados mediante Administración de redes en capas de Azure IoT (versión preliminar): Administración de redes en capas de Azure IoT (versión preliminar) es un componente que facilita la conexión entre Azure y clústeres en entornos de red aislados. En escenarios industriales, las redes aisladas siguen la ISA-95/Arquitectura de red de Purdue. Para más información, consulte ¿Qué es la Administración de redes en capas de Azure IoT (versión preliminar)?.

Seguridad en la nube

• Usar identidades administradas asignadas por el usuario para conexiones en la nube: use siempre la autenticación de identidad administrada. Cuando sea posible, use la identidad administrada asignada por el usuario en los puntos de conexión de flujo de datos para lograr flexibilidad y auditabilidad.

• Implementar recursos de observabilidad y configuración de registros: la observabilidad proporciona visibilidad sobre cada capa de la configuración de Operaciones de IoT de Azure. Proporciona información sobre el comportamiento real de los problemas, lo que aumenta la eficacia de la ingeniería de fiabilidad del sitio. Operaciones de IoT de Azure ofrece observabilidad mediante paneles de Grafana mantenidos personalizados que se hospedan en Azure. Estos paneles se basan en la tecnología del servicio administrado para Prometheus de Azure Monitor y en la de Container Insights. Implemente recursos de observabilidad en el clúster antes de implementar Operaciones de IoT de Azure.

• Acceso seguro a recursos y puntos de conexión de recursos con Azure RBAC: los recursos y los puntos de conexión de recursos de Operaciones de IoT de Azure tienen representaciones tanto en el clúster de Kubernetes como en Azure Portal. Puede usar RBAC de Azure para proteger el acceso a estos recursos. RBAC de Azure es un sistema de autorización que permite administrar el acceso a los recursos de Azure. Puede usar Azure RBAC para conceder permisos a los usuarios, los grupos y las aplicaciones en un ámbito determinado. Para más información, consulte Acceso seguro a recursos y puntos de conexión de recursos.

Solución basada en la nube

En el diagrama siguiente se muestra una vista de alto nivel de los componentes en una solución de IoT típica basada en la nube. Este artículo se centra en la seguridad de una solución de IoT basada en la nube:

Puede dividir la seguridad en una solución de IoT basada en la nube en las tres áreas siguientes:

• Seguridad del dispositivo: protección del dispositivo IoT mientras se implementa en su entorno natural.

• Seguridad de la conexión: asegurar que todos los datos transmitidos entre el dispositivo IoT y los servicios en la nube de IoT sean confidenciales y a prueba de manipulaciones.

• Seguridad en la nube: proteja los datos mientras se trasladan a la nube y se almacenan allí.

La implementación de las recomendaciones de este artículo le ayuda a cumplir las obligaciones de seguridad descritas en el modelo de responsabilidad compartida.

Microsoft Defender para IoT

Microsoft Defender para IoT puede supervisar automáticamente algunas de las recomendaciones incluidas en este artículo. Microsoft Defender para IoT debe ser la primera línea de defensa para proteger la solución basada en la nube. Microsoft Defender para IoT analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles puntos vulnerables de la seguridad. Después, proporciona recomendaciones sobre cómo abordarlas. Para obtener más información, consulte:

• Mejorar la posición de seguridad con recomendaciones de seguridad.
• ¿Qué es Microsoft Defender para IoT para organizaciones?.
• ¿Qué es Microsoft Defender para IoT para los generadores de dispositivos?.

Seguridad del dispositivo

• Hardware de ámbito a requisitos mínimos: seleccione el hardware del dispositivo para incluir las características mínimas necesarias para su funcionamiento y nada más. Por ejemplo, solo incluya puertos USB si son necesarios para el funcionamiento del dispositivo en la solución. Las características adicionales pueden exponer el dispositivo a vectores de ataque no deseados.

• Seleccionar hardware de prueba de manipulación: seleccione hardware de dispositivo con mecanismos integrados para detectar alteraciones físicas, como la apertura de la cubierta del dispositivo o la eliminación de una parte del dispositivo. Estas señales de manipulación pueden formar parte del flujo de datos cargado en la nube, lo que puede alertar a los operadores de estos eventos.

• Seleccionar hardware seguro: si es posible, elija hardware de dispositivo que incluya características de seguridad como almacenamiento seguro y cifrado y funcionalidad de arranque basada en un Módulo de plataforma segura. Estas características crean dispositivos más seguros y ayudan a proteger la infraestructura de IoT general.

• Habilitar actualizaciones seguras: use servicios como Device Update for IoT Hub para actualizaciones inalámbricas para los dispositivos IoT. Cree dispositivos con rutas de acceso seguras para las actualizaciones y la garantía criptográfica de las versiones de firmware para proteger los dispositivos durante y después de las actualizaciones.

• Siga una metodología de desarrollo de software segura: el desarrollo de software seguro requiere que tenga en cuenta la seguridad desde el inicio del proyecto hasta la implantación, las pruebas y la implementación. El Ciclo de vida de desarrollo de seguridad de Microsoft proporciona un enfoque paso a paso para la creación de software seguro.

• Usar SDK de dispositivo siempre que sea posible: los SDK de dispositivo implementan diversas características de seguridad, como el cifrado y la autenticación que le ayudan a desarrollar aplicaciones de dispositivo sólidas y seguras. Para más información, consulte SDK de Azure IoT.

• Elegir software de código abierto con cuidado: el software de código abierto brinda la oportunidad de desarrollar soluciones con rapidez. Al elegir software de código abierto, tenga en cuenta el nivel de actividad de la comunidad para cada componente de código abierto. Una comunidad activa garantiza la compatibilidad con el software; se detectarán problemas, a los que se hará frente. Es posible que no se admita un proyecto de software de código abierto oculto e inactivo y que no se detecten problemas.

• Implementar hardware de forma segura: las implementaciones de IoT pueden requerir que implemente hardware en ubicaciones no seguras, como en espacios públicos o configuraciones regionales no supervisadas. En tales situaciones, asegúrese de que la implementación de hardware sea lo más a prueba de alteraciones posible y solo las características necesarias estén habilitadas para minimizar la superficie de ataque físico. Por ejemplo, si el hardware tiene puertos USB, asegúrese de que están cubiertos de forma segura.

• Mantener seguras las claves de autenticación: durante la implementación, cada dispositivo requiere identificadores de dispositivo y claves de autenticación asociadas generadas por el servicio en la nube. Mantenga estas claves físicamente seguras y use credenciales renovables. Un dispositivo malintencionado puede usar cualquier clave en peligro para su enmascaramiento como dispositivo existente.

• Mantener el sistema actualizado: asegúrese de que los sistemas operativos y todos los controladores de los dispositivos están actualizados con las versiones más recientes. Mantener actualizados los sistemas operativos ayuda a garantizar que están protegidos contra ataques malintencionados.

• Proteger contra la actividad malintencionada: si el sistema operativo lo permite, instale las funcionalidades antivirus y antimalware más recientes en el sistema operativo de todos y cada uno de los dispositivos.

• Auditar con frecuencia: la auditoría de los problemas relacionados con la seguridad de la infraestructura de IoT es clave a la hora de responder a incidentes de seguridad. La mayoría de los sistemas operativos proporcionan un registro de eventos integrado que debe revisar con frecuencia para asegurarse de que no se ha producido ninguna infracción de seguridad. Un dispositivo puede enviar información de auditoría como un flujo independiente de telemetría al servicio en la nube, donde puede analizarse.

• Siga los procedimientos recomendados de seguridad e implementación del fabricante de dispositivos: si el fabricante del dispositivo proporciona instrucciones de seguridad e implementación, siga esa guía además de las instrucciones genéricas que se enumeran en este artículo.

• Usar una puerta de enlace de campo para proporcionar servicios de seguridad para dispositivos heredados o restringidos: los dispositivos heredados y restringidos pueden carecer de la capacidad de cifrar datos, conectarse a Internet o proporcionar auditoría avanzada. En estos casos, una puerta de enlace de campo moderna y segura puede agregar datos desde dispositivos heredados y proporcionar la seguridad necesaria para la conexión a Internet de estos dispositivos. Un dispositivo de IoT Edge se puede usar como puerta de enlace y proporcionar autenticación segura, negociación de sesiones cifradas, recepción de comandos de la nube y muchas otras características de seguridad. Azure Sphere se puede usar como módulo guardián para proteger otros dispositivos, incluidos los sistemas heredados existentes que no están diseñados para la conectividad de confianza.

Seguridad de conexión

• Usar certificados X.509 para autenticar los dispositivos en IoT Hub o IoT Central: IoT Hub e IoT Central admiten tokens de autenticación y seguridad basados en certificados X509 como métodos para que un dispositivo se autentique. Si es posible, use la autenticación basada en X509 en entornos de producción, ya que proporciona mayor seguridad. Para más información, consulte Autenticación de un dispositivo en IoT Hub y conceptos de autenticación de dispositivos en IoT Central.

• Usar la Seguridad de la capa de transporte (TLS) 1.2 para proteger las conexiones desde dispositivos: IoT Hub e IoT Central usan TLS para proteger las conexiones desde dispositivos y servicios de IoT. Actualmente se admiten tres versiones del protocolo TLS: 1.0, 1.1 y 1.2. TLS 1.0 y 1.1 se consideran heredados. Para obtener más información, consulte Compatibilidad con seguridad de la capa de transporte (TLS) en IoT Hub y Compatibilidad con TLS en Azure IoT Hub Device Provisioning Service (DPS).

• Asegúrese de que tiene una manera de actualizar el certificado raíz TLS en los dispositivos: los certificados raíz TLS son de larga duración, pero aún pueden expirar o revocarse. Si no hay ninguna manera de actualizar el certificado en el dispositivo, es posible que el dispositivo no pueda conectarse a IoT Hub, IoT Central ni a ningún otro servicio en la nube más adelante. Para obtener más información, consulte Cómo implementar certificados de dispositivo X.509.

• Considere la posibilidad de usar Azure Private Link: Azure Private Link le permite conectar los dispositivos a un punto de conexión privado en la red virtual, lo que le permite bloquear el acceso a los puntos de conexión públicos de dispositivo de IoT Hub. Para más información, consulte Conectividad de entrada a IoT Hub mediante Azure Private Link y seguridad de red para IoT Central mediante puntos de conexión privados.

Seguridad en la nube

• Siga una metodología de desarrollo de software segura: el desarrollo de software seguro requiere que tenga en cuenta la seguridad desde el inicio del proyecto hasta la implantación, las pruebas y la implementación. El Ciclo de vida de desarrollo de seguridad de Microsoft proporciona un enfoque paso a paso para la creación de software seguro.

• Elegir software de código abierto con cuidado: el software de código abierto brinda la oportunidad de desarrollar soluciones con rapidez. Al elegir software de código abierto, tenga en cuenta el nivel de actividad de la comunidad para cada componente de código abierto. Una comunidad activa garantiza la compatibilidad con el software; se detectarán problemas, a los que se hará frente. Es posible que no se admita un proyecto de software de código abierto oculto e inactivo y que no se detecten problemas.

• Integrar con cuidado: muchas de las brechas de seguridad del software aparecen en el límite de las bibliotecas y las API. Es posible que la funcionalidad que no sea necesaria para la implementación actual todavía esté disponible mediante una capa de API. Para garantizar la seguridad general, asegúrese de comprobar que no existen errores de seguridad en todas las interfaces de los componentes que se están integrando.

• Proteger las credenciales en la nube: un atacante puede usar las credenciales de autenticación en la nube que usa para configurar y operar la implementación de IoT para obtener acceso y poner en peligro el sistema IoT. Proteja las credenciales cambiando la contraseña con frecuencia y no use estas credenciales en máquinas públicas.

• Definir controles de acceso para el centro de IoT: comprenda y defina el tipo de acceso que necesita cada componente de la solución de IoT Hub en función de la funcionalidad necesaria. Hay dos maneras de conceder permisos para que las API de servicio se conecten al centro de IoT: Microsoft Entra ID o Firmas de acceso compartido. Si es posible, use Microsoft Entra ID en entornos de producción, ya que proporciona mayor seguridad.

• Definir controles de acceso para la aplicación de IoT Central: comprenda y defina el tipo de acceso que habilite para la aplicación de IoT Central. Para obtener más información, consulte:

  • Administrar usuarios y roles en la aplicación de IoT Central
  • Administración de organizaciones de IoT Central
  • Uso de registros de auditoría para realizar un seguimiento de la actividad en la aplicación de IoT Central
  • Autenticación y autorización de llamadas API de REST en IoT Central

• Definir controles de acceso para los servicios de back-end: otros servicios de Azure pueden consumir los datos que ingiere la aplicación ioT Hub o IoT Central desde los dispositivos. Puede usar otros servicios de Azure para procesar mensajes de telemetría desde los dispositivos. Comprenda y configure los permisos de acceso adecuados para IoT Hub o IoT Central para conectarse a estos servicios. Para obtener más información, consulte:

  • Leer mensajes de dispositivo a nube desde el punto de conexión integrado de IoT Hub
  • Uso del enrutamiento de mensajes de IoT Hub para enviar mensajes del dispositivo a la nube a distintos puntos de conexión
  • Exportar datos de IoT Central
  • Exportación de datos de IoT Central a un destino seguro en una instancia de Azure Virtual Network

• Supervisar la solución de IoT desde la nube: supervise el estado general de la solución de IoT mediante las Métricas de IoT Hub en Azure Monitor o Supervisión del estado de la aplicación de IoT Central.

• Configurar diagnósticos: supervise las operaciones mediante el registro de eventos en la solución y, a continuación, envíe los registros de diagnóstico a Azure Monitor. Para más información, consulte Supervisión y diagnóstico de problemas en ioT Hub.

Pasos siguientes

Para más información sobre la seguridad de IoT, consulte:

• Línea de base de seguridad de Azure para kubernetes habilitado para Azure Arc
• Conceptos para mantener segura de la carga de trabajo nativa de la nube
• Línea de base de seguridad de Azure IoT Hub
• Guía de seguridad de IoT Central
• Perspectiva del marco bien diseñado en Azure IoT Hub