Seguridad en la carga de trabajo de IoT
En las soluciones de IoT existe el reto de proteger cargas de trabajo basadas en dispositivos diversas y heterogéneas con poca o ninguna interacción directa. Los generadores de dispositivos IoT, los desarrolladores de aplicaciones de IoT y los operadores de soluciones de IoT comparten la responsabilidad de la seguridad durante todo el ciclo de vida de la solución de IoT. Es importante diseñar la solución desde el principio teniendo en cuenta la seguridad. Conozca las posibles amenazas y agregue defensa en profundidad a medida que diseña la solución.
La planificación de la seguridad comienza con un modelo de amenazas. Saber cómo puede un atacante poner en peligro un sistema ayuda a garantizar las mitigaciones adecuadas desde el principio. El modelado de riesgos ofrece el máximo valor cuando lo incorpora en la fase de diseño. Como parte del ejercicio de modelado de amenazas, puede dividir una arquitectura de IoT típica en varios componentes o zonas: dispositivo, puerta de enlace de dispositivos, puerta de enlace en la nube y servicios. Cada zona puede tener sus propios requisitos de autenticación, autorización y datos. Puede usar zonas para aislar los daños y restringir el impacto de las zonas de confianza baja en zonas de confianza superior. Para obtener más información, consulte la arquitectura de seguridad de Internet de las cosas (IoT).
En la siguiente guía de seguridad para cargas de trabajo de IoT se identifican las consideraciones clave y se proporcionan recomendaciones de diseño e implementación.
Evaluación de la seguridad en la carga de trabajo de IoT
Para evaluar la carga de trabajo de IoT según los objetivos del pilar de seguridad del Marco de buena arquitectura, complete las preguntas de seguridad de las cargas de trabajo de IoT en Revisión del marco de arquitectura de Azure. Una vez que la evaluación identifique las recomendaciones de seguridad clave para la solución de IoT, use el contenido siguiente para ayudar a implementar las recomendaciones.
Principios de diseño
Cinco pilares de excelencia arquitectónica respaldan la metodología de diseño de cargas de trabajo de IoT. Estos pilares sirven como brújula para las decisiones de diseño posteriores en las principales áreas de diseño de IoT. Los siguientes principios de diseño amplían el pilar de calidad de Azure Well-Architected Framework : seguridad.
Principio de diseño | Consideraciones |
---|---|
Identidad segura | Use una identidad segura para autenticar dispositivos y usuarios. Tenga una raíz de confianza de hardware para una identidad de confianza, registre dispositivos, emita credenciales renovables y use la autenticación multifactor (MFA) o sin contraseña. Revise las consideraciones generales de administración de identidades y acceso de Azure. |
Privilegio mínimo | Automatice y use el control de acceso con privilegios mínimos para limitar el impacto de los dispositivos o las identidades en peligro, o bien las cargas de trabajo no aprobadas. |
Device health | Evalúe el estado del dispositivo para controlar el acceso al mismo o marque los dispositivos para su corrección. Compruebe la configuración de seguridad, evalúe vulnerabilidades y contraseñas no seguras, supervise amenazas y anomalías, y cree perfiles de riesgo continuos. |
Actualización de dispositivos | Actualizaciones continuas para mantener los dispositivos en buen estado. Use una solución de administración centralizada de configuración y cumplimiento y un mecanismo de actualización sólido para asegurarse de que los dispositivos están actualizados y en buen estado. |
Supervisión de la seguridad del sistema y planeamiento de una respuesta ante incidentes | Supervise de forma proactiva los dispositivos no autorizados o en peligro y responda a amenazas emergentes. |
Modelo de seguridad de confianza cero
El acceso no autorizado a los sistemas IoT podría provocar la divulgación masiva de información, como datos de producción de fábrica filtrados o la elevación de privilegios para el control de sistemas cibernéticos, como detener una línea de producción de fábrica. Un modelo de seguridad de confianza cero ayuda a limitar el posible impacto de los usuarios que obtienen acceso no autorizado a los servicios y datos de IoT locales o en la nube.
En lugar de suponer que todo lo que hay detrás de un firewall corporativo es seguro, la confianza cero se autentica, autoriza y cifra todas las solicitudes de acceso antes de conceder acceso. La protección de soluciones de IoT con confianza cero comienza con la implementación de prácticas básicas de seguridad de identidad, dispositivo y acceso, como comprobar explícitamente a los usuarios, revisar los dispositivos de la red y usar la detección de riesgos en tiempo real para tomar decisiones de acceso dinámico.
Los siguientes recursos pueden ayudarle a implementar una solución de IoT de confianza cero:
Microsoft Confianza cero Assessment analiza las brechas en la protección actual para la identidad, los puntos de conexión, las aplicaciones, la red, la infraestructura y los datos. Use las soluciones recomendadas para priorizar la implementación de confianza cero y continúe con las instrucciones del Centro de instrucciones de Microsoft Confianza cero.
En el documento técnico de Confianza cero ciberseguridad de Internet de las cosas se describe cómo aplicar un enfoque de confianza cero a las soluciones de IoT basadas en el entorno y las experiencias de los clientes de Microsoft.
El documento niST Confianza cero Architecture (nist.gov) proporciona instrucciones para crear arquitecturas de confianza cero. En este documento se proporcionan modelos de implementación generales y casos de uso en los que la confianza cero podría mejorar la posición de seguridad general de la tecnología de la información de una empresa.
Patrones de arquitectura de IoT
La mayoría de los sistemas IoT usan un patrón de arquitectura de operaciones conectadas o productos conectados. Existen diferencias de seguridad clave entre estos patrones. Las operaciones conectadas o las soluciones de tecnología operativa (OT) suelen tener dispositivos locales que supervisan y controlan otros dispositivos físicos. Estos dispositivos OT agregan retos de seguridad, como la manipulación, el análisis de paquetes y la necesidad de actualizaciones por vía inalámbrica (OTA) y administración fuera de banda.
Las fábricas y los entornos de OT pueden ser objetivos fáciles para el malware y las infracciones de seguridad, ya que el equipo puede ser antiguo o físicamente vulnerable y estar aislado de la seguridad de nivel de servidor. Para obtener una perspectiva integral, revise el pilar de seguridad de Azure Well-Architected Framework.
Capas de arquitectura de IoT
Los principios de diseño de seguridad ayudan a aclarar las consideraciones para asegurarse de que la carga de trabajo de IoT cumple los requisitos de las capas fundamentales de la arquitectura de IoT.
Todas las capas están sujetas a diversas amenazas que se pueden clasificar según las categorías de STRIDE: suplantación de identidad, manipulación, rechazo, divulgación de información, denegación de servicio y elevación de privilegios. Siga siempre las prácticas del Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft al diseñar y crear arquitecturas de IoT.
Capa de dispositivo y puerta de enlace
Esta capa de arquitectura incluye el espacio físico inmediato alrededor del dispositivo y la puerta de enlace que permite el acceso físico o el acceso digital punto a punto. Muchas empresas industriales usan el modelo Purdue incluido en el estándar ISA 95 para garantizar que sus redes de control de procesos protejan su ancho de banda de red limitado y proporcionen un comportamiento determinista en tiempo real. El modelo Purdue proporciona una capa adicional de metodología de defensa en profundidad.
Identidad del dispositivo segura
Las funcionalidades estrechamente integradas de los dispositivos y servicios de IoT proporcionan una identidad del dispositivo segura. Estas son algunas de ellas:
- Raíz de confianza de hardware.
- Autenticación sólida mediante certificados, MFA o la autenticación sin contraseña.
- Credenciales renovables.
- Registro de dispositivos IoT organizativos.
Una raíz de confianza de hardware tiene los siguientes atributos:
- Almacenamiento de credenciales seguro que demuestra la identidad en hardware dedicado y resistente a alteraciones.
- Identidad de incorporación inmutable vinculada al dispositivo físico.
- Credenciales operativas renovables por dispositivo únicas para el acceso normal a dispositivos.
La identidad de incorporación representa el dispositivo físico y es intrínseca del mismo. Esta identidad se crea e instala normalmente durante la fabricación y no se puede cambiar durante la vigencia del dispositivo. Dada su inmutabilidad y duración, debe usar la identidad de incorporación de dispositivos solo para incorporar el dispositivo a la solución de IoT.
Después de la incorporación, aprovisione y use una identidad operativa y credenciales renovables para la autenticación y autorización en la aplicación de IoT. Hacer que esta identidad sea renovable permite administrar el acceso y la revocación del dispositivo para el acceso operativo. Puede aplicar puertas basadas en directivas, como la atestación de integridad y estado de dispositivo, en el momento de la renovación.
La raíz de confianza de hardware también garantiza que los dispositivos se creen según las especificaciones de seguridad y cumplan las normativas de cumplimiento requeridas. Proteja la cadena de suministro de la raíz de confianza de hardware, o cualquier otro componente de hardware de un dispositivo IoT, para asegurarse de que los ataques de cadena de suministro no pongan en peligro la integridad del dispositivo.
La autenticación sin contraseña, que normalmente usa certificados x509 estándar para demostrar la identidad de un dispositivo, ofrece una mayor protección que los secretos, como las contraseñas y los tokens simétricos compartidos entre ambas partes. Los certificados son un mecanismo sólido y estandarizado que proporciona una autenticación sin contraseña renovable. Para administrar certificados:
- Aprovisione certificados operativos desde una infraestructura de clave pública (PKI) de confianza.
- Use una duración de renovación adecuada para el uso empresarial, la sobrecarga de administración y el costo.
- Haga que la renovación sea automática para minimizar cualquier posible interrupción del acceso debido a la rotación manual.
- Use técnicas de criptografía estándar y actualizadas. Por ejemplo, realice la renovación a través de solicitudes de firma de certificados (CSR) en lugar de transmitir una clave privada.
- Conceda acceso a los dispositivos en función de su identidad operativa.
- Admita la revocación de credenciales, como una lista de revocación de certificados (CRL) al usar certificados x509, para quitar inmediatamente el acceso al dispositivo, por ejemplo, en respuesta al riesgo o robo.
Algunos dispositivos IoT heredados o con recursos restringidos no pueden usar una identidad segura, la autenticación sin contraseña ni credenciales renovables. Use puertas de enlace de IoT como guardianes para interactuar localmente con estos dispositivos con funcionalidades limitadas, creando puentes para acceder a los servicios de IoT con patrones de identidad seguros. Esta práctica permite adoptar Confianza cero en la actualidad, mientras se realiza la transición para usar dispositivos con más funcionalidades a lo largo del tiempo.
Las máquinas virtuales (VM), los contenedores o cualquier servicio que inserte un cliente de IoT no pueden usar una raíz de confianza de hardware. Use las funcionalidades disponibles con estos componentes. Las máquinas virtuales y los contenedores, que no son compatibles con la raíz de confianza de hardware, pueden usar la autenticación sin contraseña y credenciales renovables. Una solución de defensa en profundidad proporciona redundancias siempre que sea posible y rellena espacios en caso necesario. Por ejemplo, podría localizar máquinas virtuales y contenedores en un área con más seguridad física, como un centro de datos, en comparación con un dispositivo IoT en el campo.
Use un registro de dispositivos IoT organizativos centralizado para administrar el ciclo de vida de los dispositivos IoT de su organización y auditar el acceso a los dispositivos. Este enfoque es similar a su forma de proteger las identidades de usuario de los recursos de una organización para lograr una seguridad de Confianza cero. Un registro de identidad basado en la nube puede controlar la escala, la administración y la seguridad de una solución de IoT.
La información del registro de dispositivos IoT incorpora dispositivos a una solución de IoT mediante la comprobación de que la identidad y las credenciales del dispositivo se conocen y autorizan. Una vez incorporado un dispositivo, el registro de dispositivos contiene las propiedades principales del dispositivo, incluida su identidad operativa y las credenciales renovables usadas para autenticarse para su uso diario.
Puede usar los datos del registro de dispositivos IoT para:
- Ver el inventario de los dispositivos IoT de una organización, incluidos el mantenimiento, la revisión y el estado de seguridad.
- Consultar y agrupar dispositivos para la operación escalada, la administración, la implementación de cargas de trabajo y el control de acceso.
Usar sensores de red para detectar y hacer un inventario de los dispositivos IoT no administrados que no se conectan a los servicios de Azure IoT, para el reconocimiento y la supervisión.
Acceso con privilegios mínimos
El control de acceso con privilegios mínimos ayuda a limitar el impacto de las identidades autenticadas que podrían estar en peligro o ejecutar cargas de trabajo no aprobadas. Para escenarios de IoT, conceda acceso a operadores, dispositivos y cargas de trabajo mediante:
- Control de acceso a dispositivos y cargas de trabajo, para tener acceso solo a cargas de trabajo con ámbito en el dispositivo.
- Acceso Just-In-Time.
- Mecanismos de autenticación sólida como MFA y la autenticación sin contraseña.
- Acceso condicional basado en el contexto de un dispositivo, como la dirección IP o la ubicación de GPS, la configuración del sistema, la unicidad, la hora del día o los patrones de tráfico de red. Los servicios también pueden usar el contexto de dispositivo para implementar condicionalmente cargas de trabajo.
Para implementar un acceso con privilegios mínimos eficaz:
- Configure la administración de acceso de puerta de enlace en la nube de IoT a fin de conceder solo los permisos de acceso adecuados para la funcionalidad que requiere el back-end.
- Limite los puntos de acceso a dispositivos IoT y aplicaciones en la nube. Para ello, asegúrese de que los puertos tienen un acceso mínimo.
- Cree mecanismos para evitar y detectar la manipulación de dispositivos físicos.
- Administre el acceso de los usuarios a través de un modelo de control de acceso adecuado, como el control de acceso basado en rol o en atributos.
- Ponga en capas el acceso con privilegios mínimos para dispositivos IoT mediante la segmentación de red.
Microsegmentación de red
El diseño y la configuración de red proporcionan oportunidades para crear una defensa en profundidad mediante la segmentación de dispositivos IoT en función de sus patrones de tráfico y exposición al riesgo. Esta segmentación minimiza el posible impacto de los dispositivos en peligro y los adversarios que pasan a recursos de mayor valor. La segmentación de red normalmente usa firewalls de próxima generación.
La microsegmentación de red permite el aislamiento de dispositivos menos compatibles en la capa de red, ya sea detrás de una puerta de enlace o en un segmento de red discreto. Use la segmentación de red para agrupar dispositivos IoT y Endpoint Protection para mitigar el impacto de un riesgo potencial.
Implemente una estrategia de reglas de firewall holística que permita a los dispositivos acceder a la red cuando sea necesario y bloquee el acceso cuando no se les permita. Para admitir la defensa en profundidad, las organizaciones maduras pueden implementar directivas de microsegmentación en varias capas del modelo Purdue. Si es necesario, use firewalls en dispositivos para restringir el acceso de red.
Device health
En el principio de Confianza cero, el estado del dispositivo es un factor clave para determinar el perfil de riesgo, incluido el nivel de confianza, de un dispositivo. Utilice el perfil de riesgo como una puerta de acceso para asegurarse de que solo los dispositivos correctos pueden acceder a los servicios y aplicaciones de IoT, o bien para identificar los dispositivos en estado cuestionable para la corrección.
Según los estándares del sector, la evaluación del estado del dispositivo debe incluir:
- Evaluación de configuración de seguridad y atestación de que el dispositivo está configurado de forma segura.
- Evaluación de vulnerabilidad para determinar si el software del dispositivo no está actualizado o tiene vulnerabilidades conocidas.
- Evaluación de credenciales no seguras para comprobar las credenciales del dispositivo, como certificados y protocolos, por ejemplo, Seguridad de la capa de transporte (TLS) 1.2 y versiones posteriores.
- Amenazas activas y alertas de amenazas.
- Alertas de comportamiento anómalo, como patrón de red y desviación de uso.
Criterios de Confianza cero para dispositivos
Para admitir Confianza cero, los dispositivos IoT deben:
- Contener una raíz de confianza de hardware para proporcionar una identidad del dispositivo segura.
- Usar credenciales renovables para un funcionamiento y acceso normales.
- Aplicar el control de acceso con privilegios mínimos a recursos del dispositivo local como cámaras, almacenamiento y sensores.
- Emitir las señales de estado del dispositivo adecuadas para permitir la aplicación del acceso condicional.
- Proporcionar agentes de actualización y las actualizaciones de software correspondientes durante la vida útil del dispositivo para garantizar la aplicación de las actualizaciones de seguridad.
- Incluir funcionalidades de administración de dispositivos para habilitar la configuración de dispositivos basada en la nube y la respuesta de seguridad automatizada.
- Ejecutar agentes de seguridad que se integren con sistemas de supervisión, detección y respuesta de seguridad.
- Minimizar la superficie de ataques físicos. Para ello, por ejemplo, desactive o deshabilite las características del dispositivo que no sean necesarias, como puertos UART o USB físicos, o conectividad WiFi o Bluetooth. Usar la eliminación física, la cobertura o el bloqueo cuando sea necesario.
- Proteger los datos de los dispositivos. Si los datos en reposo se almacenan en dispositivos, use algoritmos de cifrado estándar para cifrar los datos.
Varios productos y servicios de Azure admiten la seguridad de los dispositivos IoT:
Los módulos de protección de Azure Sphere conectan dispositivos heredados críticos a servicios de IoT con funcionalidades de Confianza cero, incluidos una identidad segura, el cifrado de un extremo a otro y las actualizaciones de seguridad normales.
Azure IoT Edge proporciona una conexión en tiempo de ejecución perimetral a IoT Hub y otros servicios de Azure, y admite certificados como identidades del dispositivo seguras. IoT Edge admite el estándar PKCS#11 para identidades de fabricación de dispositivos y otros secretos almacenados en un Módulo de plataforma segura (TPM) o Módulo de seguridad de hardware (HSM).
Los SDK de Azure IoT Hub son un conjunto de bibliotecas cliente de dispositivo, guías para desarrolladores, ejemplos y documentación. Los SDK de dispositivo implementan varias características de seguridad, como el cifrado y la autenticación, para ayudarle a desarrollar una aplicación de dispositivo sólida y segura.
Azure RTOS proporciona un sistema operativo en tiempo real como una colección de bibliotecas de lenguaje C que puede implementar en una amplia gama de plataformas de dispositivos IoT insertadas.
Azure RTOS incluye una pila TCP/IP completa con las funcionalidades TLS 1.2 y 1.3 y X.509 básicas. Azure RTOS y el SDK de Azure IoT Embedded también se integran con Azure IoT Hub, Azure Device Provisioning Service (DPS) y Microsoft Defender. Características como la autenticación mutua X.509 y la compatibilidad con conjuntos de cifrado TLS modernos, como ECDHE y AES-GCM, cubren los conceptos básicos de la comunicación de red segura.
Azure RTOS también admite:
- Diseño de confianza cero en plataformas de microcontroladores que admiten características de seguridad de hardware, como Arm TrustZone, una arquitectura de creación de particiones y protección de memoria.
- Dispositivos de elementos seguros, como STSAFE-A110 de ST Microelecrónicos.
- Estándares del sector como arm Platform Security Architecture (PSA), que combina hardware y firmware para proporcionar un conjunto estandarizado de características de seguridad, como arranque seguro, criptografía y atestación.
El programa Azure Certified Device permite a los asociados de dispositivos diferenciar y promover dispositivos fácilmente. El programa ayuda a los creadores de soluciones y a los clientes a encontrar dispositivos IoT creados con características que permiten una solución de confianza cero.
El programa Edge Secured-Core (versión preliminar) comprueba si los dispositivos cumplen requisitos de seguridad para la identidad del dispositivo, el arranque seguro, el nivel de protección del sistema operativo, las actualizaciones de dispositivos, la protección de datos y la revelación de vulnerabilidades. Los requisitos del programa Edge Secured-Core provienen de diversos puntos de vista de ingeniería de seguridad y requisitos del sector.
El programa edge Secured-core permite que los servicios de Azure, como el servicio Azure Attestation, tomen decisiones condicionales basadas en la posición del dispositivo, lo que permite el modelo de confianza cero. Los dispositivos deben incluir una raíz de confianza de hardware y proporcionar protección segura de arranque y firmware. Estos atributos se pueden medir mediante el servicio de atestación y los servicios de nivel inferior para conceder acceso condicional a los recursos confidenciales.
Capa de ingesta y nivel de comunicación
Los datos que se ingieren en la solución de IoT deben protegerse con las instrucciones del pilar de seguridad de Azure Well-Architected Framework. Además, para las soluciones de IoT es importante asegurarse de que la comunicación desde el dispositivo a la nube es segura y se cifra con los últimos estándares TLS.
Capa de modelado y administración de dispositivos
Esta capa de arquitectura incluye componentes o módulos de software que se ejecutan en la nube e interconectan con dispositivos y puertas de enlace para recopilar y analizar datos, así como ordenar y controlar.
Criterios de Confianza cero para servicios de IoT
Use los servicios de IoT que ofrezcan las siguientes funcionalidades de Confianza cero clave:
- Compatibilidad total con el control de acceso de usuario de Confianza cero, por ejemplo, identidades de usuario seguras, MFA y acceso de usuario condicional.
- Integración con sistemas de control de acceso de usuario para controles condicionales y de acceso con privilegios mínimos.
- Registro de dispositivos central para la administración completa de dispositivos y del inventario de dispositivos.
- Autenticación mutua, que ofrece credenciales de dispositivo renovables con una verificación de identidad segura.
- Control de acceso a dispositivos con privilegios mínimos con acceso condicional para que solo puedan conectarse los dispositivos que cumplen los criterios (por ejemplo, estado o ubicación conocida).
- Actualizaciones por vía inalámbrica para mantener los dispositivos en buen estado.
- Supervisión de la seguridad de los servicios de IoT y los dispositivos IoT conectados.
- Supervisión y control de acceso para todos los puntos de conexión públicos y autenticación y autorización para cualquier llamada a estos puntos de conexión.
Varios servicios de Azure IoT proporcionan estas funcionalidades de confianza cero.
Windows para IoT ayuda a garantizar la seguridad de los pilares clave del espectro de seguridad de IoT.
Cifrado de unidad BitLocker, arranque seguro, Windows Defender control de aplicaciones, Windows Defender Protección contra vulnerabilidades de seguridad, aplicaciones de Plataforma universal de Windows seguras (UWP), Filtro de escritura unificado, pila de comunicación segura y administración de credenciales de seguridad protegen los datos en reposo, durante la ejecución del código y en Tránsito.
La atestación de estado del dispositivo (DHA) detecta y supervisa los dispositivos de confianza para permitirle empezar con un dispositivo de confianza y mantener la confianza con el tiempo.
Device Update Center y Windows Server Update Services aplicar las revisiones de seguridad más recientes. Puede corregir las amenazas a los dispositivos mediante Azure IoT Hub características de administración de dispositivos, Microsoft Intune o soluciones de administración de dispositivos móviles de terceros y Microsoft System Center Configuration Manager.
Microsoft Defender para IoT es una plataforma de seguridad de nivel de red sin agente que ofrece la detección continua de recursos, la administración de vulnerabilidades y la detección de amenazas para los dispositivos IoT y OT. Defender para IoT supervisa continuamente el tráfico de red mediante análisis de comportamiento compatibles con IoT para identificar componentes no autorizados o en peligro.
Defender para IoT admite dispositivos OT insertados de su propiedad y sistemas Windows heredados que se encuentran normalmente en entornos de OT. Defender para IoT puede hacer un inventario de todos los dispositivos IoT, evaluar las vulnerabilidades, proporcionar recomendaciones de mitigación basadas en riesgos y supervisar continuamente los dispositivos en busca de comportamientos anómalos o no autorizados.
Microsoft Sentinel, una plataforma de administración de eventos e información de seguridad basada en la nube (SIEM) y orquestación de seguridad, automatización y respuesta (SOAR), que se integra estrechamente con Microsoft Defender para IoT. Microsoft Sentinel proporciona una vista de seguridad a escala de la nube en toda la empresa mediante la recopilación de datos en todos los usuarios, dispositivos, aplicaciones e infraestructura, incluidos los firewalls, el control de acceso a la red y los dispositivos de conmutador de red.
Microsoft Sentinel puede detectar rápidamente comportamientos anómalos que indican un riesgo potencial de los dispositivos IoT o OT. Microsoft Sentinel también admite soluciones de centro de operaciones de seguridad (SOC) de terceros, como Splunk, IBM QRadar y ServiceNow.
Azure IoT Hub proporciona un registro operativo de dispositivos IoT. IoT Hub acepta certificados operativos de dispositivo para habilitar una identidad segura y puede deshabilitar los dispositivos de forma centralizada para evitar conexiones no autorizadas. IoT Hub admite el aprovisionamiento de identidades de módulo que admiten cargas de trabajo de IoT Edge.
Azure IoT Hub Device Provisioning Service (DPS) proporciona un registro central de dispositivos para que los dispositivos de la organización se registren para la incorporación a escala. DPS acepta certificados de dispositivo para habilitar la incorporación con credenciales renovables e identidades de dispositivo seguras, registrando dispositivos en IoT Hub para su operación diaria.
Azure Device Update (ADU) para IoT Hub le permite implementar actualizaciones de OTA para los dispositivos IoT. ADU proporciona una solución hospedada en la nube para conectar prácticamente cualquier dispositivo y admite una amplia gama de sistemas operativos IoT, incluidos Linux y Azure RTOS.
Azure IoT Hub compatibilidad con redes virtuales le permite restringir la conectividad a IoT Hub a través de una red virtual que opera. Este aislamiento de red evita la exposición de conectividad a la red pública de Internet y puede ayudar a evitar ataques de filtración de redes locales confidenciales.
Los siguientes productos de Microsoft integran completamente el hardware y los servicios de Azure en soluciones de IoT generales.
Azure Sphere es una solución de plataforma de plataforma en la nube, sistema operativo y hardware totalmente administrado que ayuda a los dispositivos IoT medianos y de baja potencia a alcanzar las siete propiedades de dispositivos altamente seguros para implementar confianza cero. Los dispositivos usan la verificación explícita e implementan la autenticación y atestación de dispositivos basada en certificados (DAA), que renueva automáticamente la confianza.
Azure Sphere usa el acceso con privilegios mínimos, donde las aplicaciones se deniegan el acceso de forma predeterminada a todas las opciones de periféricos y conectividad. Para la conectividad de red, los dominios web permitidos deben incluirse en el manifiesto de software o la aplicación no se puede conectar fuera del dispositivo.
Azure Sphere se basa en la vulneración asumida. Defensa en capas de profundidad protecciones en todo el diseño del sistema operativo. Una partición mundial segura que se ejecuta en Arm TrustZone en dispositivos de Azure Sphere ayuda a segmentar las infracciones del sistema operativo del acceso a los recursos de hardware o plutón.
Azure Sphere puede ser un módulo guardián para proteger otros dispositivos, incluidos los sistemas heredados existentes que no están diseñados para la conectividad de confianza. En este escenario, un módulo guardián de Azure Sphere se implementa con una aplicación e interfaces con dispositivos existentes a través de Ethernet, serie o BLE. Los dispositivos no tienen necesariamente conectividad directa a Internet.
Azure Percept es una plataforma de inteligencia artificial perimetral de un extremo a otro que puede ayudarle a iniciar una prueba de concepto en cuestión de minutos. Azure Percept incluye aceleradores de hardware integrados con los servicios de Azure AI e IoT, modelos de IA pregenerados y administración de soluciones.
Los dispositivos de Azure Percept usan una raíz de confianza de hardware para ayudar a proteger los datos de inferencia, los modelos de IA y los sensores sensibles a la privacidad, como cámaras y micrófonos. Azure Percept habilita la autenticación y autorización de dispositivos para Azure Percept Studio servicios. Para más información, consulte Seguridad de Azure Percept.
Capa de DevOps
Una solución de IoT empresarial debe proporcionar una estrategia para que los operadores administren el sistema. Entre las metodologías de DevOps que se centran proactivamente en la seguridad se incluyen:
- Administración centralizada de configuración y cumplimiento, para aplicar directivas y distribuir y actualizar certificados de forma segura.
- Actualizaciones implementables, para actualizar el conjunto completo de software en los dispositivos, firmware, controladores, sistema operativo base y aplicaciones host, así como las cargas de trabajo implementadas en la nube.
Para obtener más información, consulte Habilitación de DevSecOps con Azure y GitHub.
Actualizaciones continuas
Para controlar el acceso a dispositivos en función del estado, debe mantener de forma proactiva los dispositivos de producción en un estado de destino correcto y de funcionamiento. Los mecanismos de actualización deben:
- Tener funcionalidades de implementación remota.
- Ser resistentes a los cambios del entorno, las condiciones de funcionamiento y el mecanismo de autenticación, como los cambios de certificado debido a la expiración o la revocación.
- Admitir la comprobación del lanzamiento de actualizaciones.
- Integrarse con una supervisión generalizada de la seguridad para habilitar las actualizaciones programadas para la seguridad.
Debe poder aplazar las actualizaciones que interfieren con la continuidad empresarial, pero, finalmente, completarlas dentro de un intervalo de tiempo bien definido después de detectar una vulnerabilidad. Los dispositivos que no se han actualizado deben marcarse como incorrectos.
Supervisión y respuesta de seguridad
Una solución de IoT debe poder realizar una supervisión y corrección a gran escala de todos sus dispositivos conectados. Como estrategia de defensa en profundidad, la supervisión agrega una capa adicional de protección para dispositivos greenfield administrados y proporciona un control de compensación para dispositivos brownfield heredados no administrados que no admiten agentes y no se pueden aplicar revisiones ni configurarse fácilmente de forma remota.
Debe decidir los niveles de registro, los tipos de actividades que se van a supervisar y las respuestas necesarias para las alertas. Los registros deben almacenarse de forma segura y no contener ningún detalle de seguridad.
Según la Ley de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), un programa de supervisión de seguridad debe supervisar y auditar los cambios no autorizados en los controladores, el comportamiento inusual de los dispositivos y los intentos de acceso y autorización. La supervisión de seguridad debe incluir:
- Generación de un inventario de los recursos tal y como están y un mapa de red de todos los dispositivos IoT y OT.
- Identificación de todos los protocolos de comunicación que se usan en las redes de IoT y OT.
- Catalogación de todas las conexiones externas hacia y desde las redes.
- Identificación de vulnerabilidades en dispositivos IoT y OT y seguimiento de un enfoque basado en riesgos para mitigarlas.
- Implementación de un programa de supervisión atento con detección de anomalías para detectar tácticas cibernéticas malintencionadas, como vivir de la tierra en sistemas IoT.
La mayoría de los ataques de IoT siguen un patrón de cadena de eliminación , donde los adversarios establecen un punto de partida inicial, elevan sus privilegios y se mueven lateralmente a través de la red. A menudo, los atacantes usan credenciales con privilegios para omitir barreras como firewalls de próxima generación establecidos para aplicar la segmentación de red entre subredes. La detección y respuesta rápidas a estos ataques de varias fases requiere una vista unificada en las redes de TI, IoT y OT, combinadas con la automatización, el aprendizaje automático y la inteligencia sobre amenazas.
Recopile señales de todo el entorno, incluidos todos los usuarios, dispositivos, aplicaciones e infraestructura, tanto locales como en varias nubes. Analice las señales en plataformas SIEM centralizadas y de detección y respuesta extendidas (XDR), donde los analistas de SOC pueden buscar y descubrir amenazas desconocidas anteriormente.
Por último, use plataformas SOAR para responder a incidentes rápidamente y mitigar los ataques antes de que afecten materialmente a su organización. Puede definir cuadernos de estrategias que se ejecuten automáticamente cuando se detecten incidentes específicos. Por ejemplo, puede bloquear o poner en cuarentena automáticamente dispositivos en peligro para que no puedan infectar otros sistemas.
Pasos siguientes
Recursos relacionados
- Aplicación de un enfoque de Confianza cero a las soluciones de IoT
- Ciberseguridad de Confianza cero para Internet de las cosas
- Arquitectura de seguridad de Internet de las cosas (IoT)
- Modelo de madurez de la seguridad del consorcio de IoT del sector
- Principios de diseño de seguridad
- Arquitectura de referencia de Azure IoT
- Documentación de Azure IoT