Especificación de requisitos de seguridad para cargas de trabajo de IoT
En esta unidad se resume la línea base de seguridad de Azure para IoT Hub, con el fin de ayudarle a crear nuevas especificaciones de requisitos para cargas de trabajo web.
Consulte Introducción a la Arquitectura de referencia de ciberseguridad de Microsoft y Cloud Security Benchmark para obtener más información sobre Microsoft Cloud Security Benchmark.
En la tabla siguiente, hemos incluido controles de la línea base completa, donde:
- Se admitían controles de seguridad, pero no estaban habilitados de forma predeterminada.
- Había instrucciones explícitas con medidas que debía tomar el cliente.
| Área | Control | Característica | Resumen de la guía |
|---|---|---|---|
| Seguridad de red | NS-2: Servicios en la nube seguros con controles de red | Azure Private Link | Implemente puntos de conexión privados para todos los recursos de Azure que admiten la característica Private Link para establecer un punto de acceso privado para los recursos. |
| NS-2: Servicios en la nube seguros con controles de red | Deshabilitación del acceso de la red pública | Deshabilite el acceso a la red pública mediante la regla de filtrado de ACL de IP de nivel de servicio o un conmutador de alternancia para el acceso a la red pública. | |
| Administración de identidades | IM-1: Uso de una identidad centralizada y un sistema de autenticación | Métodos de autenticación local para el acceso al plano de datos | Limite el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Microsoft Entra ID como método de autenticación predeterminado para controlar el acceso al plano de datos. |
| IM-3: Administración de identidades de aplicaciones de forma segura y automática | Identidades administradas | Use siempre que sea posible identidades administradas de Azure en lugar de entidades de servicio, que pueden autenticarse en los servicios y recursos de Azure que admiten la autenticación de Microsoft Entra. La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración. | |
| Entidad de servicio | no hay ninguna guía actual de Microsoft para esta configuración de características. Revise y determine si su organización quiere configurar esta característica de seguridad. | ||
| IM-7: Restricción del acceso a los recursos en función de las condiciones | Acceso condicional para el plano de datos | Defina las condiciones y los criterios aplicables para el acceso condicional de Microsoft Entra en la carga de trabajo. | |
| Acceso con privilegios | PA-7: Seguimiento del principio de administración suficiente (privilegios mínimos) | RBAC de Azure para el plano de datos | Con Azure AD y RBAC, IoT Hub requiere que la entidad de seguridad que solicita la API tenga el nivel de permiso adecuado para la autorización. Para conceder permiso a la entidad de seguridad, asígnele también una asignación de roles. |
| Protección de los datos | DP-6: Uso de un proceso seguro de administración de claves | Administración de claves en Azure Key Vault | Use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, la distribución y el almacenamiento de claves. Rote y revoque las claves en Azure Key Vault y en su servicio según la programación definida y cuando haya una retirada de clave o un riesgo para ella. |
| Administración de recursos | AM-2: Uso exclusivo de los servicios aprobados | Compatibilidad con Azure Policy | Use Microsoft Defender for Cloud para configurar Azure Policy con el fin de auditar y aplicar las configuraciones de los recursos de Azure. |
| Registro y detección de amenazas | LT-4: Habilitación del registro para la investigación de seguridad | Registros de recursos de Azure | Habilite los registros de recursos para el servicio. |