Spécifier des exigences de sécurité pour les charges de travail IoT
Cette leçon résume la base de référence de sécurité Azure pour IoT Hub afin de vous aider à créer de nouvelles spécifications requises pour les charges de travail IoT.
Pour plus d’informations sur Microsoft Cloud Security Benchmark, consultez Présentation de Microsoft Cybersecurity Reference Architecture et Cloud Security Benchmark.
Dans le tableau ci-dessous, nous avons inclus des contrôles de la base de référence complète où :
- Les contrôles de sécurité ont été pris en charge, mais pas activés par défaut
- Il y avait des recommandations explicites qui contenaient des mesures à prendre par le client
| Domaine | Control | Fonctionnalité | Résumé de l’aide |
|---|---|---|---|
| Sécurité du réseau | NS-2 : Sécuriser les services cloud avec des contrôles réseau | Azure Private Link | Déployer des points de terminaison privés pour toutes les ressources Azure qui prennent en charge la fonctionnalité Private Link pour établir un point d’accès privé pour les ressources. |
| NS-2 : Sécuriser les services cloud avec des contrôles réseau | Désactiver l’accès public au réseau | Désactivez l’accès au réseau public en utilisant la règle de filtrage de liste de contrôle d’accès IP au niveau du service ou un bouton bascule pour l’accès au réseau public. | |
| Gestion des identités | IM-1 : utiliser le système centralisé d’identité et d’authentification | Méthodes d’authentification locales pour l’accès au plan de données | Restreindre l’utilisation des méthodes d’authentification locales pour l’accès au plan de données. Au lieu de cela, utilisez Microsoft Entra ID comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données. |
| IM-3 : gérer les identités d’application de façon sécurisée et automatique | Identités managées | Utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible ; elles peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Microsoft Entra. La plateforme assure entièrement la gestion, la rotation et la protection des informations d’identification d’identité managée, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration. | |
| Principaux de service | Il n’existe aucune aide Microsoft actuelle pour la configuration de cette fonctionnalité. Veuillez vérifier et déterminer si votre organisation souhaite configurer cette fonctionnalité de sécurité. | ||
| IM-7 : restreindre l’accès aux ressources en fonction des conditions | Accès conditionnel pour le plan de données | Définissez les conditions et les critères applicables à l’accès conditionnel Microsoft Entra dans la charge de travail. | |
| Accès privilégié | PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum) | RBAC Azure pour des plans de données | Avec Azure AD et RBAC, IoT Hub nécessite que le principal qui demande l’API dispose du niveau d’autorisation approprié pour l’autorisation. Pour octroyer l’autorisation au principal, donnez-lui une attribution de rôle. |
| Protection des données | DP-6 : Utiliser un processus sécurisé de gestion de clés | Gestion des clés dans Azure Key Vault | Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, incluant la génération, la distribution et le stockage de clés. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de suppression ou de compromission d’une clé. |
| Gestion des ressources | AM-2 : Utiliser uniquement des services approuvés | Prise en charge d’Azure Policy | Utilisez Microsoft Defender pour le cloud afin de configurer Azure Policy pour auditer et appliquer des configurations de vos ressources Azure. |
| Journalisation et détection des menaces | LT-4 : Activer la journalisation pour l’examen de sécurité | Journaux des ressources Azure | Activez les journaux de ressources pour le service. |