Procedure di sicurezza consigliate per le soluzioni IoT

Questa panoramica presenta i concetti chiave relativi alla protezione di una tipica soluzione Azure IoT. Ogni sezione include collegamenti a contenuti che forniscono ulteriori dettagli e indicazioni.

Soluzione basata su Edge

Il diagramma seguente mostra una visualizzazione generale dei componenti in una tipica soluzione IoT basata su edge. Questo articolo è incentrato sulla sicurezza di una soluzione IoT basata su edge:

È possibile dividere la sicurezza in una soluzione IoT basata su edge nelle tre aree seguenti:

• Sicurezza degli asset: proteggere l'elemento fisico o virtuale di valore da cui si vuole gestire, monitorare e raccogliere dati.

• Sicurezza delle connessioni: assicurarsi che tutti i dati in transito tra asset, edge e servizi cloud siano riservati e a prova di manomissione.

• Sicurezza perimetrale: proteggere i dati mentre si spostano e vengono archiviati nel perimetro.

• Sicurezza del cloud: proteggere i dati quando vengono spostati e archiviati nel cloud.

In genere in una soluzione basata su edge è necessario proteggere le operazioni end-to-end usando le funzionalità di sicurezza di Azure. Le operazioni IoT di Azure hanno funzionalità di sicurezza predefinite, ad esempio la gestione dei segreti, la gestione dei certificati e le impostazioni sicure in un cluster Kubernetes abilitato per Azure Arc. Quando un cluster Kubernetes è connesso ad Azure, viene avviata una connessione in uscita ad Azure, usando SSL standard del settore per proteggere i dati in transito e sono abilitate diverse altre funzionalità di sicurezza, ad esempio:

• Visualizzare e monitorare i cluster usando Monitoraggio di Azure per i contenitori.
• Applicare la protezione dalle minacce usando Microsoft Defender per contenitori.
• Garantire la governance tramite l'applicazione di criteri con Criteri di Azure per Kubernetes.
• Concedere l'accesso e connettersi ai cluster Kubernetes da qualsiasi posizione e gestire l'accesso usando il controllo degli accessi in base al ruolo di Azure nel cluster.

Microsoft Defender per IoT e per i contenitori

Microsoft Defender per IoT è una soluzione di sicurezza unificata creata specificamente per identificare dispositivi, vulnerabilità e minacce (OT) IoT e tecnologia operativa. Microsoft Defender per contenitori è una soluzione nativa del cloud per migliorare, monitorare e gestire la sicurezza degli asset in contenitori (cluster Kubernetes, nodi Kubernetes, carichi di lavoro Kubernetes, registri contenitori, immagini del contenitore e altro ancora) e le relative applicazioni in ambienti multicloud e locali.

Sia Defender per IoT che Defender per contenitori possono monitorare automaticamente alcune delle raccomandazioni incluse in questo articolo. Defender per IoT e Defender per contenitori deve essere la prima linea di difesa per proteggere la soluzione basata sui dispositivi perimetrali. Per altre informazioni, vedere:

• Microsoft Defender per contenitori - Panoramica
• Microsoft Defender per IoT per le organizzazioni - Panoramica.

Sicurezza degli asset

• Gestione dei segreti: usare Azure Key Vault per archiviare e gestire le informazioni riservate degli asset, ad esempio chiavi, password, certificati e segreti. Le operazioni di Azure IoT usano Azure Key Vault come soluzione di insieme di credenziali gestite nel cloud e usano l'estensione dell'archivio segreti di Azure Key Vault per Kubernetes per sincronizzare i segreti dal cloud e archiviarli nel cloud come segreti Kubernetes. Per altre informazioni, vedere Gestire i segreti per la distribuzione di Operazioni IoT di Azure.

• Gestione dei certificati: la gestione dei certificati è fondamentale per garantire la comunicazione sicura tra gli asset e l'ambiente di runtime perimetrale. Le operazioni di Azure IoT offrono strumenti per la gestione dei certificati, tra cui rilascio, rinnovo e revoca dei certificati. Per altre informazioni, vedere Gestione dei certificati per le comunicazioni interne di Azure IoT Operations.

• Selezionare hardware a prova di manomissione per gli asset: scegliere l'hardware asset con meccanismi predefiniti per rilevare manomissioni fisiche, ad esempio l'apertura della copertura del dispositivo o la rimozione di una parte del dispositivo. Questi segnali di manomissione possono far parte del flusso di dati caricato nel cloud e gli operatori di avviso per questi eventi.

• Abilitare gli aggiornamenti sicuri per il firmware dell'asset: usare i servizi che abilitano gli aggiornamenti over-the-air per gli asset. Creare asset con percorsi sicuri per gli aggiornamenti e la sicurezza crittografica delle versioni del firmware per proteggere gli asset durante e dopo gli aggiornamenti.

• Distribuire l'hardware dell'asset in modo sicuro: assicurarsi che la distribuzione dell'hardware dell'asset sia il più possibile manomissione, in particolare in posizioni non sicure, ad esempio spazi pubblici o impostazioni locali non supervisionate. Abilitare solo le funzionalità necessarie per ridurre al minimo il footprint di attacco fisico, ad esempio coprire in modo sicuro le porte USB se non sono necessarie.

• Seguire le procedure consigliate per la sicurezza e la distribuzione del produttore del dispositivo: se il produttore del dispositivo fornisce indicazioni per la sicurezza e la distribuzione, seguire tali indicazioni oltre a quelle generiche elencate in questo articolo.

Sicurezza delle connessioni

• Usare Transport Layer Security (TLS) per proteggere le connessioni dagli asset: tutte le comunicazioni all'interno delle operazioni IoT di Azure vengono crittografate tramite TLS. Per offrire un'esperienza sicura per impostazione predefinita che riduce al minimo l'esposizione accidentale della soluzione basata su edge agli utenti malintenzionati, le operazioni IoT di Azure vengono distribuite con una CA radice predefinita e un'autorità di certificazione per i certificati server TLS. Per una distribuzione di produzione, è consigliabile usare un'autorità di certificazione personalizzata e una soluzione PKI aziendale.

• Prendere in considerazione l'uso di firewall aziendali o proxy per gestire il traffico in uscita: se si usano firewall o proxy aziendali, aggiungere gli endpoint delle operazioni IoT di Azure all'elenco elementi consentiti .

• Crittografare il traffico interno del broker di messaggi: garantire la sicurezza delle comunicazioni interne all'interno dell'infrastruttura perimetrale è importante per mantenere l'integrità e la riservatezza dei dati. È necessario configurare il broker MQTT per crittografare il traffico interno e i dati in transito tra il front-end del broker MQTT e i pod back-end. Per altre informazioni, vedere Configurare la crittografia del traffico interno del broker e dei certificati interni.

• Configurare TLS con la gestione automatica dei certificati per i listener nel broker MQTT: Le operazioni di Azure IoT forniscono la gestione automatica dei certificati per i listener nel broker MQTT. Ciò riduce il sovraccarico amministrativo della gestione manuale dei certificati, garantisce rinnovi tempestivi e consente di mantenere la conformità ai criteri di sicurezza. Per altre informazioni, vedere Proteggere la comunicazione tra broker MQTT tramite BrokerListener.

• Configurare una connessione sicura al server OPC UA: quando ci si connette a un server OPC UA, è necessario determinare con quali server OPC UA considerare attendibili per stabilire in modo sicuro una sessione. Per altre informazioni, vedere Configurare l'infrastruttura di certificati OPC UA per il connettore per OPC UA.

Sicurezza perimetrale

• Mantenere aggiornato l'ambiente di runtime perimetrale: mantenere aggiornata la distribuzione del cluster e delle operazioni IoT di Azure con le patch e le versioni secondarie più recenti per ottenere tutte le correzioni di sicurezza e bug disponibili. Per le distribuzioni di produzione, disattivare l'aggiornamento automatico per Azure Arc per avere il controllo completo su quando vengono applicati nuovi aggiornamenti al cluster. Aggiornare invece manualmente gli agenti in base alle esigenze.

• Verificare l'integrità delle immagini Docker e Helm: prima di distribuire qualsiasi immagine nel cluster, verificare che l'immagine sia firmata da Microsoft. Per altre informazioni, vedere Convalidare la firma delle immagini.

• Usare sempre certificati X.509 o token dell'account del servizio Kubernetes per l'autenticazione con il broker MQTT: un broker MQTT supporta più metodi di autenticazione per i client. È possibile configurare ogni porta del listener in modo che disponga delle proprie impostazioni di autenticazione con una risorsa BrokerAuthentication. Per altre informazioni, vedere Configurare l'autenticazione broker MQTT.

• Fornire il privilegio minimo necessario per l'asset dell'argomento nel broker MQTT: i criteri di autorizzazione determinano le azioni che i client possono eseguire sul broker, ad esempio connettersi, pubblicare o sottoscrivere argomenti. Configurare il broker MQTT per l'uso di uno o più criteri di autorizzazione con la risorsa BrokerAuthorization. Per altre informazioni, vedere Configurare l'autorizzazione del broker MQTT.

• Configurare ambienti di rete isolati usando Gestione rete a più livelli di Azure IoT (anteprima): Gestione rete a più livelli di Azure IoT (anteprima) è un componente che facilita la connessione tra Azure e i cluster in ambienti di rete isolati. Negli scenari industriali, le reti isolate seguono l'architettura di rete ISA-95/Purdue. Per altre informazioni, vedere Che cos'è Gestione rete a più livelli di Azure IoT (anteprima)?.

Sicurezza del cloud

• Usare le identità gestite assegnate dall'utente per le connessioni cloud: usare sempre l'autenticazione dell'identità gestita. Quando possibile, usare l'identità gestita assegnata dall'utente negli endpoint del flusso di dati per la flessibilità e il controllo.

• Distribuire le risorse di osservabilità e configurare i log: l'osservabilità offre visibilità su ogni livello della configurazione delle operazioni di Azure IoT. Offre informazioni dettagliate sul comportamento effettivo dei problemi, aumentando così l'efficacia della progettazione dell'affidabilità del sito. Le operazioni di Azure IoT offrono l'osservabilità tramite dashboard Grafana personalizzati ospitati in Azure. Questi dashboard sono basati sul servizio gestito di Monitoraggio di Azure per Prometheus e da Container Insights. Distribuire le risorse di osservabilità nel cluster prima di distribuire le operazioni di Azure IoT.

• Proteggere l'accesso agli asset e agli endpoint degli asset con il controllo degli accessi in base al ruolo di Azure: gli asset e gli endpoint degli asset nelle operazioni IoT di Azure hanno rappresentazioni sia nel cluster Kubernetes che nel portale di Azure. È possibile usare il controllo degli accessi in base al ruolo di Azure per proteggere l'accesso a queste risorse. Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione che consente di gestire l'accesso alle risorse di Azure. È possibile usare Controllo degli accessi in base al ruolo di Azure per concedere autorizzazioni a utenti, gruppi e applicazioni in un determinato ambito. Per altre informazioni, vedere Proteggere l'accesso agli asset e agli endpoint degli asset.

Soluzione basata sul cloud

Il diagramma seguente illustra una visualizzazione generale dei componenti in una tipica soluzione IoT basata sul cloud. Questo articolo è incentrato sulla sicurezza di una soluzione IoT basata sul cloud:

È possibile dividere la sicurezza in una soluzione IoT basata sul cloud nelle tre aree seguenti:

• Sicurezza dei dispositivi: proteggere il dispositivo IoT mentre viene distribuito in condizioni normali.

• Sicurezza delle connessioni: garantire che tuti i dati trasmessi tra il dispositivo IoT e i servizi cloud IoT siano riservati e a prova di manomissione.

• Sicurezza del cloud: proteggere i dati quando vengono spostati e archiviati nel cloud.

L'implementazione dei consigli di questo articolo consente di soddisfare gli obblighi di sicurezza descritti nel modello di responsabilità condivisa.

Microsoft Defender per IoT

Microsoft Defender per IoT può monitorare automaticamente alcuni dei consigli inclusi in questo articolo. Microsoft Defender per IoT deve essere la prima linea di difesa per proteggere la soluzione basata sul cloud. Microsoft Defender per IoT analizza periodicamente lo stato di sicurezza delle risorse di Azure per identificarne potenziali vulnerabilità. e fornisce raccomandazioni per affrontarle in modo efficace. Per altre informazioni, vedere:

• Migliorare la postura di sicurezza con i consigli per la sicurezza.
• Definizione di Microsoft Defender per IoT per le organizzazioni.
• Definizione di Microsoft Defender per IoT per i generatori di dispositivi.

Sicurezza dei dispositivi

• Definire l'ambito dell'hardware in base ai requisiti minimi: selezionare l'hardware del dispositivo in modo che includa le funzionalità minime necessarie per il suo funzionamento e nulla di più. Ad esempio, includere porte USB solo se sono necessarie per il funzionamento del dispositivo nella soluzione. Funzionalità aggiuntive possono esporre il dispositivo a vettori di attacco indesiderati.

• Selezionare un hardware a prova di manomissione: selezionare l'hardware del dispositivo con meccanismi predefiniti per rilevare manomissioni fisiche, ad esempio l'apertura della copertura del dispositivo o la rimozione di una parte dello stesso. Tali segnali di manomissione possono far parte del flusso di dati caricato nel cloud, che può avvisare gli operatori per questi eventi.

• Selezionare hardware sicuro: se possibile scegliere l'hardware del dispositivo che include funzionalità di sicurezza come archiviazione sicura e crittografata e funzionalità di avvio basate su un modulo della piattaforma attendibile. Queste funzionalità rendono i dispositivi più sicuri e aiutano a proteggere l'intera infrastruttura IoT.

• Abilitare gli aggiornamenti sicuri: usare servizi come Aggiornamento dispositivi per hub IoT per gli aggiornamenti over-the-air per i dispositivi IoT. Creare dispositivi con percorsi sicuri per gli aggiornamenti e la sicurezza crittografica delle versioni del firmware per proteggere i dispositivi durante e dopo gli aggiornamenti.

• Applicare una metodologia di sviluppo software protetta: lo sviluppo di un software protetto richiede una riflessione sulla sicurezza sin dall'inizio del progetto, fino all'implementazione, al test e alla distribuzione. Il Microsoft Security Development Lifecycle offre un approccio dettagliato alla creazione di software sicuro.

• Usare gli SDK dei dispositivi quando possibile: gli SDK per dispositivi implementano varie funzionalità di sicurezza, ad esempio crittografia e l’autenticazione, che consentono di sviluppare applicazioni per dispositivi affidabili e sicure. Per altre informazioni, vedere Azure IoT SDK.

• Scegliere software open source con attenzione: il software open source consente di sviluppare soluzioni in modo rapido. Quando si sceglie il software open source, valutare il livello di attività della community per ogni componente open source. Una community attiva garantisce il supporto del software e la possibilità di rilevare e risolvere i problemi. Un progetto software open source inattivo e sconosciuto potrebbe non essere supportato ed è possibile che i problemi non vengano individuati.

• Distribuire l'hardware in modo sicuro: le distribuzioni IoT potrebbero richiedere che l'hardware da distribuire si trovi in posizioni non protette, ad esempio spazi pubblici o posizioni non controllate. In tali situazioni, assicurarsi che la distribuzione hardware sia il più possibile a prova di manomissione e che solo le funzionalità necessarie siano abilitate per ridurre al minimo il footprint di attacco fisico. Ad esempio, se l'hardware dispone di porte USB, assicurarsi che siano coperte in modo sicuro.

• Proteggere le chiavi di autenticazione: durante la distribuzione, ogni dispositivo richiede gli ID dei dispositivi e le chiavi di autenticazione associate generate dal servizio cloud. Mantenere queste chiavi fisicamente sicure e usare le credenziali rinnovabili. Un dispositivo dannoso può utilizzare qualsiasi chiave compromessa da mascherare come dispositivo esistente.

• Aggiornare il sistema regolarmente: assicurarsi che tutti i sistemi operativi e i driver dei dispositivi vengano aggiornati alle versioni più recenti. Mantenere l'aggiornamento dei sistemi operativi consente di garantire che siano protetti da attacchi dannosi.

• Protezione da attività dannose: se il sistema operativo consente, installare le funzionalità antivirus e antimalware più recenti in ogni sistema operativo del dispositivo.

• Effettuare controlli regolari: controllare la presenza di problemi di sicurezza all'infrastruttura IoT è un fattore chiave durante la risposta agli incidenti di sicurezza. La maggior parte dei sistemi operativi fornisce la registrazione degli eventi predefinita, che è consigliabile esaminare frequentemente per assicurarsi che non si sia verificata alcuna violazione della sicurezza. Un dispositivo può inviare informazioni di controllo come il flusso di telemetria separato al servizio cloud in cui può essere analizzato.

• Seguire le procedure consigliate per la sicurezza e la distribuzione del produttore del dispositivo: se il produttore del dispositivo fornisce indicazioni per la sicurezza e la distribuzione, seguire tali indicazioni oltre a quelle generiche elencate in questo articolo.

• Usare un gateway sul campo in modo da fornire servizi di sicurezza per dispositivi legacy o vincolati: tali dispositivi potrebbero non essere in grado di crittografare i dati, connettersi a Internet o fornire controlli avanzati. In questi casi, l'uso di un gateway moderno e sicuro sul campo può aggregare i dati dai dispositivi legacy al fine di garantire la protezione necessaria per la connessione di questi dispositivi a Internet. Un dispositivo IoT Edge può essere usato come gateway e fornisce autenticazione sicura, negoziazione di sessioni crittografate, ricezione di comandi dal cloud e molte altre funzionalità di sicurezza. Azure Sphere può essere usato come modulo di sorveglianza per proteggere altri dispositivi, inclusi i sistemi legacy esistenti non progettati per la connettività attendibile.

Sicurezza delle connessioni

• Usare i certificati X.509 per autenticare i dispositivi nell'hub IoT o in IoT Central: l'hub IoT e IoT Central supportano sia l'autenticazione basata su certificati X509 che i token di sicurezza come metodi per l'autenticazione di un dispositivo. Se possibile, usare l'autenticazione basata su X509 negli ambienti di produzione, perché offre maggior sicurezza. Per altre informazioni, vedere Autenticazione di un dispositivo nell'hub IoT e Concetti relativi all'autenticazione dei dispositivi in IoT Central.

• Usare Transport Layer Security (TLS) 1.2 per proteggere le connessioni dai dispositivi: l'hub IoT e IoT Central usano TLS per proteggere le connessioni da dispositivi e servizi IoT. Sono attualmente supportate tre versioni del protocollo TLS: 1.0, 1.1 e 1.2. TLS 1.0 e 1.1 sono considerati legacy. Per altre informazioni, vedere Transport Layer Security (TLS) support in hub IoT and TLS support in hub IoT di Azure Device Provisioning Service (DPS).To learn more, see Transport Layer Security (TLS) support in hub IoT and TLS support in hub IoT di Azure Device Provisioning Service (DPS).To learn more, see Transport Layer Security (TLS) support in hub IoT and TLS support in hub IoT di Azure Device Provisioning Service (DPS).

• Assicurarsi di avere un modo per aggiornare il certificato radice TLS nei dispositivi: i certificati radice TLS sono di lunga durata, ma potrebbero comunque scadere o essere revocati. Se non è possibile aggiornare il certificato nel dispositivo, quest’ultimo potrebbe non essere in grado di connettersi all'hub IoT, a IoT Central o a qualsiasi altro servizio cloud in un secondo momento. Per altre informazioni, vedere Come eseguire il rollup dei certificati dei dispositivi X.509.

• Prendere in considerazione l'uso del collegamento privato di Azure: il collegamento privato di Azure consente di connettere i dispositivi a un endpoint privato nella rete virtuale, consentendo di bloccare l'accesso agli endpoint pubblici per dispositivi dell'hub IoT. Per altre informazioni, vedere Connettività in ingresso all'hub IoT tramite collegamento privato di Azure e Sicurezza di rete per IoT Central tramite endpoint privati.

Sicurezza del cloud

• Applicare una metodologia di sviluppo software protetta: lo sviluppo di un software protetto richiede una riflessione sulla sicurezza sin dall'inizio del progetto, fino all'implementazione, al test e alla distribuzione. Il Microsoft Security Development Lifecycle offre un approccio dettagliato alla creazione di software sicuro.

• Scegliere software open source con attenzione: il software open source consente di sviluppare soluzioni in modo rapido. Quando si sceglie il software open source, valutare il livello di attività della community per ogni componente open source. Una community attiva garantisce il supporto del software e la possibilità di rilevare e risolvere i problemi. Un progetto software open source inattivo e sconosciuto potrebbe non essere supportato ed è possibile che i problemi non vengano individuati.

• Eseguire l'integrazione con attenzione: molti dei problemi di sicurezza del software intervengono al confine tra librerie e API. Le funzionalità non necessarie per la distribuzione in corso potrebbero essere comunque disponibili tramite un livello API. Per garantire la sicurezza complessiva, assicurarsi di controllare tutte le interfacce dei componenti integrati per rilevare eventuali difetti di protezione.

• Proteggere le credenziali cloud: un utente malintenzionato può usare le credenziali di autenticazione cloud usate per configurare e gestire la distribuzione IoT per ottenere l'accesso e compromettere il sistema IoT. Proteggere le credenziali modificando frequentemente la password e non usando queste credenziali nei computer pubblici.

• Definire i controlli di accesso per l'hub IoT: comprendere e definire il tipo di accesso necessario per ogni componente della soluzione hub IoT in base alle funzionalità necessarie. Esistono due modi per concedere le autorizzazioni per le API del servizio per connettersi all'hub IoT: Microsoft Entra ID o le firme di accesso condiviso. Se possibile, usare Microsoft Entra ID negli ambienti di produzione perché offre una sicurezza maggiore.

• Definire i controlli di accesso per l'applicazione IoT Central: comprendere e definire il tipo di accesso abilitato per l'applicazione IoT Central. Per altre informazioni, vedere:

  • Gestire utenti e ruoli nell'applicazione IoT Central
  • Gestire le organizzazioni IoT Central
  • Usare i log di controllo per tenere traccia dell'attività nell'applicazione IoT Central
  • Come autenticare e autorizzare le chiamate API REST IoT Central

• Definire i controlli di accesso per i servizi back-end: altri servizi di Azure possono usare i dati inseriti dall'hub IoT o dall'applicazione IoT Central dai dispositivi. È possibile instradare i messaggi dai dispositivi ad altri servizi di Azure. Per connettersi a questi servizi, comprendere e configurare le autorizzazioni di accesso appropriate per l'hub IoT o IoT Central. Per altre informazioni, vedere:

  • Leggere i messaggi da dispositivo a cloud dall'endpoint predefinito dell'hub IoT
  • Usare il routing dei messaggi dell'hub IoT per inviare messaggi da dispositivo a cloud a endpoint diversi
  • Esportare i dati di IoT Central
  • Esportare i dati di IoT Central in una destinazione sicura in una rete virtuale di Azure

• Monitorare la soluzione IoT dal cloud: monitorare l'integrità complessiva della soluzione IoT usando le metriche di hub IoT in Monitoraggio di Azure o Monitorare l'integrità dell’applicazione IoT Central.

• Configurare la diagnostica: monitorare le operazioni registrando gli eventi nella soluzione e quindi inviando i log di diagnostica a Monitoraggio di Azure. Per altre informazioni, vedere Monitorare e diagnosticare i problemi nell'hub IoT.

Passaggi successivi

Per altre informazioni sulla sicurezza IoT, vedere:

• Baseline di sicurezza di Azure per Kubernetes con abilitazione di Azure Arc
• Concetti per proteggere il carico di lavoro nativo del cloud
• Baseline di sicurezza di Azure per l’hub IoT di Azure
• Guida alla sicurezza di IoT Central
• Prospettiva di Framework ben progettato su hub IoT di Azure