Beveiligingsvereisten opgeven voor IoT-workloads
Deze les bevat een overzicht van de Azure-beveiligingsbasislijn voor IoT Hub om u te helpen bij het maken van nieuwe vereistenspecificaties voor IoT-workloads.
Raadpleeg de inleiding tot microsoft Cybersecurity Reference Architecture en cloud security benchmark voor meer achtergrondinformatie over Microsoft Cloud Security Benchmark.
In de onderstaande tabel hebben we besturingselementen van de volledige basislijn opgenomen, waarbij:
- Beveiligingscontroles zijn ondersteund , maar niet standaard ingeschakeld
- Er waren expliciete richtlijnen die actie bevatten die moet worden ondernomen ten behoeve van de klant
| Gebied | Control | Functie | Overzicht van richtlijnen |
|---|---|---|---|
| Netwerkbeveiliging | NS-2: Cloudservices beveiligen met netwerkbesturingselementen | Azure Private Link | Implementeer privé-eindpunten voor alle Azure-resources die de private link-functie ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen. |
| NS-2: Cloudservices beveiligen met netwerkbesturingselementen | Openbare netwerktoegang uitschakelen | Schakel openbare netwerktoegang uit met behulp van de ip-filterregel op serviceniveau of een schakeloptie voor openbare netwerktoegang. | |
| Identiteitsbeheer | IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken | Lokale verificatiemethoden voor gegevensvlaktoegang | Beperk het gebruik van lokale verificatiemethoden voor toegang tot gegevensvlakken. Gebruik in plaats daarvan Microsoft Entra ID als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren. |
| IM-3: Toepassingsidentiteiten veilig en automatisch beheren | Beheerde identiteiten | Gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Microsoft Entra-verificatie. Referenties voor beheerde identiteiten worden volledig beheerd, gedraaid en beveiligd door het platform, waardoor in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden. | |
| Service-principals | Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren. | ||
| IM-7: Toegang tot resources beperken op basis van voorwaarden | Voorwaardelijke toegang voor gegevensvlak | Definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Microsoft Entra in de workload. | |
| Bevoegde toegang | PA-7: Principe van minimale bevoegdheden hanteren | Azure RBAC voor gegevensvlak | Met Azure AD en RBAC vereist IoT Hub dat de principal die de API aanvraagt, het juiste machtigingsniveau voor autorisatie heeft. Als u de principal de machtiging wilt geven, geeft u deze een roltoewijzing. |
| Gegevensbescherming | DP-6: Een beveiligd sleutelbeheerproces gebruiken | Sleutelbeheer in Azure Key Vault | Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder sleutelgeneratie, distributie en opslag. Draai en trek uw sleutels in Azure Key Vault en uw service in op basis van een gedefinieerd schema of wanneer er een sleutel buiten gebruik wordt gesteld of gecompromitteerd. |
| Asset-management | AM-2: Alleen goedgekeurde services gebruiken | Ondersteuning voor Azure Policy | Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. |
| Logboekregistratie en bedreidingsdetectie | LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek | Azure-resourcelogboeken | Schakel resourcelogboeken in voor de service. |