Najlepsze rozwiązania w zakresie zabezpieczeń dla rozwiązań IoT

W tym omówieniu przedstawiono kluczowe pojęcia związane z zabezpieczaniem typowego rozwiązania usługi Azure IoT. Każda sekcja zawiera linki do zawartości, która zawiera szczegółowe informacje i wskazówki.

Rozwiązanie oparte na urządzeniach brzegowych

Na poniższym diagramie przedstawiono ogólny widok składników w typowym rozwiązaniu IoT opartym na brzegu. Ten artykuł koncentruje się na zabezpieczeniach rozwiązania IoT opartego na brzegu sieci:

Zabezpieczenia w rozwiązaniu IoT opartym na brzegu można podzielić na następujące trzy obszary:

• Zabezpieczenia zasobów: zabezpieczanie fizycznego lub wirtualnego elementu wartości, z którego chcesz zarządzać, monitorować i zbierać dane.

• Zabezpieczenia połączeń: upewnij się, że wszystkie dane przesyłane między zasobami, brzegami i usługami w chmurze są poufne i są odporne na naruszenia.

• Zabezpieczenia brzegowe: zabezpieczanie danych podczas ich przechodzenia i przechowywanie ich na brzegu sieci.

• Zabezpieczenia w chmurze: zabezpieczanie danych podczas ich przechodzenia i przechowywanie ich w chmurze.

Zazwyczaj w rozwiązaniu opartym na brzegu chcesz zabezpieczyć kompleksowe operacje przy użyciu funkcji zabezpieczeń platformy Azure. Operacje usługi Azure IoT mają wbudowane funkcje zabezpieczeń, takie jak zarządzanie wpisami tajnymi, zarządzanie certyfikatami i bezpieczne ustawienia w klastrze Kubernetes z obsługą usługi Azure Arc. Gdy klaster Kubernetes jest połączony z platformą Azure, inicjowane jest połączenie wychodzące z platformą Azure przy użyciu standardowego protokołu SSL w celu zabezpieczenia przesyłanych danych, a kilka innych funkcji zabezpieczeń jest włączonych, takich jak:

• Wyświetlanie i monitorowanie klastrów przy użyciu usługi Azure Monitor dla kontenerów.
• Wymuszanie ochrony przed zagrożeniami przy użyciu usługi Microsoft Defender for Containers.
• Zapewnij ład za pomocą stosowania zasad w usłudze Azure Policy dla platformy Kubernetes.
• Udziel dostępu i połącz się z klastrami Kubernetes z dowolnego miejsca i zarządzaj dostępem przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure w klastrze.

Usługa Microsoft Defender dla IoT i kontenerów

Usługa Microsoft Defender for IoT to ujednolicone rozwiązanie zabezpieczeń opracowane specjalnie w celu identyfikowania urządzeń IoT i technologii operacyjnych (OT), luk w zabezpieczeniach i zagrożeń. Usługa Microsoft Defender for Containers to natywne dla chmury rozwiązanie do ulepszania, monitorowania i obsługi zabezpieczeń konteneryzowanych zasobów (klastrów Kubernetes, węzłów Kubernetes, obciążeń Kubernetes, rejestrów kontenerów, obrazów kontenerów i nie tylko) oraz ich aplikacji w środowiskach wielochmurowych i lokalnych.

Zarówno usługa Defender dla IoT, jak i usługa Defender for Containers mogą automatycznie monitorować niektóre zalecenia zawarte w tym artykule. Ochrona rozwiązań Defender dla IoT i Defender for Containers powinna być linią frontonu obrony w celu ochrony rozwiązania opartego na brzegu sieci. Aby dowiedzieć się więcej, zobacz:

• Microsoft Defender for Containers — omówienie
• Usługa Microsoft Defender dla IoT dla organizacji — omówienie.

Zabezpieczenia zasobów

• Zarządzanie wpisami tajnymi: usługa Azure Key Vault służy do przechowywania poufnych informacji o zasobach, takich jak klucze, hasła, certyfikaty i wpisy tajne oraz zarządzanie nimi. Operacje usługi Azure IoT używają usługi Azure Key Vault jako rozwiązania magazynu zarządzanego w chmurze i używają rozszerzenia magazynu tajnego usługi Azure Key Vault dla platformy Kubernetes do synchronizowania wpisów tajnych z chmury i przechowywania ich na brzegu jako wpisów tajnych platformy Kubernetes. Aby dowiedzieć się więcej, zobacz Zarządzanie wpisami tajnymi dla wdrożenia operacji usługi Azure IoT.

• Zarządzanie certyfikatami: Zarządzanie certyfikatami ma kluczowe znaczenie dla zapewnienia bezpiecznej komunikacji między zasobami a środowiskiem środowiska uruchomieniowego brzegowego. Operacje usługi Azure IoT udostępniają narzędzia do zarządzania certyfikatami, w tym wystawiania, odnawiania i odwoływanie certyfikatów. Aby dowiedzieć się więcej, zobacz Zarządzanie certyfikatami na potrzeby wewnętrznej komunikacji operacji usługi Azure IoT.

• Wybierz sprzęt odporny na naruszenia dla zasobów: wybierz sprzęt zasobów z wbudowanymi mechanizmami wykrywania manipulacji fizycznych, takich jak otwarcie pokrywy urządzenia lub usunięcie części urządzenia. Te sygnały naruszenia mogą być częścią strumienia danych przekazanego do chmury, a operatory alertów do tych zdarzeń.

• Włącz bezpieczne aktualizacje oprogramowania układowego zasobów: użyj usług, które umożliwiają aktualizacje za pośrednictwem powietrza dla zasobów. Twórz zasoby z bezpiecznymi ścieżkami aktualizacji i kryptograficznego zapewniania wersji oprogramowania układowego w celu zabezpieczenia zasobów podczas aktualizacji i po nich.

• Bezpieczne wdrażanie sprzętu zasobów: upewnij się, że wdrożenie sprzętu zasobów jest tak odporne na naruszenia, jak to możliwe, szczególnie w niezabezpieczonych lokalizacjach, takich jak miejsca publiczne lub nienadzorowane ustawienia regionalne. Włącz tylko niezbędne funkcje, aby zminimalizować fizyczne ślady ataku, takie jak bezpieczne pokrycie portów USB, jeśli nie są potrzebne.

• Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i wdrażania producenta urządzeń: jeśli producent urządzenia zapewnia wskazówki dotyczące zabezpieczeń i wdrażania, postępuj zgodnie z ogólnymi wskazówkami wymienionymi w tym artykule.

Zabezpieczenia połączeń

• Użyj protokołu Transport Layer Security (TLS), aby zabezpieczyć połączenia z zasobów: Cała komunikacja w ramach operacji usługi Azure IoT jest szyfrowana przy użyciu protokołu TLS. Aby zapewnić bezpieczne domyślnie środowisko, które minimalizuje nieumyślne narażenie rozwiązania opartego na brzegu na osoby atakujące, operacje usługi Azure IoT są wdrażane z domyślnym głównym urzędem certyfikacji i wystawcą certyfikatów serwera TLS. W przypadku wdrożenia produkcyjnego zalecamy użycie własnego wystawcy urzędu certyfikacji i rozwiązania infrastruktury kluczy publicznych przedsiębiorstwa.

• Rozważ użycie zapór przedsiębiorstwa lub serwerów proxy do zarządzania ruchem wychodzącym: jeśli używasz zapór przedsiębiorstwa lub serwerów proxy, dodaj punkty końcowe operacji usługi Azure IoT do listy dozwolonych .

• Szyfrowanie wewnętrznego ruchu brokera komunikatów: zapewnienie bezpieczeństwa komunikacji wewnętrznej w infrastrukturze brzegowej jest ważne, aby zachować integralność i poufność danych. Należy skonfigurować brokerA MQTT w celu szyfrowania ruchu wewnętrznego i danych przesyłanych między frontonem brokera MQTT i zasobnikami zaplecza. Aby dowiedzieć się więcej, zobacz Konfigurowanie szyfrowania ruchu wewnętrznego brokera i certyfikatów wewnętrznych.

• Konfigurowanie protokołu TLS z automatycznym zarządzaniem certyfikatami dla odbiorników w brokerze MQTT: Operacje usługi Azure IoT zapewniają automatyczne zarządzanie certyfikatami dla odbiorników w brokerze MQTT. Zmniejsza to koszty administracyjne związane z ręcznym zarządzaniem certyfikatami, zapewnia terminowe odnawianie i pomaga zachować zgodność z zasadami zabezpieczeń. Aby dowiedzieć się więcej, zobacz Secure MQTT broker communication by using BrokerListener (Bezpieczna komunikacja brokera MQTT przy użyciu brokeralistener).

• Skonfiguruj bezpieczne połączenie z serwerem OPC UA: podczas nawiązywania połączenia z serwerem OPC UA należy określić, z którymi serwerami OPC UA ufasz, aby bezpiecznie ustanowić sesję. Aby dowiedzieć się więcej, zobacz Konfigurowanie infrastruktury certyfikatów OPC UA dla łącznika OPC UA.

Zabezpieczenia brzegowe

• Zachowaj aktualność środowiska uruchomieniowego brzegowego: zapewnij aktualność wdrożenia klastra i operacji usługi Azure IoT, udostępniając najnowsze poprawki i wersje pomocnicze, aby uzyskać wszystkie dostępne poprawki zabezpieczeń i błędów. W przypadku wdrożeń produkcyjnych wyłącz automatyczne uaktualnianie usługi Azure Arc, aby mieć pełną kontrolę nad tym, kiedy nowe aktualizacje są stosowane do klastra. Zamiast tego ręcznie uaktualnij agentów zgodnie z potrzebami.

• Sprawdź integralność obrazów platformy Docker i helm: przed wdrożeniem dowolnego obrazu w klastrze sprawdź, czy obraz jest podpisany przez firmę Microsoft. Aby dowiedzieć się więcej, zobacz Weryfikowanie podpisywania obrazów.

• Zawsze używaj certyfikatów X.509 lub tokenów kont usługi Kubernetes do uwierzytelniania za pomocą brokera MQTT: broker MQTT obsługuje wiele metod uwierzytelniania dla klientów. Każdy port odbiornika można skonfigurować tak, aby miał własne ustawienia uwierzytelniania za pomocą zasobu BrokerAuthentication. Aby dowiedzieć się więcej, zobacz Konfigurowanie uwierzytelniania brokera MQTT.

• Podaj najmniejsze uprawnienia wymagane dla zasobu tematu w brokerze MQTT: zasady autoryzacji określają, jakie akcje klienci mogą wykonywać na brokerze, takie jak łączenie, publikowanie lub subskrybowanie tematów. Skonfiguruj brokerA MQTT tak, aby używał jednego lub wielu zasad autoryzacji za pomocą zasobu BrokerAuthorization. Aby dowiedzieć się więcej, zobacz Konfigurowanie autoryzacji brokera MQTT.

• Konfigurowanie izolowanych środowisk sieciowych przy użyciu usługi Azure IoT Layered Network Management (wersja zapoznawcza):Azure IoT Layered Network Management (wersja zapoznawcza) to składnik ułatwiający połączenie między platformą Azure i klastrami w izolowanych środowiskach sieciowych. W scenariuszach przemysłowych izolowane sieci są zgodne z architekturą sieci PURDUE ISA-95./ Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure IoT Layered Network Management (wersja zapoznawcza)?.

Bezpieczeństwo w chmurze

• Użyj tożsamości zarządzanych przypisanych przez użytkownika do połączeń w chmurze: zawsze używaj uwierzytelniania tożsamości zarządzanej. Jeśli to możliwe, użyj tożsamości zarządzanej przypisanej przez użytkownika w punktach końcowych przepływu danych, aby uzyskać elastyczność i możliwość inspekcji.

• Wdrażanie zasobów obserwowania i konfigurowanie dzienników: możliwość obserwacji zapewnia wgląd w każdą warstwę konfiguracji operacji usługi Azure IoT. Zapewnia wgląd w rzeczywiste zachowanie problemów, co zwiększa efektywność inżynierii niezawodności lokacji. Operacje usługi Azure IoT oferują możliwość obserwowania za pośrednictwem niestandardowych wyselekcjonowanych pulpitów nawigacyjnych Grafana hostowanych na platformie Azure. Te pulpity nawigacyjne są obsługiwane przez usługę zarządzaną Azure Monitor dla rozwiązania Prometheus i usługi Container Insights. Przed wdrożeniem operacji usługi Azure IoT Wdróż zasoby w klastrze.

• Bezpieczny dostęp do zasobów i punktów końcowych zasobów za pomocą kontroli dostępu opartej na rolach platformy Azure: zasoby i punkty końcowe zasobów w operacjach usługi Azure IoT mają reprezentacje zarówno w klastrze Kubernetes, jak i w witrynie Azure Portal. Aby zabezpieczyć dostęp do tych zasobów, możesz użyć kontroli dostępu opartej na rolach platformy Azure. Kontrola dostępu oparta na rolach platformy Azure to system autoryzacji, który umożliwia zarządzanie dostępem do zasobów platformy Azure. Kontrola dostępu oparta na rolach platformy Azure umożliwia przyznawanie uprawnień użytkownikom, grupom i aplikacjom w określonym zakresie. Aby dowiedzieć się więcej, zobacz Bezpieczny dostęp do zasobów i punktów końcowych zasobów.

Rozwiązanie oparte na chmurze

Na poniższym diagramie przedstawiono ogólny widok składników w typowym rozwiązaniu IoT opartym na chmurze. Ten artykuł koncentruje się na zabezpieczeniach rozwiązania IoT opartego na chmurze:

Zabezpieczenia w rozwiązaniu IoT opartym na chmurze można podzielić na następujące trzy obszary:

• Zabezpieczenia urządzeń: zabezpieczanie urządzenia IoT podczas wdrażania go w środowisku naturalnym.

• Zabezpieczenia połączeń: Upewnij się, że wszystkie dane przesyłane między urządzeniem IoT a usługami IoT w chmurze są poufne i są odporne na naruszenia.

• Zabezpieczenia w chmurze: zabezpieczanie danych podczas ich przechodzenia i przechowywanie ich w chmurze.

Zaimplementowanie zaleceń w tym artykule ułatwia spełnienie zobowiązań dotyczących zabezpieczeń opisanych w modelu wspólnej odpowiedzialności.

Microsoft Defender for IoT

Usługa Microsoft Defender dla IoT może automatycznie monitorować niektóre zalecenia zawarte w tym artykule. Usługa Microsoft Defender dla IoT powinna być linią frontonu obrony w celu ochrony rozwiązania opartego na chmurze. Usługa Microsoft Defender dla IoT okresowo analizuje stan zabezpieczeń zasobów platformy Azure w celu zidentyfikowania potencjalnych luk w zabezpieczeniach. Następnie udostępnia zalecenia dotyczące sposobu ich rozwiązywania. Aby dowiedzieć się więcej, zobacz:

• Zwiększ poziom zabezpieczeń dzięki rekomendacjom dotyczącymi zabezpieczeń.
• Co to jest usługa Microsoft Defender dla IoT dla organizacji?.
• Co to jest usługa Microsoft Defender dla IoT dla konstruktorów urządzeń?.

Zabezpieczenia urządzenia

• Określanie zakresu sprzętu do minimalnych wymagań: wybierz sprzęt urządzenia, aby uwzględnić minimalne funkcje wymagane do jego działania i nic więcej. Na przykład zawierają tylko porty USB, jeśli są one niezbędne do działania urządzenia w rozwiązaniu. Dodatkowe funkcje mogą uwidaczniać urządzenie w niepożądanych wektorach ataku.

• Wybierz sprzęt sprawdzający naruszenia: wybierz sprzęt urządzenia z wbudowanymi mechanizmami wykrywania manipulacji fizycznych, takich jak otwarcie osłony urządzenia lub usunięcie części urządzenia. Te sygnały naruszenia mogą być częścią strumienia danych przekazanego do chmury, co może wysyłać alerty do tych zdarzeń.

• Wybierz bezpieczny sprzęt: jeśli to możliwe, wybierz sprzęt urządzenia, który zawiera funkcje zabezpieczeń, takie jak bezpieczny i zaszyfrowany magazyn i funkcjonalność rozruchu na podstawie modułu zaufanej platformy. Te funkcje sprawiają, że urządzenia są bezpieczniejsze i pomagają chronić ogólną infrastrukturę IoT.

• Włączanie bezpiecznych aktualizacji: użyj usług, takich jak Device Update dla usługi IoT Hub , na potrzeby aktualizacji za pośrednictwem powietrza dla urządzeń IoT. Twórz urządzenia z bezpiecznymi ścieżkami w celu zapewnienia aktualizacji i kryptograficznych wersji oprogramowania układowego w celu zabezpieczenia urządzeń podczas aktualizacji i po nich.

• Postępuj zgodnie z bezpieczną metodologią tworzenia oprogramowania: opracowywanie bezpiecznego oprogramowania wymaga rozważenia zabezpieczeń od momentu powstania projektu przez implementację, testowanie i wdrażanie. Cykl projektowania zabezpieczeń firmy Microsoft zawiera szczegółowe podejście do tworzenia bezpiecznego oprogramowania.

• Używaj zestawów SDK urządzeń, jeśli to możliwe: zestawy SDK urządzeń implementują różne funkcje zabezpieczeń, takie jak szyfrowanie i uwierzytelnianie, które ułatwiają opracowywanie niezawodnych i bezpiecznych aplikacji urządzeń. Aby dowiedzieć się więcej, zobacz Zestawy SDK usługi Azure IoT.

• Wybierz oprogramowanie typu open source z ostrożnością: oprogramowanie typu open source zapewnia możliwość szybkiego opracowywania rozwiązań. Podczas wybierania oprogramowania typu open source należy wziąć pod uwagę poziom aktywności społeczności dla każdego składnika open source. Aktywna społeczność zapewnia, że oprogramowanie jest obsługiwane i rozwiązywane problemy. Niejasny i nieaktywny projekt oprogramowania typu open source może nie być obsługiwany, a problemy prawdopodobnie nie zostaną odnalezione.

• Bezpieczne wdrażanie sprzętu: wdrożenia IoT mogą wymagać wdrożenia sprzętu w niezabezpieczonych lokalizacjach, takich jak w miejscach publicznych lub nienadzorowanych ustawieniach regionalnych. W takich sytuacjach upewnij się, że wdrożenie sprzętu jest tak samo odporne na naruszenia, jak to możliwe, a tylko niezbędne funkcje są włączone, aby zminimalizować ślad ataku fizycznego. Jeśli na przykład sprzęt ma porty USB, upewnij się, że są one bezpiecznie objęte.

• Zachowaj bezpieczeństwo kluczy uwierzytelniania: podczas wdrażania każde urządzenie wymaga identyfikatorów urządzeń i skojarzonych kluczy uwierzytelniania generowanych przez usługę w chmurze. Zachowaj te klucze fizycznie bezpieczne i używaj poświadczeń odnawialnych. Złośliwe urządzenie może użyć dowolnego klucza naruszonego do maskowania jako istniejącego urządzenia.

• Zachowaj aktualność systemu: upewnij się, że systemy operacyjne urządzeń i wszystkie sterowniki urządzeń zostały uaktualnione do najnowszych wersji. Zapewnienie aktualności systemów operacyjnych pomaga zapewnić ochronę przed złośliwymi atakami.

• Ochrona przed złośliwym działaniem: jeśli system operacyjny zezwala, zainstaluj najnowsze funkcje oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem w każdym systemie operacyjnym urządzenia.

• Inspekcja często: Inspekcja infrastruktury IoT pod kątem problemów związanych z zabezpieczeniami jest kluczowa podczas reagowania na zdarzenia zabezpieczeń. Większość systemów operacyjnych udostępnia wbudowane rejestrowanie zdarzeń, które należy często przeglądać, aby upewnić się, że nie wystąpiło żadne naruszenie zabezpieczeń. Urządzenie może wysyłać informacje inspekcji jako oddzielny strumień telemetrii do usługi w chmurze, gdzie można je analizować.

• Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń i wdrażania producenta urządzeń: jeśli producent urządzenia zapewnia wskazówki dotyczące zabezpieczeń i wdrażania, postępuj zgodnie z ogólnymi wskazówkami wymienionymi w tym artykule.

• Użyj bramy pola, aby zapewnić usługi zabezpieczeń dla starszych lub ograniczonych urządzeń: starsze i ograniczone urządzenia mogą nie mieć możliwości szyfrowania danych, nawiązywania połączenia z Internetem lub zapewniania zaawansowanej inspekcji. W takich przypadkach nowoczesna i bezpieczna brama pola może agregować dane ze starszych urządzeń i zapewnić zabezpieczenia wymagane do łączenia tych urządzeń przez Internet. Urządzenie usługi IoT Edge może być używane jako brama i zapewnić bezpieczne uwierzytelnianie, negocjacje zaszyfrowanych sesji, odbieranie poleceń z chmury i wiele innych funkcji zabezpieczeń. Usługa Azure Sphere może służyć jako moduł ochrony w celu zabezpieczenia innych urządzeń, w tym istniejących starszych systemów, które nie są przeznaczone do zaufanej łączności.

Zabezpieczenia połączeń

• Użyj certyfikatów X.509 do uwierzytelniania urządzeń w usłudze IoT Hub lub IoT Central: usługa IoT Hub i usługa IoT Central obsługują zarówno uwierzytelnianie oparte na certyfikatach X509, jak i tokeny zabezpieczające jako metody uwierzytelniania urządzenia. Jeśli to możliwe, użyj uwierzytelniania opartego na X509 w środowiskach produkcyjnych, ponieważ zapewnia większe bezpieczeństwo. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie urządzenia w usłudze IoT Hub i Pojęcia dotyczące uwierzytelniania urządzeń w usłudze IoT Central.

• Użyj protokołu Transport Layer Security (TLS) 1.2, aby zabezpieczyć połączenia z urządzeń: usługa IoT Hub i usługa IoT Central używają protokołu TLS do zabezpieczania połączeń z urządzeń i usług IoT. Obecnie obsługiwane są trzy wersje protokołu TLS: 1.0, 1.1 i 1.2. Protokoły TLS 1.0 i 1.1 są uznawane za starsze. Aby dowiedzieć się więcej, zobacz Obsługa protokołu Transport Layer Security (TLS) w usłudze IoT Hub i obsłudze protokołu TLS w usłudze Azure IoT Hub Device Provisioning Service (DPS).

• Upewnij się, że masz sposób aktualizowania certyfikatu głównego protokołu TLS na urządzeniach: certyfikaty główne protokołu TLS są długotrwałe, ale nadal mogą one wygasać lub zostać odwołane. Jeśli na urządzeniu nie ma możliwości aktualizowania certyfikatu, urządzenie może nie być w stanie nawiązać połączenia z usługą IoT Hub, usługą IoT Central lub inną usługą w chmurze w późniejszym terminie. Aby dowiedzieć się więcej, zobacz How to roll X.509 device certificates (Jak wdrażać certyfikaty urządzeń X.509).

• Rozważ użycie usługi Azure Private Link: usługa Azure Private Link umożliwia łączenie urządzeń z prywatnym punktem końcowym w sieci wirtualnej, co umożliwia blokowanie dostępu do publicznych punktów końcowych centrum IoT Hub. Aby dowiedzieć się więcej, zobacz Łączność ruchu przychodzącego z usługą IoT Hub przy użyciu usługi Azure Private Link i zabezpieczeń sieci dla usługi IoT Central przy użyciu prywatnych punktów końcowych.

Bezpieczeństwo w chmurze

• Postępuj zgodnie z bezpieczną metodologią tworzenia oprogramowania: opracowywanie bezpiecznego oprogramowania wymaga rozważenia zabezpieczeń od momentu powstania projektu przez implementację, testowanie i wdrażanie. Cykl projektowania zabezpieczeń firmy Microsoft zawiera szczegółowe podejście do tworzenia bezpiecznego oprogramowania.

• Wybierz oprogramowanie typu open source z ostrożnością: oprogramowanie typu open source zapewnia możliwość szybkiego opracowywania rozwiązań. Podczas wybierania oprogramowania typu open source należy wziąć pod uwagę poziom aktywności społeczności dla każdego składnika open source. Aktywna społeczność zapewnia, że oprogramowanie jest obsługiwane i rozwiązywane problemy. Niejasny i nieaktywny projekt oprogramowania typu open source może nie być obsługiwany, a problemy prawdopodobnie nie zostaną odnalezione.

• Integracja z opieką: wiele wad zabezpieczeń oprogramowania istnieje na granicy bibliotek i interfejsów API. Funkcje, które mogą nie być wymagane dla bieżącego wdrożenia, mogą być nadal dostępne za pośrednictwem warstwy interfejsu API. Aby zapewnić ogólne bezpieczeństwo, upewnij się, że wszystkie interfejsy składników są zintegrowane pod kątem luk w zabezpieczeniach.

• Ochrona poświadczeń w chmurze: osoba atakująca może użyć poświadczeń uwierzytelniania w chmurze, których używasz do konfigurowania i obsługi wdrożenia IoT w celu uzyskania dostępu do systemu IoT i naruszenia zabezpieczeń. Chroń poświadczenia, zmieniając hasło często i nie używaj tych poświadczeń na maszynach publicznych.

• Definiowanie mechanizmów kontroli dostępu dla centrum IoT: Omówienie i definiowanie typu dostępu, którego potrzebuje każdy składnik w rozwiązaniu usługi IoT Hub na podstawie wymaganych funkcji. Istnieją dwa sposoby udzielania uprawnień dla interfejsów API usługi w celu nawiązania połączenia z centrum IoT: Microsoft Entra ID lub Sygnatury dostępu współdzielonego. Jeśli to możliwe, użyj identyfikatora Entra firmy Microsoft w środowiskach produkcyjnych, ponieważ zapewnia większe bezpieczeństwo.

• Definiowanie kontroli dostępu dla aplikacji usługi IoT Central: Opis i definiowanie typu dostępu włączonego dla aplikacji usługi IoT Central. Aby dowiedzieć się więcej, zobacz:

  • Zarządzanie użytkownikami i rolami w aplikacji usługi IoT Central
  • Zarządzanie organizacjami usługi IoT Central
  • Śledzenie aktywności w aplikacji usługi IoT Central przy użyciu dzienników inspekcji
  • Jak uwierzytelniać i autoryzować wywołania interfejsu API REST usługi IoT Central

• Definiowanie mechanizmów kontroli dostępu dla usług zaplecza: inne usługi platformy Azure mogą korzystać z danych używanych przez centrum IoT Lub pozyskiwanie aplikacji usługi IoT Central z urządzeń. Komunikaty można kierować z urządzeń do innych usług platformy Azure. Omówienie i konfigurowanie odpowiednich uprawnień dostępu dla usługi IoT Hub lub IoT Central w celu nawiązania połączenia z tymi usługami. Aby dowiedzieć się więcej, zobacz:

  • Odczytywanie komunikatów z urządzenia do chmury z wbudowanego punktu końcowego usługi IoT Hub
  • Używanie routingu komunikatów usługi IoT Hub do wysyłania komunikatów z urządzenia do chmury do różnych punktów końcowych
  • Eksportowanie danych usługi IoT Central
  • Eksportowanie danych usługi IoT Central do bezpiecznego miejsca docelowego w usłudze Azure Virtual Network

• Monitorowanie rozwiązania IoT z chmury: monitorowanie ogólnej kondycji rozwiązania IoT przy użyciu metryk usługi IoT Hub w usłudze Azure Monitor lub monitorowanie kondycji aplikacji usługi IoT Central.

• Konfigurowanie diagnostyki: monitoruj operacje, rejestrując zdarzenia w rozwiązaniu, a następnie wysyłając dzienniki diagnostyczne do usługi Azure Monitor. Aby dowiedzieć się więcej, zobacz Monitorowanie i diagnozowanie problemów w centrum IoT.

Następne kroki

Aby dowiedzieć się więcej o zabezpieczeniach IoT, zobacz:

• Punkt odniesienia zabezpieczeń platformy Azure dla platformy Kubernetes z obsługą usługi Azure Arc
• Pojęcia dotyczące zabezpieczania obciążenia natywnego dla chmury
• Punkt odniesienia zabezpieczeń platformy Azure dla usługi Azure IoT Hub
• Przewodnik po zabezpieczeniach usługi IoT Central
• Perspektywa dobrze zaprojektowanej struktury w usłudze Azure IoT Hub