Punkt odniesienia zabezpieczeń platformy Azure dla IoT Hub
Ten punkt odniesienia zabezpieczeń stosuje wskazówki z testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1.0 do IoT Hub. Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Zawartość jest pogrupowana przez mechanizmy kontroli zabezpieczeń zdefiniowane przez test porównawczy zabezpieczeń w chmurze firmy Microsoft oraz powiązane wskazówki dotyczące IoT Hub.
Możesz monitorować ten punkt odniesienia zabezpieczeń i jego zalecenia przy użyciu Microsoft Defender for Cloud. definicje Azure Policy zostaną wyświetlone w sekcji Zgodność z przepisami na stronie Microsoft Defender dla portalu w chmurze.
Jeśli funkcja ma odpowiednie definicje Azure Policy, są one wymienione w tym punkcie odniesienia, aby ułatwić mierzenie zgodności z mechanizmami porównawczymi i zaleceniami dotyczącymi zabezpieczeń w chmurze firmy Microsoft. Niektóre zalecenia mogą wymagać płatnego planu Microsoft Defender włączenia niektórych scenariuszy zabezpieczeń.
Uwaga
Funkcje, które nie mają zastosowania do IoT Hub zostały wykluczone. Aby dowiedzieć się, jak IoT Hub całkowicie mapować na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pełny plik mapowania punktu odniesienia zabezpieczeń IoT Hub.
Profil zabezpieczeń
Profil zabezpieczeń zawiera podsumowanie zachowań o dużym wpływie na IoT Hub, co może spowodować zwiększenie zagadnień dotyczących zabezpieczeń.
| Atrybut zachowania usługi | Wartość |
|---|---|
| Product Category | IoT |
| Klient może uzyskać dostęp do hosta/systemu operacyjnego | Brak dostępu |
| Usługę można wdrożyć w sieci wirtualnej klienta | Fałsz |
| Przechowuje zawartość klienta magazynowanych | Prawda |
Bezpieczeństwo sieci
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zabezpieczenia sieci.
NS-1: Ustanawianie granic segmentacji sieci
Funkcje
Integracja sieci wirtualnej
Opis: Usługa obsługuje wdrażanie w prywatnej Virtual Network klienta (VNet). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Obsługa sieciowej grupy zabezpieczeń
Opis: Ruch sieciowy usługi uwzględnia przypisanie reguł sieciowych grup zabezpieczeń w jego podsieciach. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Funkcje
Link prywatny platformy Azure
Opis: Natywna funkcja filtrowania adresów IP usługi do filtrowania ruchu sieciowego (nie należy mylić z sieciową grupą zabezpieczeń lub Azure Firewall). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: Wdrażanie prywatnych punktów końcowych dla wszystkich zasobów platformy Azure obsługujących funkcję Private Link w celu ustanowienia prywatnego punktu dostępu dla zasobów.
Dokumentacja: IoT Hub obsługa sieci wirtualnych za pomocą Azure Private Link
Wyłączanie dostępu do sieci publicznej
Opis: Usługa obsługuje wyłączanie dostępu do sieci publicznej za pomocą reguły filtrowania listy ACL adresów IP na poziomie usługi (nie sieciowej grupy zabezpieczeń lub Azure Firewall) lub przełącznika "Wyłącz dostęp do sieci publicznej". Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: wyłącz dostęp do sieci publicznej przy użyciu reguły filtrowania listy ACL adresów IP na poziomie usługi lub przełącznika na potrzeby dostępu do sieci publicznej.
Dokumentacja: Zarządzanie dostępem do sieci publicznej dla centrum IoT
Zarządzanie tożsamościami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: zarządzanie tożsamościami.
IM-1: Korzystanie ze scentralizowanego systemu tożsamości i uwierzytelniania
Funkcje
Azure AD uwierzytelnianie wymagane do uzyskania dostępu do płaszczyzny danych
Opis: Usługa obsługuje korzystanie z uwierzytelniania Azure AD na potrzeby dostępu do płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Uwagi dotyczące funkcji: możesz użyć usługi Azure Active Directory (Azure AD) do uwierzytelniania żądań w interfejsach API usługi Azure IoT Hub, takich jak tworzenie tożsamości urządzenia i wywoływanie metody bezpośredniej. Możesz również użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby autoryzować te same interfejsy API usługi. Za pomocą tych technologii można udzielić uprawnień dostępu do interfejsów API usługi IoT Hub do podmiotu zabezpieczeń Azure AD. Ten podmiot zabezpieczeń może być użytkownikiem, grupą lub jednostką usługi aplikacji.
Podczas wdrażania IoT Hub użytkownik wdrażający usługę ma przypisane uprawnienia dostępu do interfejsów API usługi IoT Hub.
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Kontrolowanie dostępu do IoT Hub przy użyciu usługi Azure Active Directory
Lokalne metody uwierzytelniania na potrzeby dostępu do płaszczyzny danych
Opis: Metody uwierzytelniania lokalnego obsługiwane na potrzeby dostępu do płaszczyzny danych, takie jak lokalna nazwa użytkownika i hasło. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Uwagi dotyczące funkcji: podczas wdrażania IoT Hub możesz zdecydować, jak zarządzać dostępem do centrum IoT. Zezwalaj na zasady dostępu współdzielonego lub wybierz tylko kontrolę dostępu opartą na rolach. Unikaj użycia lokalnych metod uwierzytelniania lub kont, należy je wyłączyć wszędzie tam, gdzie to możliwe. Zamiast tego należy użyć Azure AD do uwierzytelniania tam, gdzie to możliwe.
Wskazówki dotyczące konfiguracji: ograniczanie użycia lokalnych metod uwierzytelniania na potrzeby dostępu do płaszczyzny danych. Zamiast tego użyj usługi Azure Active Directory (Azure AD) jako domyślnej metody uwierzytelniania, aby kontrolować dostęp do płaszczyzny danych.
Dokumentacja: Kontrolowanie dostępu do IoT Hub
IM-3: Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji
Funkcje
Tożsamości zarządzane
Opis: Akcje płaszczyzny danych obsługują uwierzytelnianie przy użyciu tożsamości zarządzanych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj tożsamości zarządzanych platformy Azure zamiast jednostek usługi, jeśli jest to możliwe, co umożliwia uwierzytelnianie w usługach i zasobach platformy Azure obsługujących uwierzytelnianie usługi Azure Active Directory (Azure AD). Poświadczenia tożsamości zarządzanej są w pełni zarządzane, obracane i chronione przez platformę, unikając twardych poświadczeń w kodzie źródłowym lub plikach konfiguracji.
Dokumentacja: IoT Hub obsługa tożsamości zarządzanych
Jednostki usługi
Opis: Płaszczyzna danych obsługuje uwierzytelnianie przy użyciu jednostek usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: nie ma bieżących wskazówek firmy Microsoft dotyczących tej konfiguracji funkcji. Przejrzyj i ustal, czy organizacja chce skonfigurować tę funkcję zabezpieczeń.
Dokumentacja: Kontrolowanie dostępu do IoT Hub przy użyciu usługi Azure Active Directory
IM-7: Ograniczanie dostępu do zasobów na podstawie warunków
Funkcje
Dostęp warunkowy dla płaszczyzny danych
Opis: Dostęp do płaszczyzny danych można kontrolować przy użyciu Azure AD zasad dostępu warunkowego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: definiowanie odpowiednich warunków i kryteriów dostępu warunkowego usługi Azure Active Directory (Azure AD) w obciążeniu. Rozważ typowe przypadki użycia, takie jak blokowanie lub udzielanie dostępu z określonych lokalizacji, blokowanie ryzykownego zachowania logowania lub wymaganie urządzeń zarządzanych przez organizację dla określonych aplikacji.
IM-8: Ograniczanie ujawnienia poświadczeń i wpisów tajnych
Funkcje
Obsługa integracji i magazynu poświadczeń usługi i wpisów tajnych na platformie Azure Key Vault
Opis: Płaszczyzna danych obsługuje natywne użycie usługi Azure Key Vault na potrzeby magazynu poświadczeń i wpisów tajnych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Dostęp uprzywilejowany
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: dostęp uprzywilejowany.
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Funkcje
Lokalne konta Administracja
Opis: Usługa ma pojęcie lokalnego konta administracyjnego. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
PA-7: Postępuj zgodnie z zasadą administrowania wystarczającą ilością (najmniejszych uprawnień)
Funkcje
Kontrola dostępu oparta na rolach platformy Azure dla płaszczyzny danych
Opis: Usługa Azure Role-Based Access Control (Azure RBAC) może służyć do zarządzania dostępem do akcji płaszczyzny danych usługi. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: w przypadku Azure AD i kontroli dostępu opartej na rolach IoT Hub wymaga od podmiotu zabezpieczeń żądającego interfejsu API odpowiedniego poziomu uprawnień do autoryzacji. Aby nadać podmiotowi zabezpieczeń uprawnienie, nadaj mu przypisanie roli.
Dokumentacja: Zarządzanie dostępem do IoT Hub przy użyciu przypisania roli RBAC platformy Azure
PA-8: Określanie procesu dostępu do obsługi dostawcy usług w chmurze
Funkcje
Skrytka klienta
Opis: Skrytka klienta może służyć do uzyskiwania dostępu do pomocy technicznej firmy Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Ochrona danych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: ochrona danych.
DP-1: Odnajdywanie, klasyfikowanie i etykietowanie poufnych danych
Funkcje
Odnajdywanie i klasyfikacja poufnych danych
Opis: Narzędzia (takie jak Azure Purview lub Azure Information Protection) mogą służyć do odnajdywania i klasyfikacji danych w usłudze. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych
Funkcje
Zapobieganie wyciekom/utracie danych
Opis: Usługa obsługuje rozwiązanie DLP do monitorowania przenoszenia poufnych danych (w zawartości klienta). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
DP-3: Szyfrowanie poufnych danych przesyłanych
Funkcje
Szyfrowanie danych przesyłanych
Opis: Usługa obsługuje szyfrowanie danych przesyłanych dla płaszczyzny danych. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Obsługa protokołu TLS (Transport Layer Security) w IoT Hub
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Funkcje
Szyfrowanie danych magazynowanych przy użyciu kluczy platformy
Opis: Szyfrowanie danych magazynowanych przy użyciu kluczy platformy jest obsługiwane. Każda zawartość klienta magazynowana jest szyfrowana przy użyciu tych kluczy zarządzanych przez firmę Microsoft. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
DP-6: Korzystanie z bezpiecznego procesu zarządzania kluczami
Funkcje
Zarządzanie kluczami na platformie Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi kluczami klienta, wpisami tajnymi lub certyfikatami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj usługi Azure Key Vault, aby utworzyć i kontrolować cykl życia kluczy szyfrowania, w tym generowanie kluczy, dystrybucję i magazyn. Obracanie i odwoływanie kluczy w usłudze Azure Key Vault i twojej usłudze na podstawie zdefiniowanego harmonogramu lub wycofania klucza lub naruszenia zabezpieczeń. Jeśli istnieje potrzeba użycia klucza zarządzanego przez klienta (CMK) na poziomie obciążenia, usługi lub aplikacji, upewnij się, że stosujesz najlepsze rozwiązania dotyczące zarządzania kluczami: użyj hierarchii kluczy, aby wygenerować oddzielny klucz szyfrowania danych (DEK) przy użyciu klucza szyfrowania kluczy w magazynie kluczy. Upewnij się, że klucze są zarejestrowane w usłudze Azure Key Vault i przywołyszane za pomocą identyfikatorów kluczy z usługi lub aplikacji. Jeśli musisz przenieść własny klucz (BYOK) do usługi (np. importowanie kluczy chronionych przez moduł HSM z lokalnych modułów HSM do usługi Azure Key Vault), postępuj zgodnie z zalecanymi wskazówkami dotyczącymi początkowego generowania kluczy i transferu kluczy.
DP-7: Korzystanie z bezpiecznego procesu zarządzania certyfikatami
Funkcje
Zarządzanie certyfikatami w usłudze Azure Key Vault
Opis: Usługa obsługuje integrację usługi Azure Key Vault z dowolnymi certyfikatami klienta. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Zarządzanie zasobami
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń w chmurze firmy Microsoft: zarządzanie zasobami.
AM-2: Używanie tylko zatwierdzonych usług
Funkcje
Obsługa usługi Azure Policy
Opis: Konfiguracje usług można monitorować i wymuszać za pośrednictwem Azure Policy. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: użyj Microsoft Defender for Cloud, aby skonfigurować Azure Policy do przeprowadzania inspekcji i wymuszania konfiguracji zasobów platformy Azure. Usługa Azure Monitor umożliwia tworzenie alertów w przypadku wykrycia odchylenia konfiguracji w zasobach. Użyj Azure Policy [odmów] i [wdróż, jeśli nie istnieje], aby wymusić bezpieczną konfigurację między zasobami platformy Azure.
Dokumentacja: Azure Policy wbudowane definicje dla Azure IoT Hub
Rejestrowanie i wykrywanie zagrożeń
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: rejestrowanie i wykrywanie zagrożeń.
LT-1: Włączanie możliwości wykrywania zagrożeń
Funkcje
Microsoft Defender dla oferty usług/produktów
Opis: Usługa ma rozwiązanie specyficzne dla oferty Microsoft Defender do monitorowania i zgłaszania alertów dotyczących problemów z zabezpieczeniami. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Prawda | Microsoft |
Wskazówki dotyczące konfiguracji: w przypadku wdrożenia domyślnego nie są wymagane żadne dodatkowe konfiguracje.
Dokumentacja: Szybki start: włączanie Microsoft Defender dla IoT na Azure IoT Hub
LT-4: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Funkcje
Dzienniki zasobów platformy Azure
Opis: Usługa tworzy dzienniki zasobów, które mogą zapewnić rozszerzone metryki i rejestrowanie specyficzne dla usługi. Klient może skonfigurować te dzienniki zasobów i wysłać je do własnego ujścia danych, takiego jak konto magazynu lub obszar roboczy analizy dzienników. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Prawda | Fałsz | Klient |
Wskazówki dotyczące konfiguracji: włączanie dzienników zasobów dla usługi. Na przykład Key Vault obsługuje dodatkowe dzienniki zasobów dla akcji, które pobierają wpis tajny z magazynu kluczy lub Azure SQL mają dzienniki zasobów, które śledzą żądania do bazy danych. Zawartość dzienników zasobów różni się w zależności od typu usługi platformy Azure i zasobu.
Dokumentacja: Monitorowanie Azure IoT Hub
Tworzenie i przywracanie kopii zapasowych
Aby uzyskać więcej informacji, zobacz test porównawczy zabezpieczeń chmury firmy Microsoft: tworzenie kopii zapasowych i odzyskiwanie.
BR-1: Zapewnianie regularnych automatycznych kopii zapasowych
Funkcje
Azure Backup
Opis: Kopia zapasowa usługi może zostać utworzona przez usługę Azure Backup. Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.
Możliwość tworzenia natywnej kopii zapasowej usługi
Opis: Usługa obsługuje własną natywną funkcję tworzenia kopii zapasowych (jeśli nie używa Azure Backup). Dowiedz się więcej.
| Obsługiwane | Włączone domyślnie | Odpowiedzialność za konfigurację |
|---|---|---|
| Fałsz | Nie dotyczy | Nie dotyczy |
Wskazówki dotyczące konfiguracji: ta funkcja nie jest obsługiwana w celu zabezpieczenia tej usługi.