Especificar os requisitos de segurança para cargas de trabalho de IoT
Esta unidade resume a linha de base de segurança do Azure para o Hub IoT para ajudar você a criar especificações de requisitos para cargas de trabalho de IoT.
Veja Introdução à Arquitetura de Referência de Segurança Cibernética da Microsoft e ao parâmetro de comparação de segurança de nuvem para obter mais informações sobre o Parâmetro de Comparação de Segurança de nuvem da Microsoft.
Na tabela abaixo, incluímos controles da linha de base completa em que:
- Os controles de segurança eram compatíveis, mas não estavam habilitados por padrão
- Havia diretrizes explícitas que continham as ações a serem tomadas por parte do cliente
| Área | Control | Recurso | Resumo das diretrizes |
|---|---|---|---|
| Segurança de rede | NS-2: proteger serviços de nuvem com controles de rede | Link Privado do Azure | Implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos. |
| NS-2: proteger serviços de nuvem com controles de rede | Desabilitar o acesso à rede pública | Desabilite o acesso à rede pública usando a regra de filtragem de ACL do IP no serviço ou uma opção de alternância para o acesso à rede pública. | |
| Gerenciamento de identidades | IM-1: usar um sistema centralizado de identidade e autenticação | Métodos de autenticação local para acesso ao plano de dados | Restrinja o uso de métodos de autenticação local para acesso ao plano de dados. Em vez disso, use o Microsoft Entra ID como o método de autenticação padrão para controlar o acesso ao plano de dados. |
| IM-3: gerenciar identidades de aplicativos de maneira segura e automática | Identidades Gerenciadas | Use identidades gerenciadas do Azure em vez de entidades de serviço quando possível, que podem se autenticar nos serviços e recursos do Azure que dão suporte à autenticação do Microsoft Entra. As credenciais de identidades gerenciadas são completamente gerenciadas, giradas e protegidas pela plataforma, evitando credenciais codificadas no código-fonte ou arquivos de configuração. | |
| Entidades de serviço | Não há diretrizes atuais da Microsoft para essa configuração de recursos. Examine e determine se sua organização deseja configurar esse recurso de segurança. | ||
| IM-7: restringir o acesso aos recursos com base nas condições | Acesso condicional para o plano de dados | Defina as condições e os critérios aplicáveis para o Acesso Condicional do Microsoft Entra na carga de trabalho. | |
| Acesso privilegiado | PA-7: Seguir a administração Just Enough (princípio de privilégios mínimos) | RBAC do Azure para plano de dados | Com o Azure AD e o RBAC, o Hub IoT requer que a entidade de segurança que solicita a API tenha o nível apropriado de permissão para fornecer a autorização. Para dar permissão à entidade de segurança, conceda a essa entidade uma atribuição de função. |
| Proteção de dados | DP-6: usar um processo de gerenciamento de chaves seguro | Gerenciamento de chaves no Azure Key Vault | Use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo a geração, a distribuição e o armazenamento de chaves. Gire e revogue as chaves no Azure Key Vault e em seu serviço com base em um agendamento definido e quando houver uma desativação ou um comprometimento de chave. |
| Gerenciamento de ativos | AM-2: usar apenas serviços aprovados | Suporte ao Azure Policy | Use o Microsoft Defender para Nuvem para configurar o Azure Policy para auditar e aplicar as configurações de seus recursos do Azure. |
| Registro em log e detecção de ameaças | LT-4: habilitar o registro em log para investigação de segurança | Azure Resource Logs | Habilite os logs de recursos para o serviço. |