Especificar requisitos de segurança para cargas de trabalho de IoT
Esta unidade resume a linha de base de segurança do Azure para o Hub IoT para ajudá-lo a criar novas especificações de requisitos para cargas de trabalho de IoT.
Consulte Introdução à arquitetura de referência de segurança cibernética da Microsoft e ao benchmark de segurança na nuvem para obter mais informações sobre o Microsoft Cloud Security Benchmark.
Na tabela abaixo, incluímos controles da linha de base completa onde:
- Os controles de segurança eram suportados, mas não habilitados por padrão
- Havia orientações explícitas que continham medidas a serem tomadas por parte do cliente
| Área | Ctrl | Caraterística | Resumo das orientações |
|---|---|---|---|
| Segurança da rede | NS-2: Proteger serviços cloud com controlos de rede | Azure Private Link | Implante pontos de extremidade privados para todos os recursos do Azure que dão suporte ao recurso Link Privado, para estabelecer um ponto de acesso privado para os recursos. |
| NS-2: Proteger serviços cloud com controlos de rede | Desativar o Acesso à Rede Pública | Desative o acesso à rede pública usando a regra de filtragem de ACL IP de nível de serviço ou um comutador de alternância para acesso à rede pública. | |
| Gestão de identidades | IM-1: utilizar o sistema de autenticação e identidade centralizado | Métodos de Autenticação Local para Acesso ao Plano de Dados | Restrinja o uso de métodos de autenticação local para acesso ao plano de dados. Em vez disso, use o Microsoft Entra ID como o método de autenticação padrão para controlar o acesso ao plano de dados. |
| IM-3: Gerir identidades de aplicações de forma segura e automática | Identidades Geridas | Use identidades gerenciadas do Azure em vez de entidades de serviço quando possível, que podem se autenticar nos serviços e recursos do Azure que dão suporte à autenticação do Microsoft Entra. As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração. | |
| Principais de Serviço | Não há nenhuma orientação atual da Microsoft para essa configuração de recurso. Reveja e determine se a sua organização pretende configurar esta funcionalidade de segurança. | ||
| IM-7: Restringir o acesso a recursos com base nas condições | Acesso Condicional para Plano de Dados | Defina as condições e os critérios aplicáveis para o Acesso Condicional do Microsoft Entra na carga de trabalho. | |
| Acesso privilegiado | PA-7: Siga o princípio da administração (mínimo privilégio) suficiente | RBAC do Azure para Plano de Dados | Com o Azure AD e o RBAC, o Hub IoT exige que a entidade que solicita a API tenha o nível apropriado de permissão para autorização. Para dar permissão ao principal, atribua-lhe uma atribuição de função. |
| Proteção de dados | DP-6: Utilizar um processo de gestão de chaves segura | Gestão de Chaves no Azure Key Vault | Use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo geração, distribuição e armazenamento de chaves. Gire e revogue suas chaves no Cofre de Chaves do Azure e seu serviço com base em um cronograma definido ou quando houver uma desativação de chave ou comprometimento. |
| Gestão de ativos | AM-2: Utilizar apenas serviços aprovados | Suporte do Azure Policy | Use o Microsoft Defender for Cloud para configurar a Política do Azure para auditar e impor configurações de seus recursos do Azure. |
| Deteção de registo e de ameaça | LT-4: Ativar o registo para investigação de segurança | Registos de Recursos do Azure | Habilite os logs de recursos para o serviço. |