Поделиться через


Рекомендации по обеспечению безопасности решений Интернета вещей

В этом обзоре представлены основные понятия защиты типичного решения Интернета вещей Azure. Каждый раздел содержит ссылки на содержимое, которое содержит дополнительные сведения и рекомендации.

На следующей схеме показано высокоуровневое представление компонентов в типичном пограничном решении Интернета вещей. В этой статье рассматривается безопасность пограничного решения Интернета вещей:

Схема, на котором показана высокоуровневая архитектура решения на основе IoT edge, которая выделяет безопасность.

Безопасность в пограничном решении Интернета вещей можно разделить на следующие три области:

  • Безопасность активов: защита физического или виртуального элемента значения, из которого требуется управлять, отслеживать и собирать данные.

  • Безопасность подключения. Убедитесь, что все данные, передаваемые между ресурсом, пограничным и облачными службами, являются конфиденциальными и защищенными.

  • Безопасность пограничных вычислений: защитите данные во время перемещения и хранится в пограничном сервере.

  • Облачная безопасность: защитите данные во время перемещения и хранится в облаке.

Как правило, в пограничном решении требуется защитить комплексные операции с помощью возможностей безопасности Azure. Операции Интернета вещей Azure имеют встроенные возможности безопасности, такие как управление секретами, управление сертификатами и безопасные параметры в кластере Kubernetes с поддержкой Azure Arc. При подключении кластера Kubernetes к Azure инициируется исходящее подключение к Azure, используя стандартный протокол SSL для защиты данных в процессе передачи, а также включены некоторые другие функции безопасности, например:

Microsoft Defender для Интернета вещей и контейнеров

Microsoft Defender для Интернета вещей — это единое решение для обеспечения безопасности, созданное специально для выявления устройств Интернета вещей и операционных технологий (OT), уязвимостей и угроз. Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.

Как Defender для Интернета вещей, так и Defender для контейнеров, могут автоматически отслеживать некоторые рекомендации, включенные в эту статью. Defender для Интернета вещей и Defender для контейнеров должен быть фронтом защиты для защиты пограничного решения. Дополнительные сведения см. на следующих ресурсах:

Безопасность активов

  • Управление секретами. Используйте Azure Key Vault для хранения конфиденциальных данных ресурса и управления ими, такими как ключи, пароли, сертификаты и секреты. Операции Azure IoT используют Azure Key Vault в качестве решения управляемого хранилища в облаке и используют расширение Хранилища секретов Azure Key Vault для Kubernetes для синхронизации секретов из облака и хранения их в пограничном хранилище как секреты Kubernetes . Дополнительные сведения см. в статье "Управление секретами для развертывания операций Интернета вещей Azure".

  • Управление сертификатами. Управление сертификатами имеет решающее значение для обеспечения безопасного взаимодействия между ресурсами и средой выполнения edge. Операции Интернета вещей Azure предоставляют средства для управления сертификатами, включая выдачу, продление и отзыв сертификатов. Дополнительные сведения см. в статье "Управление сертификатами" для внутренних операций Интернета вещей Azure.

  • Выберите оборудование, защищенное от изменений для ресурсов: выберите оборудование активов с встроенными механизмами для обнаружения физического изменения, например открытие крышки устройства или удаление части устройства. Эти сигналы изменения могут быть частью потока данных, отправленного в облако, оповещающими операторами этих событий.

  • Включите безопасные обновления для встроенного ПО активов: используйте службы, которые позволяют обновлять ресурсы через воздух. Создавайте ресурсы с безопасными путями для обновлений и криптографической гарантии версий встроенного ПО для защиты ресурсов во время и после обновления.

  • Безопасное развертывание оборудования активов: убедитесь, что развертывание оборудования активов является как можно более надежным, особенно в небезопасных расположениях, таких как общедоступные пространства или неконтролируемые языковые стандарты. Включите только необходимые функции, чтобы минимизировать объем физической атаки, например безопасно охватывать USB-порты, если они не нужны.

  • Следуйте рекомендациям по обеспечению безопасности и развертыванию изготовителя устройств. Если производитель устройства предоставляет рекомендации по безопасности и развертыванию, следуйте инструкциям в дополнение к универсальным рекомендациям, приведенным в этой статье.

Безопасность подключения

  • Используйте протокол TLS для защиты подключений от ресурсов: все обмен данными в операциях Интернета вещей Azure шифруются с помощью TLS. Чтобы обеспечить безопасный по умолчанию интерфейс, который сводит к минимуму непреднамеренное воздействие пограничного решения злоумышленникам, операции Интернета вещей Azure развертываются с корневым ЦС по умолчанию и издателем для сертификатов сервера TLS. Для рабочего развертывания рекомендуется использовать собственный издатель ЦС и корпоративное решение PKI.

  • Рекомендуется использовать корпоративные брандмауэры или прокси-серверы для управления исходящим трафиком: если вы используете корпоративные брандмауэры или прокси-серверы, добавьте конечные точки операций Интернета вещей Azure в список разрешений.

  • Шифрование внутреннего трафика брокера сообщений. Обеспечение безопасности внутренних коммуникаций в пограничной инфраструктуре важно для обеспечения целостности и конфиденциальности данных. Необходимо настроить брокер MQTT для шифрования внутреннего трафика и данных во время передачи между интерфейсом брокера MQTT и серверными модулями pod. Дополнительные сведения см. в разделе "Настройка шифрования внутреннего трафика брокера" и внутренних сертификатов.

  • Настройте TLS с автоматическим управлением сертификатами для прослушивателей в брокере MQTT: Операции Интернета вещей Azure обеспечивают автоматическое управление сертификатами для прослушивателей в брокере MQTT. Это сокращает административные расходы на управление сертификатами вручную, обеспечивает своевременное продление и помогает обеспечить соответствие политикам безопасности. Дополнительные сведения см. в разделе "Безопасный обмен данными брокера MQTT с помощью BrokerListener".

  • Настройте безопасное подключение к серверу OPC UA: при подключении к серверу OPC UA необходимо определить, с какими серверами OPC UA вы доверяете, чтобы безопасно установить сеанс. Дополнительные сведения см. в статье Настройка инфраструктуры сертификатов OPC UA для соединителя для OPC UA.

Безопасность пограничных вычислений

  • Следите за актуальной средой выполнения пограничных вычислений. Обновление кластера и развертывания Операций Интернета вещей Azure с последними исправлениями и дополнительными выпусками для получения всех доступных исправлений безопасности и ошибок. Для рабочих развертываний отключите автоматическое обновление для Azure Arc, чтобы иметь полный контроль над применением новых обновлений к кластеру. Вместо этого вручную обновите агенты по мере необходимости.

  • Проверьте целостность образов docker и helm: перед развертыванием любого образа в кластере убедитесь, что образ подписан корпорацией Майкрософт. Дополнительные сведения см. в статье "Проверка подписывания изображений".

  • Всегда используйте сертификаты X.509 или маркеры учетной записи службы Kubernetes для проверки подлинности с помощью брокера MQTT: брокер MQTT поддерживает несколько методов проверки подлинности для клиентов. Вы можете настроить каждый порт прослушивателя, чтобы иметь собственные параметры проверки подлинности с помощью ресурса BrokerAuthentication. Дополнительные сведения см. в разделе "Настройка проверки подлинности брокера MQTT".

  • Укажите минимальные привилегии, необходимые для ресурса раздела в брокере MQTT: политики авторизации определяют действия, которые клиенты могут выполнять на брокере, например подключение, публикацию или подписку на разделы. Настройте брокер MQTT для использования одной или нескольких политик авторизации с ресурсом BrokerAuthorization. Дополнительные сведения см. в разделе "Настройка авторизации брокера MQTT".

  • Настройка изолированных сетевых сред с помощью azure IoT Layered Network Management (предварительная версия) — это компонент, упрощающий подключение между Azure и кластерами в изолированных сетевых средах. В промышленных сценариях изолированные сети следуют архитектуре ISA-95/Purdue Network. Дополнительные сведения см. в статье "Что такое управление многоуровневой сетью Azure IoT (предварительная версия)?".

Безопасность облака

  • Используйте назначаемые пользователем управляемые удостоверения для облачных подключений: всегда используйте проверку подлинности управляемого удостоверения. По возможности используйте управляемое удостоверение, назначаемое пользователем, в конечных точках потока данных для гибкости и аудита.

  • Развертывание ресурсов наблюдаемости и настройка журналов. Наблюдение обеспечивает видимость каждого уровня конфигурации операций Интернета вещей Azure. Он дает представление о фактическом поведении проблем, что повышает эффективность проектирования надежности сайта. Операции Интернета вещей Azure обеспечивают наблюдаемость с помощью пользовательских курируемых панелей мониторинга Grafana, размещенных в Azure. Эти панели мониторинга поддерживаются управляемой службой Azure Monitor для Prometheus и службой Container Insights. Разверните ресурсы наблюдаемости в кластере перед развертыванием операций Интернета вещей Azure.

  • Безопасный доступ к ресурсам и конечным точкам активов с помощью Azure RBAC: ресурсы и конечные точки ресурсов в Операциях Интернета вещей Azure имеют представления как в кластере Kubernetes, так и в портал Azure. Azure RBAC можно использовать для защиты доступа к этим ресурсам. Azure RBAC — это система авторизации, которая позволяет управлять доступом к ресурсам Azure. Azure RBAC можно использовать для предоставления разрешений пользователям, группам и приложениям в определенной области. Дополнительные сведения см. в статье "Безопасный доступ к ресурсам и конечным точкам активов".

Следующие шаги

Дополнительные сведения о безопасности Интернета вещей см. в следующем разделе: