Рекомендации по обеспечению безопасности решений Интернета вещей
В этом обзоре представлены основные понятия защиты типичного решения Интернета вещей Azure. Каждый раздел содержит ссылки на содержимое, которое содержит дополнительные сведения и рекомендации.
На следующей схеме показано высокоуровневое представление компонентов в типичном пограничном решении Интернета вещей. В этой статье рассматривается безопасность пограничного решения Интернета вещей:
Безопасность в пограничном решении Интернета вещей можно разделить на следующие три области:
Безопасность активов: защита физического или виртуального элемента значения, из которого требуется управлять, отслеживать и собирать данные.
Безопасность подключения. Убедитесь, что все данные, передаваемые между ресурсом, пограничным и облачными службами, являются конфиденциальными и защищенными.
Безопасность пограничных вычислений: защитите данные во время перемещения и хранится в пограничном сервере.
Облачная безопасность: защитите данные во время перемещения и хранится в облаке.
Как правило, в пограничном решении требуется защитить комплексные операции с помощью возможностей безопасности Azure. Операции Интернета вещей Azure имеют встроенные возможности безопасности, такие как управление секретами, управление сертификатами и безопасные параметры в кластере Kubernetes с поддержкой Azure Arc. При подключении кластера Kubernetes к Azure инициируется исходящее подключение к Azure, используя стандартный протокол SSL для защиты данных в процессе передачи, а также включены некоторые другие функции безопасности, например:
- просмотр и мониторинг кластеров с помощью Azure Monitor для контейнеров;
- Принудительное применение защиты от угроз с помощью Microsoft Defender для контейнеров.
- Обеспечение управления с помощью применения политик с помощью Политика Azure для Kubernetes.
- Предоставление доступа и подключение к кластерам Kubernetes из любого места и управление доступом с помощью управления доступом на основе ролей Azure (Azure RBAC) в кластере.
Microsoft Defender для Интернета вещей и контейнеров
Microsoft Defender для Интернета вещей — это единое решение для обеспечения безопасности, созданное специально для выявления устройств Интернета вещей и операционных технологий (OT), уязвимостей и угроз. Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.
Как Defender для Интернета вещей, так и Defender для контейнеров, могут автоматически отслеживать некоторые рекомендации, включенные в эту статью. Defender для Интернета вещей и Defender для контейнеров должен быть фронтом защиты для защиты пограничного решения. Дополнительные сведения см. на следующих ресурсах:
- Microsoft Defender для контейнеров — обзор
- Обзор Microsoft Defender для Интернета вещей для организаций.
Безопасность активов
Управление секретами. Используйте Azure Key Vault для хранения конфиденциальных данных ресурса и управления ими, такими как ключи, пароли, сертификаты и секреты. Операции Azure IoT используют Azure Key Vault в качестве решения управляемого хранилища в облаке и используют расширение Хранилища секретов Azure Key Vault для Kubernetes для синхронизации секретов из облака и хранения их в пограничном хранилище как секреты Kubernetes . Дополнительные сведения см. в статье "Управление секретами для развертывания операций Интернета вещей Azure".
Управление сертификатами. Управление сертификатами имеет решающее значение для обеспечения безопасного взаимодействия между ресурсами и средой выполнения edge. Операции Интернета вещей Azure предоставляют средства для управления сертификатами, включая выдачу, продление и отзыв сертификатов. Дополнительные сведения см. в статье "Управление сертификатами" для внутренних операций Интернета вещей Azure.
Выберите оборудование, защищенное от изменений для ресурсов: выберите оборудование активов с встроенными механизмами для обнаружения физического изменения, например открытие крышки устройства или удаление части устройства. Эти сигналы изменения могут быть частью потока данных, отправленного в облако, оповещающими операторами этих событий.
Включите безопасные обновления для встроенного ПО активов: используйте службы, которые позволяют обновлять ресурсы через воздух. Создавайте ресурсы с безопасными путями для обновлений и криптографической гарантии версий встроенного ПО для защиты ресурсов во время и после обновления.
Безопасное развертывание оборудования активов: убедитесь, что развертывание оборудования активов является как можно более надежным, особенно в небезопасных расположениях, таких как общедоступные пространства или неконтролируемые языковые стандарты. Включите только необходимые функции, чтобы минимизировать объем физической атаки, например безопасно охватывать USB-порты, если они не нужны.
Следуйте рекомендациям по обеспечению безопасности и развертыванию изготовителя устройств. Если производитель устройства предоставляет рекомендации по безопасности и развертыванию, следуйте инструкциям в дополнение к универсальным рекомендациям, приведенным в этой статье.
Безопасность подключения
Используйте протокол TLS для защиты подключений от ресурсов: все обмен данными в операциях Интернета вещей Azure шифруются с помощью TLS. Чтобы обеспечить безопасный по умолчанию интерфейс, который сводит к минимуму непреднамеренное воздействие пограничного решения злоумышленникам, операции Интернета вещей Azure развертываются с корневым ЦС по умолчанию и издателем для сертификатов сервера TLS. Для рабочего развертывания рекомендуется использовать собственный издатель ЦС и корпоративное решение PKI.
Рекомендуется использовать корпоративные брандмауэры или прокси-серверы для управления исходящим трафиком: если вы используете корпоративные брандмауэры или прокси-серверы, добавьте конечные точки операций Интернета вещей Azure в список разрешений.
Шифрование внутреннего трафика брокера сообщений. Обеспечение безопасности внутренних коммуникаций в пограничной инфраструктуре важно для обеспечения целостности и конфиденциальности данных. Необходимо настроить брокер MQTT для шифрования внутреннего трафика и данных во время передачи между интерфейсом брокера MQTT и серверными модулями pod. Дополнительные сведения см. в разделе "Настройка шифрования внутреннего трафика брокера" и внутренних сертификатов.
Настройте TLS с автоматическим управлением сертификатами для прослушивателей в брокере MQTT: Операции Интернета вещей Azure обеспечивают автоматическое управление сертификатами для прослушивателей в брокере MQTT. Это сокращает административные расходы на управление сертификатами вручную, обеспечивает своевременное продление и помогает обеспечить соответствие политикам безопасности. Дополнительные сведения см. в разделе "Безопасный обмен данными брокера MQTT с помощью BrokerListener".
Настройте безопасное подключение к серверу OPC UA: при подключении к серверу OPC UA необходимо определить, с какими серверами OPC UA вы доверяете, чтобы безопасно установить сеанс. Дополнительные сведения см. в статье Настройка инфраструктуры сертификатов OPC UA для соединителя для OPC UA.
Безопасность пограничных вычислений
Следите за актуальной средой выполнения пограничных вычислений. Обновление кластера и развертывания Операций Интернета вещей Azure с последними исправлениями и дополнительными выпусками для получения всех доступных исправлений безопасности и ошибок. Для рабочих развертываний отключите автоматическое обновление для Azure Arc, чтобы иметь полный контроль над применением новых обновлений к кластеру. Вместо этого вручную обновите агенты по мере необходимости.
Проверьте целостность образов docker и helm: перед развертыванием любого образа в кластере убедитесь, что образ подписан корпорацией Майкрософт. Дополнительные сведения см. в статье "Проверка подписывания изображений".
Всегда используйте сертификаты X.509 или маркеры учетной записи службы Kubernetes для проверки подлинности с помощью брокера MQTT: брокер MQTT поддерживает несколько методов проверки подлинности для клиентов. Вы можете настроить каждый порт прослушивателя, чтобы иметь собственные параметры проверки подлинности с помощью ресурса BrokerAuthentication. Дополнительные сведения см. в разделе "Настройка проверки подлинности брокера MQTT".
Укажите минимальные привилегии, необходимые для ресурса раздела в брокере MQTT: политики авторизации определяют действия, которые клиенты могут выполнять на брокере, например подключение, публикацию или подписку на разделы. Настройте брокер MQTT для использования одной или нескольких политик авторизации с ресурсом BrokerAuthorization. Дополнительные сведения см. в разделе "Настройка авторизации брокера MQTT".
Настройка изолированных сетевых сред с помощью azure IoT Layered Network Management (предварительная версия) — это компонент, упрощающий подключение между Azure и кластерами в изолированных сетевых средах. В промышленных сценариях изолированные сети следуют архитектуре ISA-95/Purdue Network. Дополнительные сведения см. в статье "Что такое управление многоуровневой сетью Azure IoT (предварительная версия)?".
Безопасность облака
Используйте назначаемые пользователем управляемые удостоверения для облачных подключений: всегда используйте проверку подлинности управляемого удостоверения. По возможности используйте управляемое удостоверение, назначаемое пользователем, в конечных точках потока данных для гибкости и аудита.
Развертывание ресурсов наблюдаемости и настройка журналов. Наблюдение обеспечивает видимость каждого уровня конфигурации операций Интернета вещей Azure. Он дает представление о фактическом поведении проблем, что повышает эффективность проектирования надежности сайта. Операции Интернета вещей Azure обеспечивают наблюдаемость с помощью пользовательских курируемых панелей мониторинга Grafana, размещенных в Azure. Эти панели мониторинга поддерживаются управляемой службой Azure Monitor для Prometheus и службой Container Insights. Разверните ресурсы наблюдаемости в кластере перед развертыванием операций Интернета вещей Azure.
Безопасный доступ к ресурсам и конечным точкам активов с помощью Azure RBAC: ресурсы и конечные точки ресурсов в Операциях Интернета вещей Azure имеют представления как в кластере Kubernetes, так и в портал Azure. Azure RBAC можно использовать для защиты доступа к этим ресурсам. Azure RBAC — это система авторизации, которая позволяет управлять доступом к ресурсам Azure. Azure RBAC можно использовать для предоставления разрешений пользователям, группам и приложениям в определенной области. Дополнительные сведения см. в статье "Безопасный доступ к ресурсам и конечным точкам активов".
Следующие шаги
Дополнительные сведения о безопасности Интернета вещей см. в следующем разделе:
- Базовые показатели безопасности Azure для Kubernetes с поддержкой Azure Arc
- Основные понятия для обеспечения безопасности облачной рабочей нагрузки
- Базовые показатели безопасности Azure для Центр Интернета вещей Azure
- Руководство по безопасности IoT Central
- Перспектива хорошо спроектированной платформы на Центр Интернета вещей Azure