Рекомендации по обеспечению безопасности решений Интернета вещей

В этом обзоре представлены основные понятия защиты типичного решения Интернета вещей Azure. Каждый раздел содержит ссылки на содержимое, которое содержит дополнительные сведения и рекомендации.

Решение на основе пограничных вычислений

На следующей схеме показано высокоуровневое представление компонентов в типичном пограничном решении Интернета вещей. В этой статье рассматривается безопасность пограничного решения Интернета вещей:

Безопасность в пограничном решении Интернета вещей можно разделить на следующие три области:

• Безопасность активов: защита физического или виртуального элемента значения, из которого требуется управлять, отслеживать и собирать данные.

• Безопасность подключения. Убедитесь, что все данные, передаваемые между ресурсом, пограничным и облачными службами, являются конфиденциальными и защищенными.

• Безопасность пограничных вычислений: защитите данные во время перемещения и хранится в пограничном сервере.

• Облачная безопасность: защитите данные во время перемещения и хранится в облаке.

Как правило, в пограничном решении требуется защитить комплексные операции с помощью возможностей безопасности Azure. Операции Интернета вещей Azure имеют встроенные возможности безопасности, такие как управление секретами, управление сертификатами и безопасные параметры в кластере Kubernetes с поддержкой Azure Arc. При подключении кластера Kubernetes к Azure инициируется исходящее подключение к Azure, используя стандартный протокол SSL для защиты данных в процессе передачи, а также включены некоторые другие функции безопасности, например:

• просмотр и мониторинг кластеров с помощью Azure Monitor для контейнеров;
• Принудительное применение защиты от угроз с помощью Microsoft Defender для контейнеров.
• Обеспечение управления с помощью применения политик с помощью Политика Azure для Kubernetes.
• Предоставление доступа и подключение к кластерам Kubernetes из любого места и управление доступом с помощью управления доступом на основе ролей Azure (Azure RBAC) в кластере.

Microsoft Defender для Интернета вещей и контейнеров

Microsoft Defender для Интернета вещей — это единое решение для обеспечения безопасности, созданное специально для выявления устройств Интернета вещей и операционных технологий (OT), уязвимостей и угроз. Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.

Как Defender для Интернета вещей, так и Defender для контейнеров, могут автоматически отслеживать некоторые рекомендации, включенные в эту статью. Defender для Интернета вещей и Defender для контейнеров должен быть фронтом защиты для защиты пограничного решения. Дополнительные сведения см. на следующих ресурсах:

• Microsoft Defender для контейнеров — обзор
• Обзор Microsoft Defender для Интернета вещей для организаций.

Безопасность активов

• Управление секретами. Используйте Azure Key Vault для хранения конфиденциальных данных ресурса и управления ими, такими как ключи, пароли, сертификаты и секреты. Операции Azure IoT используют Azure Key Vault в качестве решения управляемого хранилища в облаке и используют расширение Хранилища секретов Azure Key Vault для Kubernetes для синхронизации секретов из облака и хранения их в пограничном хранилище как секреты Kubernetes . Дополнительные сведения см. в статье "Управление секретами для развертывания операций Интернета вещей Azure".

• Управление сертификатами. Управление сертификатами имеет решающее значение для обеспечения безопасного взаимодействия между ресурсами и средой выполнения edge. Операции Интернета вещей Azure предоставляют средства для управления сертификатами, включая выдачу, продление и отзыв сертификатов. Дополнительные сведения см. в статье "Управление сертификатами" для внутренних операций Интернета вещей Azure.

• Выберите оборудование, защищенное от изменений для ресурсов: выберите оборудование активов с встроенными механизмами для обнаружения физического изменения, например открытие крышки устройства или удаление части устройства. Эти сигналы изменения могут быть частью потока данных, отправленного в облако, оповещающими операторами этих событий.

• Включите безопасные обновления для встроенного ПО активов: используйте службы, которые позволяют обновлять ресурсы через воздух. Создавайте ресурсы с безопасными путями для обновлений и криптографической гарантии версий встроенного ПО для защиты ресурсов во время и после обновления.

• Безопасное развертывание оборудования активов: убедитесь, что развертывание оборудования активов является как можно более надежным, особенно в небезопасных расположениях, таких как общедоступные пространства или неконтролируемые языковые стандарты. Включите только необходимые функции, чтобы минимизировать объем физической атаки, например безопасно охватывать USB-порты, если они не нужны.

• Следуйте рекомендациям по обеспечению безопасности и развертыванию изготовителя устройств. Если производитель устройства предоставляет рекомендации по безопасности и развертыванию, следуйте инструкциям в дополнение к универсальным рекомендациям, приведенным в этой статье.

Безопасность подключения

• Используйте протокол TLS для защиты подключений от ресурсов: все обмен данными в операциях Интернета вещей Azure шифруются с помощью TLS. Чтобы обеспечить безопасный по умолчанию интерфейс, который сводит к минимуму непреднамеренное воздействие пограничного решения злоумышленникам, операции Интернета вещей Azure развертываются с корневым ЦС по умолчанию и издателем для сертификатов сервера TLS. Для рабочего развертывания рекомендуется использовать собственный издатель ЦС и корпоративное решение PKI.

• Рекомендуется использовать корпоративные брандмауэры или прокси-серверы для управления исходящим трафиком: если вы используете корпоративные брандмауэры или прокси-серверы, добавьте конечные точки операций Интернета вещей Azure в список разрешений.

• Шифрование внутреннего трафика брокера сообщений. Обеспечение безопасности внутренних коммуникаций в пограничной инфраструктуре важно для обеспечения целостности и конфиденциальности данных. Необходимо настроить брокер MQTT для шифрования внутреннего трафика и данных во время передачи между интерфейсом брокера MQTT и серверными модулями pod. Дополнительные сведения см. в разделе "Настройка шифрования внутреннего трафика брокера" и внутренних сертификатов.

• Настройте TLS с автоматическим управлением сертификатами для прослушивателей в брокере MQTT: Операции Интернета вещей Azure обеспечивают автоматическое управление сертификатами для прослушивателей в брокере MQTT. Это сокращает административные расходы на управление сертификатами вручную, обеспечивает своевременное продление и помогает обеспечить соответствие политикам безопасности. Дополнительные сведения см. в разделе "Безопасный обмен данными брокера MQTT с помощью BrokerListener".

• Настройте безопасное подключение к серверу OPC UA: при подключении к серверу OPC UA необходимо определить, с какими серверами OPC UA вы доверяете, чтобы безопасно установить сеанс. Дополнительные сведения см. в статье Настройка инфраструктуры сертификатов OPC UA для соединителя для OPC UA.

Безопасность пограничных вычислений

• Следите за актуальной средой выполнения пограничных вычислений. Обновление кластера и развертывания Операций Интернета вещей Azure с последними исправлениями и дополнительными выпусками для получения всех доступных исправлений безопасности и ошибок. Для рабочих развертываний отключите автоматическое обновление для Azure Arc, чтобы иметь полный контроль над применением новых обновлений к кластеру. Вместо этого вручную обновите агенты по мере необходимости.

• Проверьте целостность образов docker и helm: перед развертыванием любого образа в кластере убедитесь, что образ подписан корпорацией Майкрософт. Дополнительные сведения см. в статье "Проверка подписывания изображений".

• Всегда используйте сертификаты X.509 или маркеры учетной записи службы Kubernetes для проверки подлинности с помощью брокера MQTT: брокер MQTT поддерживает несколько методов проверки подлинности для клиентов. Вы можете настроить каждый порт прослушивателя, чтобы иметь собственные параметры проверки подлинности с помощью ресурса BrokerAuthentication. Дополнительные сведения см. в разделе "Настройка проверки подлинности брокера MQTT".

• Укажите минимальные привилегии, необходимые для ресурса раздела в брокере MQTT: политики авторизации определяют действия, которые клиенты могут выполнять на брокере, например подключение, публикацию или подписку на разделы. Настройте брокер MQTT для использования одной или нескольких политик авторизации с ресурсом BrokerAuthorization. Дополнительные сведения см. в разделе "Настройка авторизации брокера MQTT".

• Настройка изолированных сетевых сред с помощью azure IoT Layered Network Management (предварительная версия) — это компонент, упрощающий подключение между Azure и кластерами в изолированных сетевых средах. В промышленных сценариях изолированные сети следуют архитектуре ISA-95/Purdue Network. Дополнительные сведения см. в статье "Что такое управление многоуровневой сетью Azure IoT (предварительная версия)?".

Безопасность облака

• Используйте назначаемые пользователем управляемые удостоверения для облачных подключений: всегда используйте проверку подлинности управляемого удостоверения. По возможности используйте управляемое удостоверение, назначаемое пользователем, в конечных точках потока данных для гибкости и аудита.

• Развертывание ресурсов наблюдаемости и настройка журналов. Наблюдение обеспечивает видимость каждого уровня конфигурации операций Интернета вещей Azure. Он дает представление о фактическом поведении проблем, что повышает эффективность проектирования надежности сайта. Операции Интернета вещей Azure обеспечивают наблюдаемость с помощью пользовательских курируемых панелей мониторинга Grafana, размещенных в Azure. Эти панели мониторинга поддерживаются управляемой службой Azure Monitor для Prometheus и службой Container Insights. Разверните ресурсы наблюдаемости в кластере перед развертыванием операций Интернета вещей Azure.

• Безопасный доступ к ресурсам и конечным точкам активов с помощью Azure RBAC: ресурсы и конечные точки ресурсов в Операциях Интернета вещей Azure имеют представления как в кластере Kubernetes, так и в портал Azure. Azure RBAC можно использовать для защиты доступа к этим ресурсам. Azure RBAC — это система авторизации, которая позволяет управлять доступом к ресурсам Azure. Azure RBAC можно использовать для предоставления разрешений пользователям, группам и приложениям в определенной области. Дополнительные сведения см. в статье "Безопасный доступ к ресурсам и конечным точкам активов".

Облачное решение

На следующей схеме показано высокоуровневое представление компонентов в типичном облачном решении Интернета вещей. В этой статье рассматривается безопасность облачного решения Интернета вещей:

Безопасность в облачном решении Интернета вещей можно разделить на следующие три области:

• Безопасность устройств: защита устройства IoT во время развертывания в дикой среде.

• Безопасность подключения. Убедитесь, что все данные, передаваемые между устройством Интернета вещей и облачными службами Интернета вещей, являются конфиденциальными и защищенными.

• Облачная безопасность: защитите данные во время перемещения и хранится в облаке.

Реализация рекомендаций в этой статье помогает выполнить обязательства по обеспечению безопасности, описанные в модели общей ответственности.

Microsoft Defender для Интернета вещей

Microsoft Defender для Интернета вещей может автоматически отслеживать некоторые рекомендации, включенные в эту статью. Microsoft Defender для Интернета вещей должен быть фронтом защиты для защиты облачного решения. Microsoft Defender для Интернета вещей периодически анализирует состояние безопасности ресурсов Azure для выявления потенциальных уязвимостей безопасности. Затем он предоставляет рекомендации по их устранению. Дополнительные сведения см. на следующих ресурсах:

• Повышение уровня безопасности с помощью рекомендаций по безопасности.
• Что такое Microsoft Defender для Интернета вещей для организаций?
• Что такое Microsoft Defender для Интернета вещей для построителей устройств?.

Безопасность устройства

• Область применения оборудования к минимальным требованиям: выберите оборудование устройства, чтобы включить минимальные функции, необходимые для его работы, и ничего больше. Например, включите только USB-порты, если они необходимы для работы устройства в решении. Дополнительные функции могут предоставлять устройству нежелательные векторы атак.

• Выберите оборудование проверки подлинности: выберите оборудование устройства с встроенными механизмами для обнаружения физического изменения, например открытие крышки устройства или удаление части устройства. Эти сигналы изменения могут быть частью потока данных, отправленного в облако, который может оповещать операторов этих событий.

• Выберите безопасное оборудование: если возможно выбрать оборудование устройства, которое включает такие функции безопасности, как безопасное и зашифрованное хранилище и функциональность загрузки на основе доверенного платформенного модуля. Эти функции повышают безопасность устройств и помогают защитить всю инфраструктуру IoT.

• Включение безопасных обновлений. Используйте такие службы, как обновление устройств для Центр Интернета вещей для обновлений через воздух для устройств Интернета вещей. Создавайте устройства с безопасными путями для обновлений и криптографической гарантии версий встроенного ПО для защиты устройств во время и после обновления.

• Следуйте методологии разработки безопасного программного обеспечения: разработка безопасного программного обеспечения требует, чтобы вы рассмотрели безопасность от начала проекта до реализации, тестирования и развертывания. Жизненный цикл разработки безопасности Майкрософт предоставляет пошаговый подход к созданию безопасного программного обеспечения.

• Используйте пакеты SDK для устройств по возможности: пакеты SDK для устройств реализуют различные функции безопасности, такие как шифрование и проверка подлинности, которые помогают разрабатывать надежные и безопасные приложения устройств. Дополнительные сведения см. в пакетах SDK Для Интернета вещей Azure.

• Осторожность при выборе программного обеспечения с открытым кодом. Программное обеспечение с открытым кодом позволяет ускорить разработку решений. При его выборе следует учитывать уровень активности сообщества в отношении каждого такого компонента. Если сообщество активно, то это гарантирует поддержку программного обеспечения, а также обнаружение и устранение проблем. Неясный и неактивный проект программного обеспечения с открытым исходным кодом может не поддерживаться, и проблемы, скорее всего, не обнаруживаются.

• Безопасное развертывание оборудования: развертывания Интернета вещей могут потребовать развертывания оборудования в небезопасных расположениях, таких как в общедоступных пространствах или неконтролируемых языковых стандартах. В таких ситуациях убедитесь, что развертывание оборудования является как можно более несанкционированным, и только необходимые функции включены для минимизации физической нагрузки. Например, если оборудование имеет USB-порты, убедитесь, что они защищены безопасно.

• Безопасное хранение ключей аутентификации. При развертывании каждому устройству требуются коды и связанные с ними ключи аутентификации, создаваемые облачной службой. Сохраните эти ключи физически безопасно и используйте возобновляемые учетные данные. Вредоносное устройство может использовать любой скомпрометированный ключ для маскировки как существующего устройства.

• Обновление системы. Операционная система и все драйверы устройства должны быть обновлены до последней версии. Обеспечение актуальности операционных систем помогает обеспечить защиту от вредоносных атак.

• Защита от вредоносных действий: если операционная система разрешает, установите последние возможности антивирусной программы и защиты от вредоносных программ на каждом устройстве.

• Частое проведение аудита. Для реагирования на проблемы с безопасностью в первую очередь следует выполнять аудит инфраструктуры Интернета вещей на наличие инцидентов безопасности. Большинство операционных систем обеспечивают встроенное ведение журнала событий, которые следует часто просматривать, чтобы убедиться, что нарушение безопасности не произошло. Устройство может отправлять данные аудита в виде отдельного потока телеметрии в облачную службу, где ее можно проанализировать.

• Следуйте рекомендациям по обеспечению безопасности и развертыванию изготовителя устройств. Если производитель устройства предоставляет рекомендации по безопасности и развертыванию, следуйте инструкциям в дополнение к универсальным рекомендациям, приведенным в этой статье.

• Используйте шлюз полей для предоставления служб безопасности для устаревших или ограниченных устройств: устаревшие и ограниченные устройства могут не использовать возможность шифрования данных, подключения к Интернету или расширенного аудита. Чтобы обеспечить безопасность, необходимую при подключении таких устройств к Интернету, при объединении данных устаревших устройств нужно использовать полевые шлюзы. Устройство IoT Edge можно использовать в качестве шлюза и обеспечить безопасную проверку подлинности, согласование зашифрованных сеансов, получение команд из облака и многие другие функции безопасности. Azure Sphere можно использовать в качестве модуля защиты для защиты других устройств, включая существующие устаревшие системы, не предназначенные для надежного подключения.

Безопасность подключения

• Используйте сертификаты X.509 для проверки подлинности устройств для Центр Интернета вещей или IoT Central: Центр Интернета вещей и IoT Central поддерживают проверку подлинности на основе сертификатов X509 и маркеры безопасности в качестве методов проверки подлинности устройства. По возможности используйте проверку подлинности на основе X509 в рабочих средах, так как она обеспечивает большую безопасность. Дополнительные сведения см. в статье "Проверка подлинности устройства для Центр Интернета вещей" и "Проверка подлинности устройств" в IoT Central.

• Используйте протокол TLS 1.2 для защиты подключений с устройств: Центр Интернета вещей и IoT Central используют TLS для защиты подключений от устройств и служб Интернета вещей. В настоящее время поддерживаются три версии протокола TLS: 1.0, 1.1 и 1.2. TLS 1.0 и 1.1 считаются устаревшими. Дополнительные сведения см. в статье о поддержке TLS Центр Интернета вещей и TLS в службе подготовки устройств (DPS) Центр Интернета вещей Azure.

• Убедитесь, что у вас есть способ обновить корневой сертификат TLS на ваших устройствах: корневые сертификаты TLS являются длительными, но они по-прежнему могут истекать или отзываться. Если на устройстве нет способа обновления сертификата, устройство может не подключиться к Центр Интернета вещей, IoT Central или любой другой облачной службе позже. Дополнительные сведения см. в статье о том, как свернуть сертификаты устройств X.509.

• Рассмотрите возможность использования Приватный канал Azure: Приватный канал Azure позволяет подключать устройства к частной конечной точке виртуальной сети, что позволяет блокировать доступ к общедоступным конечным точкам центра Интернета вещей. Дополнительные сведения см. в статье о подключении входящего трафика к Центр Интернета вещей с помощью Приватный канал Azure и безопасности сети для IoT Central с помощью частных конечных точек.

Безопасность облака

• Следуйте методологии разработки безопасного программного обеспечения: разработка безопасного программного обеспечения требует, чтобы вы рассмотрели безопасность от начала проекта до реализации, тестирования и развертывания. Жизненный цикл разработки безопасности Майкрософт предоставляет пошаговый подход к созданию безопасного программного обеспечения.

• Осторожность при выборе программного обеспечения с открытым кодом. Программное обеспечение с открытым кодом позволяет ускорить разработку решений. При его выборе следует учитывать уровень активности сообщества в отношении каждого такого компонента. Если сообщество активно, то это гарантирует поддержку программного обеспечения, а также обнаружение и устранение проблем. Неясный и неактивный проект программного обеспечения с открытым исходным кодом может не поддерживаться, и проблемы, скорее всего, не обнаруживаются.

• Осторожность при интеграции. Множество брешей в системе защиты ПО обнаруживаются на границе интерфейсов API и библиотек. Функции, которые могут не потребоваться для текущего развертывания, по-прежнему доступны с помощью слоя API. Для обеспечения общей безопасности обязательно проверьте все интерфейсы интегрируемых компонентов на наличие уязвимостей.

• Защита облачных учетных данных. Злоумышленник может использовать учетные данные облачной проверки подлинности, используемые для настройки и эксплуатации развертывания Интернета вещей, чтобы получить доступ к системе Интернета вещей и скомпрометировать их. Обеспечьте защиту учетных данных, часто изменив пароль, и не используйте эти учетные данные на общедоступных компьютерах.

• Определите элементы управления доступом для центра Интернета вещей: изучите и определите тип доступа, необходимый каждому компоненту в решении Центр Интернета вещей на основе необходимых функциональных возможностей. Существует два способа предоставления разрешений для API-интерфейсов службы для подключения к центру Интернета вещей: идентификатор Microsoft Entra или подписанные URL-адреса. По возможности используйте идентификатор Microsoft Entra в рабочих средах, так как он обеспечивает большую безопасность.

• Определите элементы управления доступом для приложения IoT Central: изучите и определите тип доступа, который вы включаете для приложения IoT Central. Дополнительные сведения см. на следующих ресурсах:

  • Управление пользователями и ролями в приложении IoT Central
  • Управление организациями IoT Central
  • Использование журналов аудита для отслеживания действий в приложении IoT Central
  • Аутентификация и авторизация вызовов REST API IoT Central

• Определите элементы управления доступом для внутренних служб: другие службы Azure могут использовать данные, которые будут использоваться центром Интернета вещей или приложением IoT Central с устройств. Вы можете направлять сообщения с устройств в другие службы Azure. Изучите и настройте соответствующие разрешения доступа для Центр Интернета вещей или IoT Central для подключения к этим службам. Дополнительные сведения см. на следующих ресурсах:

  • Чтение сообщений устройства в облако из встроенной конечной точки Центр Интернета вещей
  • Использование маршрутизации сообщений в Центре Интернета вещей для отправки с устройства в облако в разные конечные точки
  • Экспорт данных IoT Central
  • Экспорт данных IoT Central в безопасное место назначения в azure виртуальная сеть

• Отслеживайте решение Интернета вещей из облака: отслеживайте общую работоспособность решения Интернета вещей с помощью метрик Центр Интернета вещей в работоспособности приложений Azure Monitor или Monitor IoT Central.

• Настройка диагностика. Мониторинг операций путем ведения журнала событий в решении и отправки журналов диагностики в Azure Monitor. Дополнительные сведения см. в статье "Мониторинг и диагностика проблем в Центре Интернета вещей".

Следующие шаги

Дополнительные сведения о безопасности Интернета вещей см. в следующем разделе:

• Базовые показатели безопасности Azure для Kubernetes с поддержкой Azure Arc
• Основные понятия для обеспечения безопасности облачной рабочей нагрузки
• Базовые показатели безопасности Azure для Центр Интернета вещей Azure
• Руководство по безопасности IoT Central
• Перспектива хорошо спроектированной платформы на Центр Интернета вещей Azure