Указание требований к безопасности для рабочих нагрузок Интернета вещей
В этом уроке приведены общие сведения о базовых показателях безопасности Azure для Центр Интернета вещей, которые помогут вам создать новые спецификации требований для рабочих нагрузок Интернета вещей.
Дополнительные сведения о Microsoft Cloud Security Benchmark см . в статье "Общие сведения о эталонной архитектуре кибербезопасности Майкрософт" и эталоне облачной безопасности.
В таблице ниже мы включили элементы управления из полного базового плана, где:
- Элементы управления безопасностью поддерживаются, но не включены по умолчанию
- Было явное руководство, содержащее действия, которые необходимо предпринять от части клиента.
| Площадь | Элемент управления | Функция | Краткое содержание руководства |
|---|---|---|---|
| Безопасность сети | NS-2: защита облачных служб с помощью элементов управления сетью | Приватный канал Azure | Разверните частные конечные точки для всех ресурсов Azure, поддерживающих функцию Приватный канал, чтобы установить частную точку доступа для ресурсов. |
| NS-2: защита облачных служб с помощью элементов управления сетью | Отключение доступа к общедоступной сети | Отключите доступ к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания или переключателя переключения для доступа к общедоступной сети. | |
| Управление удостоверениями | IM-1: Использование централизованной системы удостоверений и проверки подлинности | Методы локальной проверки подлинности для доступа к плоскости данных | Ограничение использования локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте идентификатор Microsoft Entra в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных. |
| IM-3: Безопасное и автоматическое управление удостоверениями приложений | управляемые удостоверения. | Используйте управляемые удостоверения Azure вместо субъектов-служб, когда это возможно, что может пройти проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Microsoft Entra. За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации. | |
| Субъекты-службы | Для этой конфигурации компонентов нет текущих рекомендаций Майкрософт. Проверьте и определите, хотите ли ваша организация настроить эту функцию безопасности. | ||
| IM-7: Ограничение доступа к ресурсам на основе условий | Условный доступ для плоскости данных | Определите применимые условия и критерии условного доступа Microsoft Entra в рабочей нагрузке. | |
| Привилегированный доступ | PA-7. Использование Just Enough Administration (принцип предоставления наименьших прав) | Azure RBAC для плоскости данных | При использовании Azure AD и RBAC Центр Интернета вещей требует, чтобы субъект, запрашивающий API, имел соответствующий уровень разрешений для авторизации. Чтобы предоставить субъекту разрешение, присвойте ему назначение роли. |
| Защита данных | DP-6: безопасное управление ключами | Управление ключами в Azure Key Vault | Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранилище. Смена и отмена ключей в Azure Key Vault и вашей службе на основе определенного расписания или при выходе из эксплуатации или компрометации ключей. |
| Управление активами | AM-2: использование только утвержденных служб | Поддержка службы "Политика Azure" | Используйте Microsoft Defender для облака, чтобы настроить Политику Azure для проведения аудита и применения конфигураций ваших ресурсов Azure. |
| Ведение журнала и обнаружение угроз | LT-4. Включение ведения журнала для исследования безопасности | Журналы ресурсов Azure | Включите журналы ресурсов для службы. |