Metodtips för säkerhet för IoT-lösningar

Den här översikten beskriver viktiga begrepp kring att skydda en typisk Azure IoT-lösning. Varje avsnitt innehåller länkar till innehåll som ger mer information och vägledning.

Edge-baserad lösning

Följande diagram visar en översikt över komponenterna i en typisk kantbaserad IoT-lösning. Den här artikeln fokuserar på säkerheten för en gränsbaserad IoT-lösning:

Du kan dela upp säkerheten i en gränsbaserad IoT-lösning i följande tre områden:

• Tillgångssäkerhet: Skydda det fysiska eller virtuella värdeobjektet som du vill hantera, övervaka och samla in data från.

• Anslutningssäkerhet: Se till att alla data som överförs mellan tillgångs-, gräns- och molntjänsterna är konfidentiella och manipuleringssäkra.

• Edge-säkerhet: Skydda dina data när de flyttas igenom och lagras i gränsen.

• Molnsäkerhet: Skydda dina data när de flyttas igenom och lagras i molnet.

Vanligtvis i en gränsbaserad lösning vill du skydda dina åtgärder från slutpunkt till slutpunkt med hjälp av Azure-säkerhetsfunktioner. Azure IoT Operations har inbyggda säkerhetsfunktioner som hantering av hemligheter, certifikathantering och säkra inställningar i ett Azure Arc-aktiverat Kubernetes-kluster . När ett Kubernetes-kluster är anslutet till Azure initieras en utgående anslutning till Azure med hjälp av branschstandard-SSL för att skydda data under överföring och flera andra säkerhetsfunktioner aktiveras, till exempel:

• Visa och övervaka dina kluster med hjälp av Azure Monitor för containrar.
• Framtvinga skydd mot hot med Hjälp av Microsoft Defender för containrar.
• Säkerställa styrning genom att tillämpa principer med Azure Policy for Kubernetes.
• Bevilja åtkomst och anslut till dina Kubernetes-kluster var som helst och hantera åtkomst med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC) i klustret.

Microsoft Defender för IoT och för containrar

Microsoft Defender för IoT är en enhetlig säkerhetslösning som skapats specifikt för att identifiera IoT- och driftteknikenheter (OT), sårbarheter och hot. Microsoft Defender för containrar är en molnbaserad lösning för att förbättra, övervaka och upprätthålla säkerheten för dina containerbaserade tillgångar (Kubernetes-kluster, Kubernetes-noder, Kubernetes-arbetsbelastningar, containerregister, containeravbildningar med mera) och deras program i miljöer med flera moln och lokalt.

Både Defender för IoT och Defender för containrar kan automatiskt övervaka några av rekommendationerna i den här artikeln. Defender för IoT och Defender för containrar bör vara frontlinjen i försvaret för att skydda din gränsbaserade lösning. Mer information finns i:

• Microsoft Defender för containrar – översikt
• Microsoft Defender för IoT för organisationer – översikt.

Tillgångssäkerhet

• Hantering av hemligheter: Använd Azure Key Vault för att lagra och hantera tillgångs känslig information, till exempel nycklar, lösenord, certifikat och hemligheter. Azure IoT Operations använder Azure Key Vault som lösning för hanterat valv i molnet och använder Azure Key Vault Secret Store-tillägget för Kubernetes för att synkronisera hemligheterna från molnet och lagra dem på gränsen som Kubernetes-hemligheter. Mer information finns i Hantera hemligheter för din Azure IoT Operations-distribution.

• Certifikathantering: Det är viktigt att hantera certifikat för att säkerställa säker kommunikation mellan tillgångar och din gränskörningsmiljö. Azure IoT Operations innehåller verktyg för att hantera certifikat, inklusive utfärdande, förnyelse och återkallande av certifikat. Mer information finns i Certifikathantering för intern kommunikation i Azure IoT Operations.

• Välj manipulationssäker maskinvara för tillgångar: Välj tillgångsmaskinvara med inbyggda mekanismer för att identifiera fysisk manipulering, till exempel öppnande av enhetsskyddet eller borttagning av en del av enheten. Dessa manipuleringssignaler kan vara en del av dataströmmen som laddas upp till molnet och avisera operatörer om dessa händelser.

• Aktivera säkra uppdateringar för tillgångs inbyggd programvara: Använd tjänster som aktiverar uppdateringar över hela luften för dina tillgångar. Skapa tillgångar med säkra sökvägar för uppdateringar och kryptografisk säkerhet för versioner av inbyggd programvara för att skydda dina tillgångar under och efter uppdateringar.

• Distribuera tillgångsmaskinvara på ett säkert sätt: Se till att distributionen av tillgångsmaskinvara är så manipuleringssäker som möjligt, särskilt på osäkra platser som offentliga utrymmen eller oövervakade nationella inställningar. Aktivera endast nödvändiga funktioner för att minimera fotavtrycket för fysiska attacker, till exempel att på ett säkert sätt täcka USB-portar om de inte behövs.

• Följ metodtipsen för säkerhet och distribution av enhetstillverkare: Om enhetstillverkaren ger vägledning om säkerhet och distribution följer du den vägledningen utöver den allmänna vägledning som anges i den här artikeln.

Anslutningssäkerhet

• Använd TLS (Transport Layer Security) för att skydda anslutningar från tillgångar: All kommunikation i Azure IoT-åtgärder krypteras med hjälp av TLS. För att ge en säker som standardupplevelse som minimerar oavsiktlig exponering av din gränsbaserade lösning för angripare distribueras Azure IoT Operations med en standardrotcertifikatutfärdare och utfärdare för TLS-servercertifikat. För en produktionsdistribution rekommenderar vi att du använder en egen CA-utfärdare och en PKI-lösning för företag.

• Överväg att använda företagsbrandväggar eller proxyservrar för att hantera utgående trafik: Om du använder företagsbrandväggar eller proxyservrar lägger du till Azure IoT Operations-slutpunkterna i listan över tillåtna .

• Kryptera intern trafik för meddelandekö: Det är viktigt att säkerställa säkerheten för intern kommunikation i din gränsinfrastruktur för att upprätthålla dataintegritet och konfidentialitet. Du bör konfigurera MQTT-koordinatorn för att kryptera intern trafik och data under överföring mellan MQTT-koordinatorklientdelen och serverdelspoddarna. Mer information finns i Konfigurera kryptering av intern asynkron trafik och interna certifikat.

• Konfigurera TLS med automatisk certifikathantering för lyssnare i din MQTT-koordinator: Azure IoT Operations tillhandahåller automatisk certifikathantering för lyssnare i din MQTT-asynkron meddelandekö. Detta minskar de administrativa kostnaderna för manuellt hantering av certifikat, säkerställer snabb förnyelse och bidrar till att upprätthålla efterlevnaden av säkerhetsprinciper. Mer information finns i Säker MQTT-koordinatorkommunikation med hjälp av BrokerListener.

• Konfigurera en säker anslutning till OPC UA-servern: När du ansluter till en OPC UA-server bör du bestämma vilka OPC UA-servrar som du litar på för att upprätta en session på ett säkert sätt med. Mer information finns i Konfigurera OPC UA-certifikatinfrastruktur för anslutningsappen för OPC UA.

Gränssäkerhet

• Håll edge-körningsmiljön uppdaterad: Håll klustret och Azure IoT Operations-distributionen uppdaterade med de senaste korrigeringarna och mindre versioner för att få alla tillgängliga säkerhets- och buggkorrigeringar. För produktionsdistributioner inaktiverar du automatisk uppgradering för Azure Arc för att ha fullständig kontroll över när nya uppdateringar tillämpas på klustret. Uppgradera i stället agenter manuellt efter behov.

• Kontrollera integriteten för Docker- och Helm-avbildningar: Kontrollera att avbildningen är signerad av Microsoft innan du distribuerar en avbildning till klustret. Mer information finns i Verifiera avbildningssignering.

• Använd alltid X.509-certifikat eller Kubernetes-tjänstkontotoken för autentisering med din MQTT-koordinator: En MQTT-asynkron autentiseringsmetod stöder flera autentiseringsmetoder för klienter. Du kan konfigurera varje lyssnarport så att den har egna autentiseringsinställningar med en BrokerAuthentication-resurs. Mer information finns i Konfigurera MQTT-asynkron autentisering.

• Ange den lägsta behörighet som krävs för ämnestillgången i din MQTT-asynkron meddelandekö: Auktoriseringsprinciper avgör vilka åtgärder klienterna kan utföra på asynkron meddelandekö, till exempel att ansluta, publicera eller prenumerera på ämnen. Konfigurera MQTT-asynkron meddelandekö så att den använder en eller flera auktoriseringsprinciper med BrokerAuthorization-resursen. Mer information finns i Konfigurera Auktorisering för MQTT-auktorisering.

• Konfigurera isolerade nätverksmiljöer med hjälp av Azure IoT Layered Network Management (förhandsversion): Azure IoT Layered Network Management (förhandsversion) är en komponent som underlättar anslutningen mellan Azure och kluster i isolerade nätverksmiljöer. I industriella scenarier följer de isolerade nätverken ISA-95/Purdue Network-arkitekturen. Mer information finns i Vad är Azure IoT Layered Network Management (förhandsversion)?.

Molnsäkerhet

• Använd användartilldelade hanterade identiteter för molnanslutningar: Använd alltid hanterad identitetsautentisering. Använd när det är möjligt användartilldelad hanterad identitet i dataflödesslutpunkter för flexibilitet och granskning.

• Distribuera observerbarhetsresurser och konfigurera loggar: Observerbarhet ger insyn i varje lager i din Azure IoT Operations-konfiguration. Det ger dig insikt i det faktiska beteendet för problem, vilket ökar effektiviteten i platstillförlitlighetstekniken. Azure IoT Operations erbjuder observerbarhet via anpassade utvalda Grafana-instrumentpaneler som finns i Azure. Dessa instrumentpaneler drivs av Azure Monitor-hanterad tjänst för Prometheus och Container Insights. Distribuera observerbarhetsresurser i klustret innan du distribuerar Azure IoT Operations.

• Säker åtkomst till tillgångar och tillgångsslutpunkter med Azure RBAC: Tillgångar och tillgångsslutpunkter i Azure IoT Operations har representationer i både Kubernetes-klustret och Azure Portal. Du kan använda Azure RBAC för att skydda åtkomsten till dessa resurser. Azure RBAC är ett auktoriseringssystem som gör att du kan hantera åtkomsten till Azure-resurser. Du kan använda Azure RBAC för att bevilja behörigheter till användare, grupper och program i ett visst omfång. Mer information finns i Säker åtkomst till tillgångar och tillgångsslutpunkter.

Molnbaserad lösning

Följande diagram visar en översikt över komponenterna i en typisk molnbaserad IoT-lösning. Den här artikeln fokuserar på säkerheten för en molnbaserad IoT-lösning:

Du kan dela upp säkerheten i en molnbaserad IoT-lösning i följande tre områden:

• Enhetssäkerhet: Skydda IoT-enheten när den distribueras i naturen.

• Anslutningssäkerhet: Se till att alla data som överförs mellan IoT-enheten och IoT-molntjänsterna är konfidentiella och manipuleringssäkra.

• Molnsäkerhet: Skydda dina data när de flyttas igenom och lagras i molnet.

Genom att implementera rekommendationerna i den här artikeln kan du uppfylla de säkerhetsskyldigheter som beskrivs i modellen med delat ansvar.

Microsoft Defender for IoT

Microsoft Defender för IoT kan automatiskt övervaka några av rekommendationerna i den här artikeln. Microsoft Defender för IoT bör vara frontlinjen för skydd för att skydda din molnbaserade lösning. Microsoft Defender för IoT analyserar regelbundet säkerhetstillståndet för dina Azure-resurser för att identifiera potentiella säkerhetsrisker. Sedan får du rekommendationer om hur du hanterar dem. Mer information finns i:

• Förbättra säkerhetsstatusen med säkerhetsrekommendationer.
• Vad är Microsoft Defender för IoT för organisationer?.
• Vad är Microsoft Defender för IoT för enhetsbyggare?.

Enhetssäkerhet

• Omfångsmaskinvara till minimikrav: Välj enhetens maskinvara för att inkludera de minsta funktioner som krävs för dess drift, och inget mer. Ta till exempel bara med USB-portar om de behövs för att enheten ska fungera i din lösning. Extra funktioner kan exponera enheten för oönskade attackvektorer.

• Välj manipulationssäker maskinvara: Välj enhetsmaskinvara med inbyggda mekanismer för att identifiera fysisk manipulering, till exempel öppnandet av enhetsskyddet eller borttagning av en del av enheten. Dessa manipuleringssignaler kan vara en del av dataströmmen som laddas upp till molnet, vilket kan varna operatörer för dessa händelser.

• Välj säker maskinvara: Välj om möjligt enhetsmaskinvara som innehåller säkerhetsfunktioner som säker och krypterad lagrings- och startfunktion baserat på en betrodd plattformsmodul. De här funktionerna gör enheterna säkrare och skyddar den övergripande IoT-infrastrukturen.

• Aktivera säkra uppdateringar: Använd tjänster som Enhetsuppdatering för IoT Hub för trådlösa uppdateringar för dina IoT-enheter. Skapa enheter med säkra sökvägar för uppdateringar och kryptografisk säkerhet för versioner av inbyggd programvara för att skydda dina enheter under och efter uppdateringar.

• Följ en säker metod för programvaruutveckling: Utvecklingen av säker programvara kräver att du överväger säkerhet från starten av projektet hela vägen genom implementering, testning och distribution. Microsoft Security Development Lifecycle tillhandahåller en stegvis metod för att skapa säker programvara.

• Använd enhets-SDK:er när det är möjligt: Enhets-SDK:er implementerar olika säkerhetsfunktioner, till exempel kryptering och autentisering som hjälper dig att utveckla robusta och säkra enhetsprogram. Mer information finns i Azure IoT SDK:er.

• Välj programvara med öppen källkod med försiktighet: Programvara med öppen källkod ger en möjlighet att snabbt utveckla lösningar. När du väljer programvara med öppen källkod bör du överväga communityns aktivitetsnivå för varje komponent med öppen källkod. En aktiv community ser till att programvara stöds och att problem identifieras och åtgärdas. Ett obskyrt och inaktivt programvaruprojekt med öppen källkod kanske inte stöds och problem identifieras sannolikt inte.

• Distribuera maskinvara på ett säkert sätt: IoT-distributioner kan kräva att du distribuerar maskinvara på oskyddade platser, till exempel i offentliga utrymmen eller oövervakade nationella inställningar. I sådana situationer ska du se till att maskinvarudistributionen är så manipulationssäker som möjligt och att endast de nödvändiga funktionerna är aktiverade för att minimera fotavtrycket för fysiska attacker. Om maskinvaran till exempel har USB-portar ser du till att de täcks på ett säkert sätt.

• Skydda autentiseringsnycklar: Under distributionen kräver varje enhet enhets-ID och associerade autentiseringsnycklar som genereras av molntjänsten. Håll dessa nycklar fysiskt säkra och använd autentiseringsuppgifter för förnybar energi. En skadlig enhet kan använda valfri komprometterad nyckel för att maskera sig som en befintlig enhet.

• Håll systemet uppdaterat: Se till att enhetens operativsystem och alla enhetsdrivrutiner uppgraderas till de senaste versionerna. Genom att hålla operativsystemen uppdaterade ser du till att de skyddas mot skadliga attacker.

• Skydda mot skadlig aktivitet: Om operativsystemet tillåter det installerar du de senaste funktionerna för antivirus och skadlig kod på varje enhets operativsystem.

• Granska ofta: Granskning av IoT-infrastruktur för säkerhetsrelaterade problem är nyckeln när du svarar på säkerhetsincidenter. De flesta operativsystem tillhandahåller inbyggd händelseloggning som du bör granska ofta för att se till att inga säkerhetsöverträdelser har inträffat. En enhet kan skicka granskningsinformation som en separat telemetriström till molntjänsten där den kan analyseras.

• Följ metodtipsen för säkerhet och distribution av enhetstillverkare: Om enhetstillverkaren ger vägledning om säkerhet och distribution följer du den vägledningen utöver den allmänna vägledning som anges i den här artikeln.

• Använd en fältgateway för att tillhandahålla säkerhetstjänster för äldre eller begränsade enheter: Äldre och begränsade enheter kan sakna möjligheten att kryptera data, ansluta till Internet eller tillhandahålla avancerad granskning. I dessa fall kan en modern och säker fältgateway aggregera data från äldre enheter och ge den säkerhet som krävs för att ansluta dessa enheter via Internet. En IoT Edge-enhet kan användas som en gateway och tillhandahålla säker autentisering, förhandling av krypterade sessioner, mottagande av kommandon från molnet och många andra säkerhetsfunktioner. Azure Sphere kan användas som en skyddsmodul för att skydda andra enheter, inklusive befintliga äldre system som inte är utformade för betrodd anslutning.

Anslutningssäkerhet

• Använd X.509-certifikat för att autentisera dina enheter till IoT Hub eller IoT Central: IoT Hub och IoT Central stöder både X509-certifikatbaserad autentisering och säkerhetstoken som metoder för en enhet att autentisera. Använd om möjligt X509-baserad autentisering i produktionsmiljöer eftersom det ger större säkerhet. Mer information finns i Autentisera en enhet till IoT Hub och Enhetsautentiseringsbegrepp i IoT Central.

• Använd TLS (Transport Layer Security) 1.2 för att skydda anslutningar från enheter: IoT Hub och IoT Central använder TLS för att skydda anslutningar från IoT-enheter och -tjänster. Tre versioner av TLS-protokollet stöds för närvarande: 1.0, 1.1 och 1.2. TLS 1.0 och 1.1 anses vara äldre. Mer information finns i TLS-stöd (Transport Layer Security) i IoT Hub - och TLS-stöd i Azure IoT Hub Device Provisioning Service (DPS).

• Se till att du har ett sätt att uppdatera TLS-rotcertifikatet på dina enheter: TLS-rotcertifikaten är långlivade, men de kan fortfarande upphöra att gälla eller återkallas. Om det inte finns något sätt att uppdatera certifikatet på enheten kanske enheten inte kan ansluta till IoT Hub, IoT Central eller någon annan molntjänst vid ett senare tillfälle. Mer information finns i Så här distribuerar du X.509-enhetscertifikat.

• Överväg att använda Azure Private Link: Med Azure Private Link kan du ansluta dina enheter till en privat slutpunkt i det virtuella nätverket, så att du kan blockera åtkomsten till din IoT Hubs offentliga enhetsuppkopplade slutpunkter. Mer information finns i Inkommande anslutning till IoT Hub med azure private link och nätverkssäkerhet för IoT Central med hjälp av privata slutpunkter.

Molnsäkerhet

• Följ en säker metod för programvaruutveckling: Utvecklingen av säker programvara kräver att du överväger säkerhet från starten av projektet hela vägen genom implementering, testning och distribution. Microsoft Security Development Lifecycle tillhandahåller en stegvis metod för att skapa säker programvara.

• Välj programvara med öppen källkod med försiktighet: Programvara med öppen källkod ger en möjlighet att snabbt utveckla lösningar. När du väljer programvara med öppen källkod bör du överväga communityns aktivitetsnivå för varje komponent med öppen källkod. En aktiv community ser till att programvara stöds och att problem identifieras och åtgärdas. Ett obskyrt och inaktivt programvaruprojekt med öppen källkod kanske inte stöds och problem identifieras sannolikt inte.

• Integrera med försiktighet: Det finns många säkerhetsbrister för programvara vid gränsen för bibliotek och API:er. Funktioner som kanske inte krävs för den aktuella distributionen kan fortfarande vara tillgängliga via ett API-lager. Se till att kontrollera alla gränssnitt för komponenter som är integrerade för säkerhetsbrister för att säkerställa den övergripande säkerheten.

• Skydda molnautentiseringsuppgifter: En angripare kan använda de autentiseringsuppgifter för molnautentisering som du använder för att konfigurera och använda din IoT-distribution för att få åtkomst till och kompromettera ditt IoT-system. Skydda autentiseringsuppgifterna genom att ändra lösenordet ofta och använd inte dessa autentiseringsuppgifter på offentliga datorer.

• Definiera åtkomstkontroller för din IoT-hubb: Förstå och definiera vilken typ av åtkomst varje komponent i din IoT Hub-lösning behöver baserat på de funktioner som krävs. Det finns två sätt att bevilja behörigheter för tjänst-API:er för att ansluta till din IoT-hubb: Microsoft Entra-ID eller signaturer för delad åtkomst. Om möjligt kan du använda Microsoft Entra-ID i produktionsmiljöer eftersom det ger större säkerhet.

• Definiera åtkomstkontroller för ditt IoT Central-program: Förstå och definiera den typ av åtkomst som du aktiverar för ditt IoT Central-program. Mer information finns i:

  • Hantera användare och roller i ditt IoT Central-program
  • Hantera IoT Central-organisationer
  • Använda granskningsloggar för att spåra aktivitet i ditt IoT Central-program
  • Autentisera och auktorisera IoT Central REST API-anrop

• Definiera åtkomstkontroller för serverdelstjänster: Andra Azure-tjänster kan använda data som ditt IoT-hubb- eller IoT Central-program matar in från dina enheter. Du kan dirigera meddelanden från dina enheter till andra Azure-tjänster. Förstå och konfigurera lämpliga åtkomstbehörigheter för IoT Hub eller IoT Central för att ansluta till dessa tjänster. Mer information finns i:

  • Läsa meddelanden från enhet till moln från den inbyggda IoT Hub-slutpunkten
  • Använda IoT Hub-meddelanderoutning för att skicka meddelanden från enhet till moln till olika slutpunkter
  • Exportera IoT Central-data
  • Exportera IoT Central-data till ett säkert mål i ett virtuellt Azure-nätverk

• Övervaka din IoT-lösning från molnet: Övervaka den övergripande hälsan för din IoT-lösning med hjälp av IoT Hub-måtten i Azure Monitor eller Övervaka IoT Central-programmets hälsotillstånd.

• Konfigurera diagnostik: Övervaka dina åtgärder genom att logga händelser i din lösning och sedan skicka diagnostikloggarna till Azure Monitor. Mer information finns i Övervaka och diagnostisera problem i din IoT-hubb.

Nästa steg

Mer information om IoT-säkerhet finns i:

• Azure-säkerhetsbaslinje för Azure Arc-aktiverade Kubernetes
• Begrepp för att skydda din molnbaserade arbetsbelastning
• Azure-säkerhetsbaslinje för Azure IoT Hub
• Säkerhetsguide för IoT Central
• Välarkitekterat ramverksperspektiv på Azure IoT Hub