为 IoT 工作负载指定安全要求
本单元总结了适用于 IoT 中心的 Azure 安全基线,以帮助你为 Web 工作负载创建新的要求规范。
有关 Microsoft Cloud 安全基准的更多背景信息,请参阅 Microsoft 网络安全参考体系结构和云安全基准简介。
在下表中,我们包含了完整基线中的控件,其中:
- 安全控件受支持,但默认情况下未启用
- 有明确的指导,其中包含了客户要采取的操作
| 区域 | 控制 | 功能 | 指南摘要 |
|---|---|---|---|
| 网络安全 | NS-2:使用网络控制保护云服务 | Azure 专用链接 | 为所有支持专用链接功能的 Azure 资源部署专用终结点,来为这些资源建立专用接入点。 |
| NS-2:使用网络控制保护云服务 | 禁用公用网络访问 | 通过使用服务级别 IP ACL 筛选规则或公用网络访问的切换开关来禁用公用网络访问。 | |
| 身份管理 | IM-1:使用集中式标识和身份验证系统 | 数据平面访问的本地身份验证方法 | 限制对数据平面访问使用本地身份验证方法。 相反,请改用 Microsoft Entra ID 作为默认身份验证方法来控制数据平面访问。 |
| IM-3:安全且自动地管理应用程序标识 | 托管标识 | 尽可能使用 Azure 托管标识而不是服务主体,这可以对支持 Microsoft Entra 身份验证的 Azure 服务和资源进行身份验证。 托管标识凭据由平台完全托管、轮换和保护,避免了在源代码或配置文件中使用硬编码凭据。 | |
| 服务主体 | Microsoft 目前未提供用于此功能配置的指导。 请检查并确定你的组织是否要配置此安全功能。 | ||
| IM-7:根据条件限制资源访问 | 数据平面的条件访问 | 定义工作负载中 Microsoft Entra 条件访问的适用条件和标准。 | |
| 特权访问 | PA-7:遵循 Just Enough Administration(最小特权)原则 | 用于数据平面的 Azure RBAC | 使用 Azure AD 和 RBAC,IoT 中心要求请求 API 的主体具有适当级别的授权权限。 若要为主体授予权限,需为该主体分配角色。 |
| 数据保护 | DP-6:使用安全密钥管理流程 | Azure 密钥保管库中的密钥管理 | 使用 Azure 密钥保管库创建和控制加密密钥的生命周期,包括密钥生成、分发和存储。 根据定义的计划或在密钥停用或泄露时,在 Azure 密钥保管库和服务中轮换和撤销密钥。 |
| 资产管理 | AM-2:仅使用已获批准的服务 | Azure Policy 支持 | 使用 Microsoft Defender for Cloud 配置 Azure Policy,以审核和强制实施 Azure 资源的配置。 |
| 日志记录和威胁检测 | LT-4:启用日志记录以进行安全调查 | Azure 资源日志 | 为服务启用资源日志。 |