IoT 解決方案的安全性最佳做法

本概觀介紹了保護典型 Azure IoT 解決方案方面的重要概念。 每一節都包含可提供進一步詳細資料和指引的內容連結。

以邊緣為基礎的解決方案

下圖顯示一般邊緣型IoT解決方案中元件的高階檢視。 本文著重於邊緣型IoT解決方案的安全性：

您可以將邊緣型IoT解決方案中的安全性分成下列三個區域：

• 資產安全性：保護您想要管理、監視及收集數據的實體或虛擬專案。

• 線上安全性：確保資產、邊緣和雲端服務之間的傳輸中所有數據都是機密且防竄改的。

• 邊緣安全性：在數據移動時保護數據，並儲存在邊緣中。

• 雲端安全性：保護資料在雲端移動和儲存的安全性。

通常，在以邊緣為基礎的解決方案上，您想要使用 Azure 安全性功能來保護端對端作業。 Azure IoT 作業具有內建的安全性功能，例如已啟用 Azure Arc 的 Kubernetes 叢集上的秘密管理、憑證管理和安全設定。 當 Kubernetes 叢集連線到 Azure 時，會起始對 Azure 的輸出連線，使用業界標準 SSL 來保護傳輸中的數據，並啟用數個其他安全性功能，例如：

• 使用適用於容器的 Azure 監視器來檢視並監視您的叢集。
• 使用 適用於容器的 Defender Microsoft 強制執行威脅防護。
• 透過套用原則 (包含適用於 Kubernetes 的 Azure 原則) 來確保治理。
• 從任何地方授與存取權並連線到 Kubernetes 叢集，並使用叢集上的 Azure 角色型存取控制 （Azure RBAC） 來管理存取權。

適用於IoT和適用於容器的Defender Microsoft

Microsoft適用於IoT的Defender是專為識別IoT和作業技術 （OT） 裝置、弱點和威脅而建置的統一安全性解決方案。 適用於容器的 Microsoft Defender 是一種雲端原生解決方案，可改善、監視和維護容器化資產 (Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等) 的安全性，以及其跨多雲端和內部部署環境之應用程式的安全性。

適用於 IoT 的 Defender 和適用於容器的 Defender 都可以自動監視本文中包含的一些建議。 適用於IoT的Defender和適用於容器的Defender應該是防禦的前線，以保護邊緣式解決方案。 若要深入了解，請參閱：

• 適用於容器的 Microsoft Defender - 概觀
• 適用於組織的 Microsoft 適用於 IoT 的 Defender - 概觀。

資產安全性

• 秘密管理：使用 Azure 金鑰保存庫 來儲存和管理資產的敏感性資訊，例如密鑰、密碼、憑證和秘密。 Azure IoT 作業會使用 Azure 金鑰保存庫 作為雲端上的受控保存庫解決方案，並使用適用於 Kubernetes 的 Azure 金鑰保存庫 秘密存放區擴充功能，將秘密從雲端同步處理，並將其儲存在邊緣作為 Kubernetes 秘密。 若要深入瞭解，請參閱 管理 Azure IoT 作業部署的秘密。

• 憑證管理：管理憑證對於確保資產與邊緣運行時間環境之間的安全通訊至關重要。 Azure IoT 作業提供管理憑證的工具，包括發行、更新和撤銷憑證。 若要深入瞭解，請參閱 Azure IoT 作業內部通訊的憑證管理。

• 針對資產選取防竄改硬體：選擇具有內建機制的資產硬體來偵測實體竄改，例如開啟裝置封面或移除裝置的一部分。 這些竄改訊號可以是上傳至雲端的數據流的一部分，向作員發出這些事件的警示。

• 啟用資產韌體的安全更新：使用可為您的資產啟用無線更新的服務。 使用安全路徑建置資產，以確保韌體版本的更新和密碼編譯保證，以在更新期間和之後保護您的資產。

• 安全地部署資產硬體：確保資產硬體部署盡可能防竄改，特別是在不安全的位置，例如公用空間或未監督的地區設定。 只啟用必要的功能，以將實體攻擊使用量降到最低，例如，如果不需要，請安全地涵蓋USB埠。

• 遵循裝置製造商安全性和部署最佳做法：如果裝置製造商提供安全性和部署指引，除了本文所列的一般指引之外，也請遵循該指引。

連線安全性

• 使用傳輸層安全性 （TLS） 來保護資產的連線：Azure IoT 作業中的所有通訊都會使用 TLS 加密。 為了提供安全默認體驗，以將邊緣型解決方案無意中暴露給攻擊者，Azure IoT 作業會使用預設根 CA 和 TLS 伺服器證書的簽發者來部署。 針對生產部署，我們建議使用您自己的 CA 簽發者和企業 PKI 解決方案。

• 請考慮使用企業防火牆或 Proxy 來管理輸出流量：如果您使用企業防火牆或 Proxy，請將 Azure IoT 作業端點 新增至您的允許清單。

• 加密訊息代理程序的內部流量：確保邊緣基礎結構內部通訊的安全性對於維護數據完整性和機密性很重要。 您應該設定 MQTT 訊息代理程式，以加密 MQTT 訊息代理程式前端與後端 Pod 之間的傳輸中內部流量和數據。 若要深入瞭解，請參閱 設定訊息代理程序內部流量和內部憑證的加密。

• 為 MQTT 訊息代理程式中的接聽程式設定具有自動憑證管理的 TLS：Azure IoT 作業可為 MQTT 訊息代理程式中的接聽程式提供自動憑證管理。 這樣可減少手動管理憑證的系統管理額外負荷、確保及時更新，並協助維護安全策略的合規性。 若要深入瞭解，請參閱 使用 BrokerListener 保護 MQTT 訊息代理程序通訊。

• 設定與 OPC UA 伺服器的安全連線：連線到 OPC UA 伺服器時，您應該判斷信任哪些 OPC UA 伺服器可安全地建立會話。 若要深入瞭解，請參閱 為 OPC UA 的連接器設定 OPC UA 憑證基礎結構。

Edge 安全性

• 讓邊緣運行時間環境保持最新狀態：使用最新的修補程式和次要版本，讓您的叢集和 Azure IoT 作業部署保持最新狀態，以取得所有可用的安全性和錯誤修正。 針對生產環境部署， 請關閉 Azure Arc 的自動升級，以完全控制何時將新更新套用至您的叢集。 相反地， 請視需要手動升級代理程式 。

• 確認 docker 和 helm 映射的完整性：將任何映射部署至叢集之前，請確認映射已由Microsoft簽署。 若要深入瞭解，請參閱 驗證映像簽署。

• 一律使用 X.509 憑證或 Kubernetes 服務帳戶令牌向 MQTT 訊息代理程式進行驗證：MQTT 訊息代理程式支援用戶端的多個驗證方法。 您可以將每個接聽程式埠設定為使用 BrokerAuthentication 資源有自己的驗證設定。 若要深入瞭解，請參閱 設定 MQTT 訊息代理程序驗證。

• 提供 MQTT 訊息代理程式中主題資產所需的最低許可權：授權原則會決定用戶端可以在訊息代理程式上執行的動作，例如連線、發佈或訂閱主題。 將 MQTT 訊息代理程式設定為搭配 BrokerAuthorization 資源使用一或多個授權原則。 若要深入瞭解，請參閱 設定 MQTT 訊息代理程序授權。

• 使用 Azure IoT 分層網路管理設定隔離網路環境（預覽版）：Azure IoT 分層網路管理（預覽）是一個元件，可協助 Azure 與隔離網路環境中的叢集之間的連線。 在產業案例中，隔離的網路會遵循 ISA-95/Purdue 網路架構。 若要深入瞭解，請參閱 什麼是 Azure IoT 分層網路管理（預覽版）？。

雲端安全性

• 針對雲端聯機使用使用者指派的受控識別：一律使用受控識別驗證。 可能的話， 請在數據流端點中使用使用者指派的受控識別 ，以彈性和可稽核性。

• 部署可檢視性資源並設定記錄：可檢視性可讓您查看 Azure IoT 作業設定的每個層。 它可讓您深入解析問題的實際行為，進而提升網站可靠性工程的效益。 Azure IoT 作業可透過裝載在 Azure 中的自訂策展 Grafana 儀錶板來提供可檢視性。 這些儀錶板由適用於 Prometheus 的 Azure 監視器受管理服務和 Container Insights 技術支援。 在部署 Azure IoT 作業之前，先在叢集上部署可觀察性資源 。

• 使用 Azure RBAC 保護資產和資產端點的存取：Azure IoT Operations 中的資產和資產端點在 Kubernetes 叢集和 Azure 入口網站 中都有表示法。 您可以使用 Azure RBAC 來保護對這些資源的存取。 Azure RBAC 是一種授權系統，可讓您管理 Azure 資源的存取權。 您可以使用 Azure RBAC 來將權限授與特定範圍的使用者、群組及應用程式。 若要深入瞭解，請參閱 保護資產和資產端點的存取。

雲端式解決方案

下圖顯示典型雲端式IoT解決方案中元件的高階檢視。 本文著重於雲端式IoT解決方案的安全性：

您可以將雲端式IoT解決方案中的安全性分成下列三個區域：

• 裝置安全性：在 IoT 裝置部署在網路上時保護裝置。

• 連線安全性︰確保在 IoT 裝置與 IoT 雲端服務之間傳輸的所有資料均有加密並防止竄改。

• 雲端安全性：保護資料在雲端移動和儲存的安全性。

實作本文中的建議，可協助您履行共同責任模型中所述的安全性義務。

適用於 IoT 的 Microsoft Defender

適用於 IoT 的 Microsoft Defender 可自動監視本文中包含的部分建議。 Microsoft適用於IoT的Defender應該是防禦的第一線，以保護雲端式解決方案。 適用於 IoT 的 Microsoft Defender 會定期分析 Azure 資源的安全性狀態，以找出潛在的安全性弱點。 然後它會提供您如何補救這些問題的建議。 若要深入了解，請參閱：

• 使用安全性建議增強安全性態勢。
• 對於組織來說，什麼是適用於 IoT 的 Microsoft Defender？。
• 對於裝置建立器來說，什麼是適用於 IoT 的 Microsoft Defender？。

裝置安全性

• 設定符合最小需求的硬體範圍：選取您的裝置硬體，以包含其運作時所需的最少功能，僅此而已。 例如，僅在解決方案中的裝置運作需要 USB 連接埠時，才包含這些連接埠。 額外的功能可能會使裝置遭受不必要的媒介攻擊。

• 選取具備防竄改功能的硬體：選取內建機制可偵測實體竄改的裝置硬體，例如打開裝置外蓋或移除裝置零件。 這些竄改訊號可以是上傳至雲端的資料流一部分，從而向操作員發出這些事件的警示。

• 選取安全硬體：如果可能，請選擇包含安全性功能的裝置硬體，例如根據 信任平台模組的安全和加密記憶體和開機功能。 這些功能可讓裝置更安全，有助於保護整體 IoT 的基礎結構。

• 啟用安全更新：針對IoT裝置的無線更新，使用裝置更新等服務進行 IoT 中樞。 建置具有更新安全路徑的裝置，以及韌體版本的密碼編譯保證，以在更新期間和之後保護您的裝置。

• 依循安全軟體開發方法：安全軟體開發需求您從專案一開始時就考慮安全性，一直到完成專案的實作、測試及部署。 Microsoft 安全性開發生命週期提供建置安全軟體的逐步建置方法。

• 盡可能使用裝置 SDK：裝置 SDK 會實作各種安全性功能，例如加密和驗證，其會協助您開發強固且安全的裝置應用程式。 若要深入了解，請參閱 Azure IoT SDK。

• 小心選擇開放原始碼軟體：開放原始碼軟體可提供快速開發解決方案的機會。 選擇開放原始碼軟體時，請考量每個開放原始碼元件的社群活動層級。 活躍的社群可確保軟體受到支援，且能發現問題並加以解決。 可能不支援晦澀難懂或不活躍的開放原始碼軟體專案，也可能無法探索到問題。

• 安全地部署硬體：IoT 部署可能會要求您將硬體部署在不安全的位置，例如公共空間或不受監督的區域。 在這種情況下，請確定硬體部署盡可能防竄改，而且只啟用必要的功能，以將實體攻擊使用量降到最低。 例如，如果硬體具有 USB 連接埠，請確定其受到安全保護。

• 維護驗證金鑰安全：在部署期間，每個裝置都需要由雲端服務所產生的裝置識別碼和關聯的驗證金鑰。 讓這些金鑰在實體上保持安全，並使用 可更新的認證。 惡意裝置可以使用任何洩漏的金鑰來偽裝成現有的裝置。

• 讓系統維持在最新狀態：確保裝置的作業系統和所有裝置驅動程式都已升級至最新版本。 將作業系統維持在最新狀態有助於確保其受到保護，以避免遭到惡意攻擊。

• 防範惡意活動：如果作系統允許，請在每個裝置作系統上安裝最新的防毒和反惡意代碼功能。

• 經常稽核：回應安全性事件時，針對安全性相關問題稽核 IoT 基礎結構是關鍵所在。 大部分的作業系統會提供內建事件記錄，您應經常加以檢閱以確保沒有發生安全性缺口。 裝置可將稽核資訊以個別遙測資料流的方式傳送至雲端服務，並在其中加以分析。

• 遵循裝置製造商安全性和部署最佳做法：如果裝置製造商提供安全性和部署指引，除了本文所列的一般指引之外，也請遵循該指引。

• 使用現場閘道為舊版或受限裝置提供安全性服務：舊版和受限裝置可能缺乏加密資料、與網際網路連線或提供進階稽核的功能。 在這些情況下，使用現代化且安全的場域閘道器可彙總來自舊型裝置的資料，並提供透過網際網路連線這些裝置時所需的安全性。 IoT Edge 裝置可作為閘道，並提供安全驗證、加密會話交涉、從雲端接收命令，以及其他許多安全性功能。 Azure Sphere 可作為守護者模組來保護其他裝置，包括專為受信任連線而設計的現有舊版系統。

連線安全性

• 使用 X.509 憑證向 IoT 中樞或 IoT Central 驗證您的裝置：IoT 中樞和 IoT Central 都支援 X509 憑證型驗證和安全性權杖作為驗證裝置的方法。 可能的話，請在實際執行環境中使用 X509 型驗證，因為其可提供更高的安全性。 若要深入了解，請參閱向 IoT 中樞驗證裝置和 IoT Central 中的裝置驗證概念。

• 使用傳輸層安全性 (TLS) 1.2 來保護來自裝置的連線：IoT 中樞和 IoT Central 會使用 TLS 來保護來自 IoT 裝置和服務的連線。 目前支援三種 TLS 通訊協定版本：1.0、1.1 和 1.2。 TLS 1.0 和 1.1 會被視為舊版。 若要深入了解，請參閱 IoT 中樞的傳輸層安全性 (TLS) 支援，以及 Azure IoT 中樞裝置佈建服務 (DPS) 中的 TLS 支援。

• 確定您有辦法更新裝置上的 TLS 根證書：TLS 根證書會長期存在，但仍可能會過期或撤銷。 如果沒有方法更新裝置上的憑證，則裝置日後可能無法連線到 IoT 中樞、IoT Central 或任何其他雲端服務。 若要深入瞭解，請參閱 如何變換 X.509 裝置憑證。

• 考慮使用 Azure Private Link：Azure Private Link 可讓您將裝置連線到虛擬網路上的私人端點，讓您可以封鎖對 IoT 中樞公用面向裝置端點的存取。 若要深入了解，請參閱使用 Azure Private Link 輸入連線到 IoT 中樞和使用私人端點的 IoT Central 網路安全性。

雲端安全性

• 依循安全軟體開發方法：安全軟體開發需求您從專案一開始時就考慮安全性，一直到完成專案的實作、測試及部署。 Microsoft 安全性開發生命週期提供建置安全軟體的逐步建置方法。

• 小心選擇開放原始碼軟體：開放原始碼軟體可提供快速開發解決方案的機會。 選擇開放原始碼軟體時，請考量每個開放原始碼元件的社群活動層級。 活躍的社群可確保軟體受到支援，且能發現問題並加以解決。 可能不支援晦澀難懂或不活躍的開放原始碼軟體專案，也可能無法探索到問題。

• 小心整合：程式庫和 API 的界限中存在許多軟體安全性問題。 目前部署中不需要的功能仍可能透過 API 層使用。 若要確保整體安全性，請務必檢查所有整合元件介面的安全性問題。

• 保護雲端認證：攻擊者可以使用您用來設定及操作 IoT 部署的雲端驗證認證，以取得 IoT 系統的存取權並入侵該系統。 您可以透過經常變更密碼來保護認證，並且不要在公用電腦上使用這些認證。

• 定義 IoT 中樞的存取控制：了解並定義 IoT 中樞解決方案中每個元件根據必要功能所需的存取類型。 有兩種方式可讓您授與服務 API 連線到 IoT 中樞的權限：Microsoft Entra ID 或共用存取簽章。 可能的話，請在生產環境中使用 Microsoft Entra ID，因為它可提供更高的安全性。

• 定義 IoT Central 應用程式的存取控制：了解並定義您為 IoT Central 應用程式啟用的存取類型。 若要深入了解，請參閱：

  • 管理 IoT Central 應用程式中的使用者和角色
  • 管理 IoT Central 組織 (部分機器翻譯)
  • 使用稽核記錄來追蹤 IoT Central 應用程式中的活動
  • 如何驗證和授權 IoT Central REST API 呼叫

• 定義後端服務的存取控制：其他 Azure 服務可以取用 IoT 中樞或 IoT Central 應用程式從裝置擷取的資料。 您可以將訊息從裝置路由至其他 Azure 服務。 了解並設定適當的存取權限，讓 IoT 中樞或 IoT Central 連線到這些服務。 若要深入了解，請參閱：

  • 從 IoT 中樞內建端點讀取裝置到雲端訊息
  • 使用 IoT 中樞訊息路由將裝置到雲端訊息傳送到不同的端點
  • 匯出 IoT Central 資料
  • 將 IoT Central 資料匯出至 Azure 虛擬網路上的安全目的地

• 從雲端監視 IoT 解決方案：使用 Azure 監視器中的 IoT 中樞計量來監視 IoT 解決方案的整體健康情況，或監視 IoT Central 應用程式健康情況。

• 設定診斷：藉由將事件記錄在您的解決方案中，然後將診斷記錄傳送至 Azure 監視器，來監視您的作業。 若要深入了解，請參閱監視和診斷 IoT 中樞的問題。

下一步

如需深入了解 IoT 安全性，請參閱：

• 已啟用 Azure Arc 的 Azure 安全性基準 Kubernetes
• 保護雲端原生工作負載安全的概念
• 適用於 Azure IoT 中樞的 Azure 安全性基準
• IoT Central 安全性指南
• 架構完善的架構觀點，瞭解 Azure IoT 中樞