指定 IoT 工作負載的安全性需求
本單元摘要說明適用於 IoT Hub 的 Azure 安全性基準,協助您建立 IoT 工作負載的新需求規格。
如需有關 Microsoft 雲端安全性基準的更多背景資訊,請參閱 Microsoft 網路安全性參考架構和雲端安全性基準的簡介。
我們已在下表中包含完整基準的控制項,其中:
- 「支援」但預設「未」啟用的安全性控制項
- 有明確指引,其中包含客戶要採取的動作
| 區域 | 控制 | 功能 | 指導方針摘要 |
|---|---|---|---|
| 網路安全性 | NS-2:使用網路控制保護雲端服務 | Azure Private Link | 針對支援 Private Link 功能的所有 Azure 資源部署私人端點,以建立資源的私人存取點。 |
| NS-2:使用網路控制保護雲端服務 | 停用公用網路存取 | 使用服務層級 IP ACL 篩選規則或切換存取公用網路的開關來停用存取公用網路。 | |
| 身分識別管理 | IM-1:使用集中式身分識別和驗證系統 | 資料平面存取的本機驗證方法 | 限制對資料平面存取使用本機驗證方法。 請改用 Microsoft Entra ID 作為預設的驗證方法,以控制您的資料平面存取。 |
| IM-3:安全且自動地管理應用程式身分識別 | 受控識別 | 盡可能使用 Azure 受控識別,而不是服務主體,前者可向支援 Microsoft Entra 驗證的 Azure 服務和資源進行驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。 | |
| 服務主體 | 這項功能設定目前沒有 Microsoft 指導方針。 請檢閱並判斷您的組織是否想要設定這項安全性功能。 | ||
| IM-7:根據條件限制資源存取 | 資料平面的條件式存取 | 在工作負載中定義 Microsoft Entra 條件式存取的適用條件和準則。 | |
| 特殊權限存取 | PA-7:遵循剛好足夠的系統管理 (最低權限) 準則 | 適用於資料平面的 Azure RBAC | 使用 Azure AD 和 RBAC,IoT 中樞需要要求 API 的主體具有適當層級的授權權限。 若要為主體提供權限,可為其提供角色指派。 |
| 資料保護 | DP-6:使用安全金鑰管理程序 | Azure Key Vault 中的金鑰管理 | 使用 Azure 金鑰保存庫來建立和控制加密金鑰的生命週期,包括金鑰產生、散發和儲存。 根據定義的排程或在金鑰淘汰或洩露時,輪替和撤銷您在 Azure Key Vault 和服務中的金鑰。 |
| 資產管理 | AM-2:僅使用核准的服務 | Azure 原則支援 | 使用適用於雲端的 Microsoft Defender 來設定Azure 原則,以稽核及強制執行 Azure 資源的設定。 |
| 記錄和威脅偵測 | LT-4:啟用安全性調查的記錄 | Azure 資源記錄 | 啟用服務的資源記錄。 |