Protección de las soluciones de IoT

En el diagrama siguiente se muestra una vista general de los componentes en una solución típica de IoT conectada al perímetro. Este artículo se centra en la seguridad de una solución ioT conectada perimetralmente:

En una solución de IoT conectada perimetralmente, puede dividir la seguridad en las cuatro áreas siguientes:

• Seguridad de los recursos: proteja el recurso de IoT mientras se implementa en el entorno local.

• Seguridad de conexión: asegúrese de que todos los datos en tránsito entre el recurso, el borde y los servicios en la nube son confidenciales y a prueba de alteraciones.

• Seguridad en los bordes: Proteja sus datos mientras se trasladan y se almacenan en los bordes.

• Seguridad en la nube: proteja los datos a medida que se mueve y se almacena en la nube.

Microsoft Defender para IoT y para contenedores

Microsoft Defender para IoT es una solución de seguridad unificada creada específicamente para identificar dispositivos ioT y tecnología operativa (OT), vulnerabilidades y amenazas. Microsoft Defender para contenedores es una solución nativa de la nube para mejorar, supervisar y mantener la seguridad de los recursos en contenedores (clústeres de Kubernetes, nodos de Kubernetes, cargas de trabajo de Kubernetes, registros de contenedor, imágenes de contenedor, etc.) y sus aplicaciones, en entornos multinube y locales.

Tanto Defender para IoT como Defender para contenedores pueden supervisar automáticamente algunas de las recomendaciones incluidas en este artículo. Defender para IoT y Defender para contenedores deben actuar como la primera línea de defensa para proteger la solución conectada al borde. Para obtener más información, consulte:

• Microsoft Defender for Containers: información general
• Microsoft Defender para IoT para organizaciones: información general.

Seguridad de recursos

En esta sección se proporcionan instrucciones sobre cómo proteger los recursos, como equipos industriales, sensores y otros dispositivos que forman parte de la solución de IoT. La seguridad del recurso es fundamental para garantizar la integridad y confidencialidad de los datos que genera y transmite.

• Usa Azure Key Vault y la extensión del almacén de secretos: Usa Azure Key Vault para almacenar y administrar la información confidencial del activo, como claves, contraseñas, certificados y secretos. Operaciones de IoT de Azure usa Azure Key Vault como solución de almacén administrado en la nube y usa la extensión Azure Key Vault Secret Store para Kubernetes para sincronizar los secretos desde la nube y almacenarlos en el nivel de perímetro como secretos de Kubernetes. Para obtener más información, consulte Administrar secretos para la implementación de Operaciones de IoT de Azure.

• Configuración de la administración segura de certificados: la administración de certificados es fundamental para garantizar la comunicación segura entre los recursos y el entorno de tiempo de ejecución perimetral. Operaciones de IoT de Azure proporciona herramientas para administrar certificados, incluida la emisión, renovación y revocación de certificados. Para obtener más información, consulte la administración de certificados para la comunicación interna de Operaciones de IoT de Azure.

• Seleccionar hardware de prueba de alteraciones: elija hardware de recursos con mecanismos integrados para detectar alteraciones físicas, como la apertura de la cubierta del dispositivo o la eliminación de una parte del dispositivo. Estas señales de manipulación pueden formar parte del flujo de datos cargado en la nube, lo que alerta a los operadores de estos eventos.

• Habilitar actualizaciones seguras para el firmware del recurso: use servicios que habilitan actualizaciones inalámbricas para los recursos. Cree recursos con rutas de acceso seguras para actualizaciones y garantía criptográfica de las versiones de firmware para proteger los recursos durante y después de las actualizaciones.

• Desplegar hardware de activos de manera segura: Asegúrese de que el despliegue de hardware de activos sea lo más resistente a la manipulación posible, especialmente en ubicaciones no seguras como espacios públicos o lugares no supervisados. Solo habilite las características necesarias para minimizar la superficie de ataque físico, como cubrir de forma segura los puertos USB si no son necesarios.

• Siga los procedimientos recomendados de seguridad e implementación del fabricante de dispositivos: si el fabricante del dispositivo proporciona instrucciones de seguridad e implementación, siga esa guía junto con las instrucciones generales de este artículo.

Seguridad de conexión

En esta sección se proporcionan instrucciones sobre cómo proteger las conexiones entre los recursos, el entorno de tiempo de ejecución perimetral y los servicios en la nube. La seguridad de las conexiones es fundamental para garantizar la integridad y confidencialidad de los datos transmitidos.

• Use la seguridad de la capa de transporte (TLS) para proteger las conexiones de los recursos: toda la comunicación dentro de Operaciones de IoT de Azure se cifra mediante TLS. Para proporcionar una experiencia segura de forma predeterminada que minimiza la exposición involuntaria de la solución conectada al perímetro a los atacantes, Operaciones de IoT de Azure se implementa con una CA raíz predeterminada y un emisor para los certificados de servidor TLS. Para una implementación de producción, se recomienda usar su propio emisor de entidad de certificación y una solución PKI empresarial.

• Utilice su propia autoridad de certificación para producción: en el caso de las implementaciones de producción, reemplace la CA raíz autofirmada predeterminada, por su propio emisor de CA e integre con una PKI empresarial para garantizar la confianza y el cumplimiento. Para obtener más información, consulte la gestión de certificados para la comunicación interna de Operaciones de IoT de Azure.

• Considere usar firewalls de empresa o servidores proxy para administrar el tráfico saliente: Si utiliza firewalls de empresa o servidores proxy, agregue los puntos de conexión de Operaciones de IoT de Azure a su lista de permitidos.

• Cifrar el tráfico interno del agente de mensajes: garantizar la seguridad de las comunicaciones internas dentro de la infraestructura de borde es importante para mantener la integridad y la confidencialidad de los datos. Debe configurar el corredor MQTT para cifrar el tráfico interno y los datos en tránsito entre el front-end del corredor MQTT y los pods de back-end. Para obtener más información, consulte Configuración del cifrado del tráfico interno del corredor y certificados internos.

• Configurar TLS con gestión automática de certificados para escuchadores en su servidor MQTT: Operaciones de IoT de Azure proporciona gestión automática de certificados para los escuchadores en su servidor MQTT. Esta funcionalidad reduce la sobrecarga administrativa de administrar manualmente los certificados, garantiza renovaciones oportunas y ayuda a mantener el cumplimiento de las directivas de seguridad. Para obtener más información, consulte Comunicación de corredor MQTT seguro mediante BrokerListener.

• Configurar una conexión segura con el servidor OPC UA: al conectarse a un servidor OPC UA, debe determinar con qué servidores de OPC UA confía para establecer de forma segura una sesión. Para obtener más información, consulte Configurar la infraestructura de los certificados de OPC UA para el conector para OPC UA.

• Aislar y segmentar redes: use la segmentación de red y los firewalls para aislar los clústeres de IoT Operations y los dispositivos perimetrales de otros recursos de red. Agregue los puntos de conexión necesarios a la lista de permitidos si usa firewalls de empresa o servidores proxy. Para más información, consulte Directrices de implementación de producción: redes.

Seguridad de borde

En esta sección se proporcionan instrucciones sobre cómo proteger el entorno de tiempo de ejecución perimetral, que es el software que se ejecuta en la plataforma perimetral. Este software procesa los datos de los recursos y administra la comunicación entre los recursos y los servicios en la nube. La seguridad del entorno de tiempo de ejecución perimetral es fundamental para garantizar la integridad y confidencialidad de los datos procesados y transmitidos.

• Mantén el entorno de ejecución en el borde actualizado: Mantén tu clúster y la implementación de Operaciones de IoT de Azure actualizados con los últimos parches y versiones menores para obtener todas las correcciones de errores y seguridad disponibles. En el caso de las implementaciones de producción, turn off autoupgrade for Azure Arc para tener control completo sobre cuándo se aplican nuevas actualizaciones al clúster. En su lugar, actualice manualmente los agentes según sea necesario.

• Verifique la integridad de las imágenes de contenedor y Helm: Antes de implementar cualquier imagen en el clúster, compruebe que la imagen está firmada por Microsoft. Para obtener más información, consulte Validar firma de imágenes.

• Use siempre certificados X.509 o tokens de cuenta de servicio de Kubernetes para la autenticación con el corredor MQTT: un corredor MQTT admite varios métodos de autenticación para los clientes. Puede configurar cada puerto de agente de escucha para tener sus propias opciones de autenticación con un recurso BrokerAuthentication. Para obtener más información, consulte Configuración de la autenticación de corredor MQTT.

• Proporcione los privilegios mínimos necesarios para el recurso de tema en el corredor MQTT: las directivas de autorización determinan qué acciones pueden realizar los clientes en el agente, como conectarse, publicar o suscribirse a temas. Configure el corredor MQTT para usar una o varias directivas de autorización con el recurso de BrokerAuthorization. Para obtener más información, consulte Configuración de la autorización del corredor MQTT.

Seguridad en la nube

En esta sección se proporcionan instrucciones sobre cómo proteger los servicios en la nube, que son los servicios que procesan y almacenan los datos de los recursos. La seguridad de los servicios en la nube es fundamental para garantizar la integridad y confidencialidad de los datos.

• Usar identidades administradas asignadas por el usuario para conexiones en la nube: use siempre la autenticación de identidad administrada. Cuando sea posible, use la identidad administrada asignada por el usuario en los puntos de conexión de flujo de datos para lograr flexibilidad y auditabilidad. Para obtener más información, consulte Configuración segura de Operaciones de IoT de Azure.

• Implementar recursos de observabilidad y configurar registros: Observabilidad proporciona visibilidad sobre cada capa de la configuración de Operaciones de IoT de Azure. Proporciona información sobre el comportamiento real de los problemas, lo que aumenta la eficacia de la ingeniería de fiabilidad del sitio. Operaciones de IoT de Azure ofrece observabilidad a través de paneles de Grafana seleccionados personalizados que se hospedan en Azure. Estos paneles están impulsados por Azure Monitor, un servicio administrado para Prometheus, y Container Insights. Implementar recursos de observabilidad en el clúster antes de implementar Operaciones de IoT de Azure.

• Acceso seguro a recursos y puntos de conexión de recursos con Azure RBAC: los recursos y los puntos de conexión de recursos de Operaciones de IoT de Azure tienen representaciones en el clúster de Kubernetes y en el portal de Azure. Use Azure RBAC para proteger el acceso a estos recursos. Azure RBAC es un sistema de autorización que permite administrar el acceso a Azure recursos. Use Azure RBAC para conceder permisos a usuarios, grupos y aplicaciones en un ámbito determinado. Para más información, consulte Acceso seguro a recursos y puntos de conexión de recursos.

En el diagrama siguiente se muestra una vista general de los componentes en una solución de IoT conectada a la nube típica. Este artículo se centra en la seguridad en una solución de IoT conectada a la nube:

En una solución de IoT conectada a la nube, puede dividir la seguridad en las tres áreas siguientes:

• Seguridad del dispositivo: proteja el dispositivo IoT mientras se implementa en el entorno local.

• Seguridad de la conexión: asegurar que todos los datos transmitidos entre el dispositivo IoT y los servicios en la nube de IoT sean confidenciales y a prueba de manipulaciones.

• Seguridad en la nube: proteja los datos a medida que se mueve y se almacena en la nube.

Las recomendaciones de este artículo le ayudarán a cumplir las obligaciones de seguridad descritas en el modelo de responsabilidad compartida.

Microsoft Defender para IoT

Microsoft Defender para IoT supervisa automáticamente algunas de las recomendaciones de este artículo. Microsoft Defender para IoT analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles vulnerabilidades de seguridad y, a continuación, ofrece recomendaciones sobre cómo abordarlos. Para obtener más información, consulte:

• ¿Qué es Microsoft Defender para IoT para organizaciones?
• ¿Qué es Microsoft Defender para IoT para los generadores de dispositivos?
• Mejorar la posición de seguridad con recomendaciones de seguridad.

Seguridad del dispositivo

En esta sección se proporcionan instrucciones sobre cómo proteger los dispositivos IoT, que son los componentes de hardware que recopilan y transmiten datos. La seguridad del dispositivo es fundamental para garantizar la integridad y confidencialidad de los datos que genera y transmite.

• Hardware de ámbito a requisitos mínimos: seleccione el hardware del dispositivo para incluir las características mínimas necesarias para su funcionamiento y nada más. Por ejemplo, solo incluya puertos USB si son necesarios para el funcionamiento del dispositivo en la solución. Las características adicionales pueden exponer el dispositivo a vectores de ataque no deseados.

• Seleccionar hardware de prueba de alteraciones: seleccione hardware de dispositivo con mecanismos integrados para detectar alteraciones físicas, como la apertura de la cubierta del dispositivo o la eliminación de una parte del dispositivo. Estas señales de manipulación pueden formar parte del flujo de datos cargado en la nube, lo que puede alertar a los operadores de estos eventos.

• Seleccionar hardware seguro: si es posible, elija hardware de dispositivo que incluya características de seguridad como almacenamiento seguro y cifrado y funcionalidad de arranque basada en un módulo de plataforma segura. Estas características crean dispositivos más seguros y ayudan a proteger la infraestructura de IoT general.

• Habilitar actualizaciones seguras: usa servicios como Device Update for IoT Hub para actualizaciones inalámbricas de tus dispositivos IoT. Cree dispositivos con rutas de acceso seguras para las actualizaciones y la garantía criptográfica de las versiones de firmware para proteger los dispositivos durante y después de las actualizaciones.

• Siga una metodología de desarrollo de software segura: el desarrollo de software seguro requiere que tenga en cuenta la seguridad desde el inicio del proyecto hasta la implantación, las pruebas y la implementación. El Ciclo de vida de desarrollo de seguridad de Microsoft proporciona un enfoque paso a paso para crear software seguro.

• Usar SDK de dispositivo siempre que sea posible: los SDK de dispositivo implementan diversas características de seguridad, como el cifrado y la autenticación que le ayudan a desarrollar aplicaciones de dispositivo sólidas y seguras. Para obtener más información, consulte Azure IoT SDK.

• Elegir software de código abierto con cuidado: el software de código abierto brinda la oportunidad de desarrollar soluciones con rapidez. Al elegir software de código abierto, considere el nivel de actividad de la comunidad para cada componente de código abierto. Una comunidad activa garantiza la compatibilidad con el software; se detectarán problemas, a los que se hará frente. Es posible que no se admita un proyecto de software de código abierto oculto e inactivo, y es probable que no se detecten problemas.

• Implementar hardware de forma segura: es posible que las implementaciones de IoT requieran implementar hardware en ubicaciones no seguras, como en espacios públicos o configuraciones regionales no supervisadas. En estas situaciones, haga que el despliegue de hardware sea lo más a prueba de manipulación posible y habilite solo las funciones necesarias para minimizar la superficie de ataque físico.

• Almacenar credenciales en módulos de seguridad de hardware (HSMs): usen HSMs para almacenar de forma segura secretos de dispositivo, como claves privadas y certificados, para proteger contra la extracción y manipulación. Para más información, consulte Autenticación X.509 de IoT Hub, Guía de HSM de DPS y Administrador de seguridad de IoT Edge.

• Rotar las claves de dispositivo y los certificados con regularidad: rota periódicamente las credenciales, especialmente después de una infracción o expiración, para minimizar el riesgo de acceso no autorizado. Para más información, consulte Cómo implementar certificados en DPS y Administración de certificados X.509 de IoT Central.

• Actualización y revisión: mantenga actualizados todos los entornos de ejecución, los SDK y los componentes del sistema operativo con las actualizaciones y revisiones de seguridad más recientes. Para más información, consulte IoT Edge guía de actualización.

• Proteger contra la actividad malintencionada: si el sistema operativo lo permite, instale las funcionalidades antivirus y antimalware más recientes en el sistema operativo de todos y cada uno de los dispositivos.

• Auditar con frecuencia: audite la infraestructura de IoT en busca de problemas de seguridad para permitirle responder a incidentes de seguridad. La mayoría de los sistemas operativos proporcionan registro de eventos integrado. Revise los registros con frecuencia para comprobar si hay infracciones de seguridad. Un dispositivo puede enviar información de auditoría como un flujo de datos independiente al servicio en la nube, donde puede analizarla.

• Siga los procedimientos recomendados de seguridad e implementación del fabricante de dispositivos: si el fabricante del dispositivo proporciona instrucciones de seguridad e implementación, siga esa guía junto con las instrucciones generales de este artículo.

• Usar una puerta de enlace de campo para proporcionar servicios de seguridad para dispositivos heredados o restringidos: los dispositivos heredados y restringidos pueden carecer de la capacidad de cifrar datos, conectarse a Internet o proporcionar auditoría avanzada. En estos casos, una puerta de enlace de campo moderna y segura puede agregar datos de dispositivos heredados y proporcionar la seguridad necesaria para conectar estos dispositivos a través de Internet. Un dispositivo IoT Edge se puede usar como puerta de enlace y proporcionar autenticación segura, negociación de sesiones cifradas, recepción de comandos de la nube y muchas otras características de seguridad. Azure Sphere puede actuar como módulo guardián para proteger otros dispositivos, incluidos los sistemas heredados existentes que no están diseñados para la conectividad de confianza.

• Encriptar datos en reposo: Utilice el cifrado a nivel del sistema operativo, como BitLocker para Windows, para el almacenamiento del dispositivo y en el borde, y así proteger los datos en caso de que los dispositivos se pierdan o sean robados. Para más información, consulte IoT Edge seguridad.

Seguridad de conexión

En esta sección se proporcionan instrucciones sobre cómo proteger las conexiones entre los dispositivos IoT y los servicios en la nube. La seguridad de las conexiones es fundamental para garantizar la integridad y confidencialidad de los datos transmitidos.

• Use certificados X.509 para autenticar los dispositivos en IoT Hub o IoT Central: IoT Hub e IoT Central admiten certificados X509 para la autenticación de dispositivos. Use la autenticación basada en X509 en entornos de producción, ya que proporciona mayor seguridad que las claves simétricas. Para más información, consulte Authenticación de un dispositivo para IoT Hub y Conceptos de autenticación de dispositivos en IoT Central.

• Evitar claves simétricas compartidas: si usa claves simétricas, no comparta claves simétricas entre dispositivos. Cada dispositivo necesita credenciales únicas para evitar un riesgo generalizado si se filtra una clave. Para más información, consulte Prácticas de seguridad para fabricantes de dispositivos.

• Use la seguridad de la capa de transporte (TLS) 1.2 para proteger las conexiones desde dispositivos: IoT Hub e IoT Central usan TLS para proteger las conexiones desde dispositivos y servicios de IoT. Actualmente se admiten tres versiones del protocolo TLS: 1.0, 1.1 y 1.2. TLS 1.0 y 1.1 se consideran heredados. Para obtener más información, consulte Compatibilidad de seguridad de la capa de transporte (TLS) en IoT Hub y TLS en Azure IoT Hub Device Provisioning Service (DPS).

• Utilice conjuntos de cifrado seguros y mantenga actualizados los certificados de CA raíz: actualice regularmente los conjuntos de cifrado y los certificados de CA raíz para mantener conexiones seguras. Para más información, consulte IoT Hub compatibilidad con TLS.

• Asegúrese de que tiene una manera de actualizar el certificado raíz TLS en los dispositivos: los certificados raíz tls duran mucho tiempo, pero pueden expirar o revocarse. Si no puede actualizar el certificado en el dispositivo, es posible que el dispositivo no pueda conectarse a IoT Hub, IoT Central ni a ningún otro servicio en la nube más adelante. Para obtener más información, consulte Cómo implementar certificados de dispositivo X.509.

• Considere usar Azure Private Link: Azure Private Link le permite conectar sus dispositivos a un punto de conexión privado en su red virtual, habilitándole para bloquear el acceso a los puntos de conexión públicos orientados a los dispositivos de su hub de IoT. Para más información, consulte conectividad de Ingress con IoT Hub mediante Azure Private Link y Seguridad de red para IoT Central mediante puntos de conexión privados.

• Restringir el acceso a la red: use el filtrado IP para limitar el acceso a redes y orígenes de confianza. Para obtener más información, consulte filtrado de IP de IoT Hub, puntos finales privados de IoT Central y filtrado de IP de DPS.

• Deshabilite el acceso a la red pública si no es necesario: evite la exposición a la red pública de Internet deshabilitando los puntos de conexión públicos cuando pueda. Para obtener más información, consulte acceso a la red pública de IoT Hub y acceso a la red pública de DPS.

• Isolate dispositivos perimetrales y servicios en segmentos de red seguros: utilice la segmentación de red y los firewalls para aislar dispositivos IoT Edge y servicios de otros recursos de red. Para obtener más información, consulte la seguridad de IoT Edge para Linux en Windows.

Seguridad en la nube

En esta sección se proporcionan instrucciones sobre cómo proteger los servicios en la nube, que son los servicios que procesan y almacenan los datos del dispositivo IoT. La seguridad de los servicios en la nube es fundamental para garantizar la integridad y confidencialidad de los datos.

• Siga una metodología de desarrollo de software segura: el desarrollo de software seguro requiere que tenga en cuenta la seguridad desde el inicio del proyecto hasta la implantación, las pruebas y la implementación. El Ciclo de vida de desarrollo de seguridad de Microsoft proporciona un enfoque paso a paso para crear software seguro.

• Elegir software de código abierto con cuidado: el software de código abierto brinda la oportunidad de desarrollar soluciones con rapidez. Al elegir software de código abierto, tenga en cuenta el nivel de actividad de la comunidad para cada componente de código abierto. Una comunidad activa garantiza la compatibilidad con el software; se detectarán problemas, a los que se hará frente. Es posible que no se admita un proyecto de software de código abierto oculto e inactivo y que no se detecten problemas.

• Integrar con cuidado: muchas de las brechas de seguridad del software aparecen en el límite de las bibliotecas y las API. Es posible que la funcionalidad que no sea necesaria para la implementación actual esté disponible a través de una capa de API. Para garantizar la seguridad general, compruebe todas las interfaces de los componentes integrados para detectar errores de seguridad.

• Proteger las credenciales en la nube: un atacante puede usar las credenciales de autenticación en la nube que usa para configurar y operar la implementación de IoT para obtener acceso y poner en peligro el sistema IoT. Proteja las credenciales cambiando la contraseña a menudo y no use estas credenciales en las máquinas públicas.

• Use Microsoft Entra ID y RBAC con IoT Hub: Use Microsoft Entra ID y Azure RBAC para el acceso a la API de servicio y administración, habilitando un control de acceso granular basado en identidades. Para obtener más información, consulte autenticación IoT Hub Entra ID y autenticación DPS Entra ID.

• Deshabilite las directivas de acceso compartido si no es necesario: reduzca la superficie expuesta a ataques deshabilitando las directivas de acceso compartido y los tokens cuando no los necesite. Para obtener más información, consulte IoT Hub directivas de acceso compartido.

• Definir controles de acceso para la aplicación de IoT Central: comprenda y defina el tipo de acceso que habilite para la aplicación de IoT Central. Para obtener más información, consulte:

  • Administrar usuarios y roles en la aplicación de IoT Central
  • Administración de organizaciones de IoT Central
  • Uso de registros de auditoría para realizar un seguimiento de la actividad en la aplicación de IoT Central
  • Autenticación y autorización de llamadas API de REST en IoT Central

• Definir controles de acceso para servicios de backend: otros servicios de Azure pueden consumir los datos que tu aplicación IoT Hub o IoT Central ingiere desde tus dispositivos. Puede enrutar mensajes desde los dispositivos a otros servicios de Azure. Comprenda y configure los permisos de acceso adecuados para IoT Hub o IoT Central para conectarse a estos servicios. Para obtener más información, consulte:

  • Leer los mensajes de dispositivo a nube desde el punto de conexión incorporado de IoT Hub
  • Usar el enrutamiento de mensajes de IoT Hub para enviar mensajes de dispositivo a la nube a distintos puntos de conexión
  • Exportar datos de IoT Central
  • Exportar datos de IoT Central a un destino seguro en un Azure Virtual Network

• Conceda solo los permisos mínimos necesarios: aplique el principio de privilegios mínimos al asignar roles y permisos a usuarios, aplicaciones y dispositivos. Para más información, consulte Procedimientos recomendados de administración de identidades.

• Monitor su solución de IoT desde la nube: Monitoree el estado general de su solución de IoT mediante las métricas de IoT Hub en Azure Monitor o monitorizar la salud de la aplicación de IoT Central.

• Configurar diagnósticos: supervise las operaciones registrando eventos en la solución y, a continuación, envíe los registros de diagnóstico a Azure Monitor. Para más información, consulte Supervisión y diagnóstico de problemas en ioT Hub.