Защита решений Интернета вещей

На следующей схеме показано высокоуровневое представление компонентов типичного пограничного решения Интернета вещей. В этой статье рассматривается безопасность IoT-решения, подключенного к периферийной сети.

В погранично подключенном решении Интернета вещей можно разделить безопасность на следующие четыре области:

• Безопасность активов: защитите ресурс Интернета вещей во время его развертывания в локальной среде.

• Безопасность соединения: Убедитесь, что все данные, передаваемые между устройством, пограничной сетью и облачными сервисами, являются конфиденциальными и защищены от подделки.

• Безопасность периферийных вычислений: защищайте ваши данные по мере их перемещения и хранения на периферии.

• Облачная безопасность: защитите ваши данные по мере того, как они перемещаются и хранятся в облаке.

Microsoft Defender для IoT и для контейнеров

Microsoft Defender для Интернета вещей — это единое решение для обеспечения безопасности, созданное специально для выявления устройств Интернета вещей и операционных технологий (OT), уязвимостей и угроз. Microsoft Defender для контейнеров — это облачное решение для улучшения, мониторинга и поддержания безопасности контейнерных ресурсов (кластеры Kubernetes, узлы Kubernetes, рабочие нагрузки Kubernetes, реестры контейнеров, образы контейнеров и многое другое), а также их приложения в многооблачных и локальных средах.

Оба Defender для Интернета вещей и Defender для контейнеров могут автоматически отслеживать некоторые рекомендации, включенные в эту статью. Defender для Интернета вещей и Defender для контейнеров должны быть первой линией обороны для защиты Вашей решения, подключенного к периферии. Чтобы узнать больше, см.

• Microsoft Defender для контейнеров — обзор
• Microsoft Defender для Интернета вещей для организаций — обзор.

Безопасность активов

В этом разделе содержатся рекомендации по защите ресурсов, таких как промышленное оборудование, датчики и другие устройства, которые являются частью решения Интернета вещей. Безопасность ресурса имеет решающее значение для обеспечения целостности и конфиденциальности данных, которые он создает и передает.

• Используйте Azure Key Vault и расширение для работы с секретами: используйте Azure Key Vault для хранения и управления конфиденциальной информацией ресурсов, такой как ключи, пароли, сертификаты и секреты. Операции Интернета вещей Azure использует Azure Key Vault в качестве решения управляемого хранилища в облаке и использует расширение Azure Key Vault Secret Store для Kubernetes для синхронизации секретов из облака и хранения их на периферии в формате секретов Kubernetes. Для получения дополнительных сведений см. раздел Управление секретами для развертывания Операции Интернета вещей Azure.

• Настройка безопасного управления сертификатами. Управление сертификатами имеет решающее значение для обеспечения безопасного взаимодействия между ресурсами и средой выполнения edge. Операции Интернета вещей Azure предоставляет средства управления сертификатами, включая выдачу, продление и отзыв сертификатов. Дополнительные сведения см. в разделе Управление сертификатами для внутренней коммуникации Операции Интернета вещей Azure.

• Выберите оборудование, защищенное от изменений: выберите оборудование активов с встроенными механизмами для обнаружения физического изменения, например открытия крышки устройства или удаления части устройства. Эти сигналы вскрытия могут быть частью потока данных, загружаемого в облако, предупреждая операторов о таких событиях.

• Включите безопасные обновления прошивки устройств: Используйте сервисы, которые позволяют обновлять прошивку устройств по воздуху. Создавайте активы с безопасными путями для обновлений и криптографической гарантией версий прошивки, чтобы обеспечить их безопасность как во время, так и после обновлений.

• Безопасное развертывание аппаратного обеспечения активов: убедитесь, что развертывание аппаратного обеспечения активов является как можно более защищённым от вмешательства, особенно в небезопасных местах, таких как общедоступные пространства или неконтролируемые места. Включите только необходимые функции, чтобы минимизировать объем физической атаки, например безопасно охватывать USB-порты, если они не нужны.

• Следуйте рекомендациям по обеспечению безопасности и развертыванию изготовителя устройств: если производитель устройств предоставляет рекомендации по безопасности и развертыванию, следуйте этим рекомендациям вместе с общими рекомендациями в этой статье.

Безопасность соединения

В этом разделе описано, как защитить подключения между ресурсами, средой выполнения edge и облачными службами. Безопасность подключений важна для обеспечения целостности и конфиденциальности передаваемых данных.

• Use Transport Layer Security (TLS) для защиты подключений к ресурсам: В Операции Интернета вещей Azure весь обмен данными шифруется с использованием TLS. Чтобы обеспечить безопасную по умолчанию среду, которая сводит к минимуму вероятность непреднамеренного воздействия подключенного к краю решения злоумышленникам, Операции Интернета вещей Azure развертывается с корневым УЦ по умолчанию и выдавателем сертификатов для серверов TLS. Для развертывания в производственной среде мы рекомендуем использовать собственный издатель сертификатов CA и корпоративное решение PKI.

• Используйте собственный центр сертификации для продакшн-среды: для промышленного развертывания замените самозаверяющийся корневой сертификат по умолчанию собственным центром сертификации и интегрируйте с корпоративным PKI, чтобы обеспечить доверие и соответствие требованиям. Дополнительную информацию можно найти в статье Certificate management for Операции Интернета вещей Azure internal communication.

• Рассмотрите возможность использования корпоративных брандмауэров или прокси-серверов для управления исходящим трафиком. Если вы используете корпоративные брандмауэры или прокси-серверы, добавьте конечные точки Операции Интернета вещей Azure в список разрешенных.

• Шифрование внутреннего трафика брокера сообщений: Обеспечение безопасности внутренних сообщений в вашей периферийной инфраструктуре важно для поддержания целостности и конфиденциальности данных. Вам следует настроить MQTT брокер для шифрования внутреннего трафика и данных в пути между фронтенд и бэкенд подами MQTT брокера. Чтобы узнать больше, см. Настройка шифрования внутреннего трафика брокера и внутренних сертификатов.

• Настройте TLS с автоматическим управлением сертификатами для слушателей в брокере MQTT: Операции Интернета вещей Azure обеспечивает автоматическое управление сертификатами для слушателей в вашем брокере MQTT. Эта возможность снижает административные затраты на управление сертификатами вручную, обеспечивает своевременное продление и помогает обеспечить соответствие политикам безопасности. Чтобы узнать больше, см. Безопасное взаимодействие с MQTT брокером, используя BrokerListener.

• Настройте безопасное подключение к серверу OPC UA: При подключении к серверу OPC UA вы должны определить, каким серверам OPC UA вы доверяете для безопасного установления сессии. Дополнительные сведения см. в статье Настройка инфраструктуры сертификатов OPC UA для соединителя для OPC UA.

• Изоляция и сегментирование сетей. Используйте сегментацию сети и брандмауэры для изоляции кластеров операций Интернета вещей и пограничных устройств от других сетевых ресурсов. Добавьте необходимые конечные точки в список разрешений при использовании корпоративных брандмауэров или прокси-серверов. Дополнительные сведения см. в рекомендациях по развертыванию рабочей среды — сети.

Безопасность на периферии

В этом разделе даются рекомендации о том, как обеспечить безопасность среды выполнения на границе сети, которая является ПО, работающим на вашей пограничной платформе. Это программное обеспечение обрабатывает данные ресурса и управляет взаимодействием между ресурсами и облачными службами. Безопасность пограничной среды выполнения имеет решающее значение для обеспечения целостности и конфиденциальности обработанных и передаваемых данных.

• Поддерживайте среду выполнения на границе в актуальном состоянии: Поддерживайте кластер и развёртывание Операции Интернета вещей Azure в актуальном состоянии, применяя последние исправления и минорные версии, чтобы получить все возможные исправления безопасности и ошибок. Для рабочих развертываний отмените автоматическое обновление для Azure Arc для полного контроля над применением новых обновлений к кластеру. Вместо этого обновляйте агентов вручную, когда это необходимо.

• Проверьте надежность образов контейнеров и Helm: Перед развертыванием любого образа в кластере убедитесь, что образ подписан Майкрософт. Чтобы узнать больше, смотрите Подтверждение подписи изображения.

• Всегда используйте сертификаты X.509 или токены учетных записей службы Kubernetes для аутентификации с вашим MQTT брокером. MQTT брокер поддерживает несколько методов аутентификации для клиентов. Вы можете настроить каждый порт слушателя так, чтобы он имел свои собственные параметры аутентификации с помощью ресурса BrokerAuthentication. Чтобы узнать больше, обратитесь к Configure MQTT broker authentication.

• Предоставьте минимальные необходимые привилегии для ресурсной темы в вашем брокере MQTT: Политики авторизации определяют, какие действия могут выполнять клиенты на брокере, например, подключение, публикация или подписка на темы. Настройте MQTT-брокер для использования одной или нескольких политик авторизации с ресурсом BrokerAuthorization. Чтобы узнать больше, см. Настроить авторизацию брокера MQTT.

Облачная безопасность

В этом разделе описано, как защитить облачные службы, которые обрабатывают и хранят данные ресурса. Безопасность облачных служб важна для обеспечения целостности и конфиденциальности данных.

• Use user-assigned managed identities for cloud connections: Всегда используйте аутентификацию с управляемой идентичностью. Когда это возможно, используйте управляемую идентификацию, назначаемую пользователем в конечных точках потока данных для гибкости и возможности аудита. Дополнительные сведения см. в разделе Enable secure settings in Операции Интернета вещей Azure.

• Разверните ресурсы наблюдаемости и настройте журналы: наблюдаемость обеспечивает видимость каждого слоя конфигурации Операции Интернета вещей Azure. Это предоставляет вам понимание фактического поведения проблем, что повышает эффективность инженерии надежности сайта. Операции Интернета вещей Azure обеспечивает наблюдаемость с помощью пользовательских курируемых панелей мониторинга Grafana, размещенных в Azure. Эти панели мониторинга поддерживаются службой Azure Monitor, управляемой для Prometheus, и Container Insights. Разверните ресурсы наблюдаемости в вашем кластере перед развертыванием Операции Интернета вещей Azure.

• Безопасный доступ к ресурсам и конечным точкам активов с Azure RBAC: ресурсы и конечные точки активов в Операции Интернета вещей Azure имеют представления как в кластере Kubernetes, так и на портале Azure. Используйте Azure RBAC для защиты доступа к этим ресурсам. Azure RBAC — это система авторизации, которая позволяет управлять доступом к ресурсам Azure. Используйте Azure RBAC для предоставления разрешений пользователям, группам и приложениям в определенной области. Чтобы узнать больше, см. Безопасный доступ к активам и конечным точкам активов.

На следующей схеме показано высокоуровневое представление компонентов в типичном облачном решении Интернета вещей. В этой статье рассматривается безопасность в решении Интернета вещей, подключенного к облаку:

В решении Интернета вещей, подключенном к облаку, вы можете разделить безопасность на следующие три области:

• Безопасность устройства: защита устройства IoT во время его развертывания в локальной среде.

• Security of connection: Убедитесь, что все данные, передаваемые между IoT устройством и IoT облачными сервисами, остаются конфиденциальными и защищенными от подделки.

• Облачная безопасность: защитите ваши данные по мере того, как они перемещаются и хранятся в облаке.

Рекомендации, описанные в этой статье, помогают выполнить обязательства по обеспечению безопасности, описанные в модели общей ответственности.

Microsoft Defender для Интернета вещей

Microsoft Defender для Интернета вещей автоматически отслеживает некоторые рекомендации в этой статье. Microsoft Defender для Интернета вещей периодически анализирует состояние безопасности ресурсов Azure для выявления потенциальных уязвимостей безопасности, а затем предлагает рекомендации по их устранению. Чтобы узнать больше, см.

• Что такое Microsoft Defender для Интернета вещей для организаций?
• Что такое Microsoft Defender для Интернета вещей для создателей (разработчиков) устройств?
• Укрепите безопасность с помощью рекомендаций по безопасности.

Безопасность устройства

В этом разделе описано, как защитить устройства Интернета вещей, которые являются аппаратными компонентами, которые собирают и передают данные. Безопасность устройства имеет решающее значение для обеспечения целостности и конфиденциальности данных, которые он создает и передает.

• Ограничьте оборудование до минимальных требований: Выберите комплектующие вашего устройства, чтобы они содержали минимальные функции, необходимые для его работы, и ничего лишнего. Например, включите порты USB только в том случае, если они необходимы для функционирования устройства в вашем решении. Дополнительные функции могут подвергать устройство нежелательным векторам атак.

• Выберите оборудование, защищенное от изменений: выберите оборудование устройства со встроенными механизмами для обнаружения физического изменения, например открытия крышки устройства или удаления части устройства. Эти сигналы о вскрытии могут быть частью потока данных, загружаемого в облако, что может предупредить операторов о этих событиях.

• Выберите безопасное оборудование: если это возможно, выберите оборудование устройства, включающее такие функции безопасности, как безопасное и зашифрованное хранилище и функциональность загрузки на основе доверенного платформенного модуля. Эти функции обеспечивают безопасность устройств и помогают защитить общую инфраструктуру Интернета вещей.

• Enable secure updates: используйте службы, такие как Device Update for Центр Интернета вещей, для обновления через беспроводное соединение для устройств Интернета вещей. Создавайте устройства с безопасными путями для обновлений и криптографической проверкой версий прошивки, чтобы обеспечить защиту ваших устройств во время и после обновлений.

• Следуйте методологии безопасной разработки программного обеспечения: Разработка безопасного программного обеспечения требует рассматривать вопросы безопасности с самого начала проекта и на всех этапах, включая реализацию, тестирование и ввод в эксплуатацию. жизненный цикл разработки защищенных приложений (Майкрософт) предоставляет пошаговый подход к созданию безопасного программного обеспечения.

• Используйте пакеты SDK для устройств по возможности: пакеты SDK для устройств реализуют различные функции безопасности, такие как шифрование и проверка подлинности, которые помогают разрабатывать надежные и безопасные приложения устройств. Дополнительные сведения см. в статье Azure IoT SDK.

• Выберите программное обеспечение с открытым исходным кодом с осторожностью: программное обеспечение с открытым исходным кодом предоставляет возможность быстро разрабатывать решения. При выборе программного обеспечения с открытым исходным кодом рассмотрите уровень активности сообщества для каждого компонента с открытым кодом. Активное сообщество гарантирует поддержку программного обеспечения и своевременное выявление и устранение проблем. Неясный и неактивный проект программного обеспечения с открытым исходным кодом может не поддерживаться, и проблемы, скорее всего, не обнаруживаются.

• Безопасное развертывание оборудования: Развертывание Интернета вещей может потребовать установки оборудования в незащищенных местах, таких как общедоступные пространства или неконтролируемые места. В таких ситуациях сделайте развертывание оборудования как можно более защищённым от вмешательства и включите только необходимые функции, чтобы свести к минимуму возможности физической атаки.

• Хранение учетных данных в аппаратных модулях безопасности (HSMs): используйте HSM для безопасного хранения секретов устройств, таких как закрытые ключи и сертификаты, для защиты от извлечения и изменения. Дополнительные сведения см. в разделах проверка подлинности Центр Интернета вещей X.509, руководство по DPS HSM и менеджер безопасности IoT Edge.

• Регулярно поворачивайте ключи и сертификаты устройств: регулярно поворачивайте учетные данные, особенно после нарушения или истечения срока действия, чтобы свести к минимуму риск несанкционированного доступа. Чтобы узнать больше, см. статью о том, как обновлять сертификаты в DPS и управление сертификатами IoT Central X.509.

• Обновление и исправление: все среды выполнения, пакеты SDK и компоненты ОС обновлены с помощью последних исправлений и обновлений системы безопасности. Дополнительные сведения см. в руководстве по обновлению IoT Edge.

• Защита от вредоносной активности: Если операционная система позволяет, установите на каждую операционную систему устройства последние версии антивирусного и антивредоносного программного обеспечения.

• Часто проверяйте инфраструктуру Интернета вещей для проблем с безопасностью, чтобы вы могли реагировать на инциденты безопасности. Большинство операционных систем обеспечивают встроенное ведение журнала событий. Часто просматривайте журналы, чтобы проверить наличие нарушений безопасности. Устройство может отправлять сведения аудита в виде отдельного потока данных в облачную службу, где ее можно проанализировать.

• Следуйте рекомендациям по обеспечению безопасности и развертыванию изготовителя устройств: если производитель устройств предоставляет рекомендации по безопасности и развертыванию, следуйте этим рекомендациям вместе с общими рекомендациями в этой статье.

• Используйте шлюз для обеспечения безопасности устаревших или ограниченных устройств: Устаревшие и ограниченные устройства могут не обладать возможностью шифровать данные, подключаться к Интернету или обеспечивать продвинутый аудит. В таких случаях современный и безопасный шлюз полей может агрегировать данные с устаревших устройств и обеспечить безопасность, необходимую для подключения этих устройств через Интернет. Устройство IoT Edge можно использовать в качестве шлюза и обеспечить безопасную проверку подлинности, согласование зашифрованных сеансов, получение команд из облака и многие другие функции безопасности. Azure Sphere может выступать в качестве модуля защиты других устройств, включая существующие устаревшие системы, не предназначенные для надежного подключения.

• Encrypt data at rest: используйте шифрование на уровне ОС, например BitLocker для Windows, для устройства и периферийного хранилища для защиты данных, если устройства потеряны или украдены. Дополнительные сведения см. в статье IoT Edge security.

Безопасность соединения

В этом разделе описано, как защитить подключения между устройствами Интернета вещей и облачными службами. Безопасность подключений важна для обеспечения целостности и конфиденциальности передаваемых данных.

• Использовать сертификаты X.509 для проверки подлинности устройств в Центр Интернета вещей или IoT Central: Центр Интернета вещей и IoT Central поддерживают сертификаты X509 для проверки подлинности устройств. Используйте проверку подлинности на основе X509 в рабочих средах, так как она обеспечивает большую безопасность, чем симметричные ключи. Дополнительные сведения см. в статье Аутентификация устройства в Центр Интернета вещей и Концепции аутентификации устройства в IoT Central.

• Избегайте использования общих симметричных ключей: если вы используете симметричные ключи, не делитесь симметричными ключами между устройствами. Каждому устройству требуются уникальные учетные данные, чтобы предотвратить широко распространенную компрометацию при утечке ключа. Дополнительные сведения см. в разделе "Рекомендации по безопасности для производителей устройств".

• Используйте TLS 1.2 для защиты подключений от устройств. Центр Интернета вещей и IoT Central используют TLS для защиты подключений от IoT устройств и служб. В настоящее время поддерживаются три версии протокола TLS: 1.0, 1.1 и 1.2. TLS 1.0 и 1.1 считаются устаревшими. Дополнительные сведения см. в статье о поддержке Transport Layer Security (TLS) в Центр Интернета вещей и поддержке TLS в службе подготовки устройств Центр Интернета вещей Azure (DPS).

• Используйте надежные наборы шифров и сохраняйте сертификаты корневого ЦС в актуальном состоянии: регулярно обновляйте наборы шифров и доверенные корневые сертификаты для поддержания безопасных подключений. Дополнительные сведения см. в статье Поддержка TLS в Центр Интернета вещей.

• Убедитесь, что у вас есть способ обновить корневой сертификат TLS на ваших устройствах: корневые сертификаты TLS имеют длительный срок действия, но они могут истекать или быть отозваны. Если вы не можете обновить сертификат на устройстве, устройство может не подключиться к Центр Интернета вещей, IoT Central или любой другой облачной службе позже. Чтобы узнать больше, смотрите Как обращаться с сертификатами устройства X.509.

• Рассмотрите использование Приватный канал Azure: Приватный канал Azure позволяет подключать ваши устройства к частной конечной точке в вашей виртуальной сети, который позволяет блокировать доступ к публичным конечным точкам, ориентированным на устройства, в вашем Центре Интернета вещей. Дополнительные сведения см. в Подключении к Центр Интернета вещей с помощью Приватный канал Azure и Сетевой безопасности для IoT Central с помощью частных конечных точек.

• Ограничение доступа к сети: используйте фильтрацию IP-адресов, чтобы ограничить доступ к доверенным источникам и сетям. Дополнительные сведения см. в статье Фильтрация IP-адресов Центр Интернета вещей, Частные конечные точки IoT Central и Фильтрация IP-адресов DPS.

• Отключите доступ к общедоступной сети, если не требуется: запретить доступ к общедоступному Интернету, отключив общедоступные конечные точки, когда это возможно. Дополнительные сведения см. в разделе Центр Интернета вещей доступ к общедоступной сети и DPS доступ к общедоступной сети.

• Изолируйте устройства периферии и службы в защищённых сетевых сегментах. Используйте сегментацию сети и брандмауэры для изоляции устройств и служб IoT Edge от других сетевых ресурсов. Подробнее см. IoT Edge для Linux на Windows: безопасность.

Облачная безопасность

В этом разделе описано, как защитить облачные службы, которые обрабатывают и хранят данные устройства Интернета вещей. Безопасность облачных служб важна для обеспечения целостности и конфиденциальности данных.

• Следуйте методологии безопасной разработки программного обеспечения: Разработка безопасного программного обеспечения требует рассматривать вопросы безопасности с самого начала проекта и на всех этапах, включая реализацию, тестирование и ввод в эксплуатацию. жизненный цикл разработки защищенных приложений (Майкрософт) предоставляет пошаговый подход к созданию безопасного программного обеспечения.

• Выберите программное обеспечение с открытым исходным кодом с осторожностью: программное обеспечение с открытым исходным кодом предоставляет возможность быстро разрабатывать решения. При выборе программного обеспечения с открытым исходным кодом рассмотрите уровень активности сообщества для каждого компонента с открытым кодом. Активное сообщество гарантирует поддержку программного обеспечения и своевременное выявление и устранение проблем. Неясный и неактивный проект программного обеспечения с открытым исходным кодом может не поддерживаться, и проблемы, скорее всего, не обнаруживаются.

• Интегрируйте с осторожностью: Многие уязвимости безопасности программного обеспечения возникают на границе библиотек и API. Функции, которые не требуются для текущего развертывания, по-прежнему могут быть доступны через уровень API. Чтобы обеспечить общую безопасность, проверьте все интерфейсы интегрированных компонентов для ошибок безопасности.

• Защита учетных данных облака: Злоумышленник может использовать учетные данные для облачной аутентификации, которые вы применяете для настройки и управления вашими IoT-устройствами, чтобы получить доступ к вашей системе IoT и нарушить ее работу. Обеспечьте защиту учетных данных путем частого изменения пароля и не используйте эти учетные данные на общедоступных компьютерах.

• Use Microsoft Entra ID и RBAC с Центр Интернета вещей. Используйте Microsoft Entra ID и Azure RBAC для доступа к API службы и управления, чтобы обеспечить детальный контроль доступа на основе удостоверений. Дополнительные сведения вы можете найти в аутентификация Центр Интернета вещей Entra ID и аутентификация DPS Entra ID.

• Отключите политики общего доступа, если не требуется: уменьшите область атаки, отключив политики общего доступа и маркеры, если они не нужны. Дополнительные сведения можно найти в разделе политики предоставления общего доступа Центр Интернета вещей.

• Определите контроль доступа для вашего приложения IoT Central: Поймите и установите тип доступа, который вы разрешаете для вашего приложения IoT Central. Чтобы узнать больше, см.

  • Управление пользователями и ролями в вашем приложении IoT Central
  • Управлять организациями IoT Central
  • Используйте журналы аудита для отслеживания активности в вашем приложении IoT Central
  • Как аутентифицировать и авторизовать вызовы REST API в IoT Central

• Define access controls for backend services: другие службы Azure могут использовать данные, полученные с ваших устройств узлом Интернета вещей или приложением IoT Central. Вы можете направлять сообщения с устройств в другие службы Azure. Изучите и настройте соответствующие разрешения доступа для Центр Интернета вещей или IoT Central для подключения к этим службам. Чтобы узнать больше, см.

  • Читать сообщения от устройства в облако из встроенной конечной точки Центр Интернета вещей
  • Использовать маршрутизацию сообщений Центр Интернета вещей для отправки сообщений устройства в облако в разные конечные точки
  • Экспорт данных из IoT Central
  • Экспорт данных IoT Central в безопасное место на виртуальной сети Azure

• Предоставьте только минимальные разрешения: при назначении ролей и разрешений пользователям, приложениям и устройствам применяется принцип наименьшей привилегии. Дополнительные сведения см. в рекомендациях по управлению удостоверениями.

• Отслеживайте ваше IoT-решение из облака: Мониторинг общей работоспособности решения IoT с помощью метрик Центр Интернета вещей в Azure Monitor или мониторинга состояния приложения IoT Central.

• Настроите диагностику: отслеживайте операции, регистрируйте события в решении, а затем отправляйте журналы диагностики в Azure Monitor. Дополнительные сведения см. в статье Мониторинг и диагностика проблем в центре Интернета вещей.