Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Центр Интернета вещей Azure предоставляет центральный центр сообщений для двунаправленного взаимодействия между приложениями Интернета вещей и устройствами, которыми они управляют. При развертывании этой службы важно следовать рекомендациям по обеспечению безопасности для защиты данных, конфигураций и инфраструктуры.
В этой статье содержатся рекомендации по обеспечению оптимальной защиты развертывания Центра Интернета вещей Azure. Если вы также используете другие службы Интернета вещей Azure, см. статью "Защита решений Интернета вещей".
Сетевая безопасность
Защита сетевого доступа к Центру Интернета вещей имеет решающее значение для предотвращения несанкционированного доступа и защиты данных, поступающих между устройствами и облаком.
Включение частных конечных точек: устранение общедоступного доступа к Интернету путем маршрутизации трафика через виртуальную сеть с помощью Приватного канала Azure, что позволяет устройствам подключаться к центру Интернета вещей без доступа к общедоступному Интернету. См. поддержку IoT Hub для виртуальных сетей с помощью Azure Private Link.
Отключение доступа к общедоступной сети. Запрет прямого доступа из общедоступного Интернета путем отключения общедоступных конечных точек, если вместо этого можно использовать частные конечные точки. См. статью "Управление доступом к общедоступной сети" для Центра Интернета вещей.
Настройка фильтрации IP-адресов: ограничение подключений к Центру Интернета вещей путем разрешения только определенных IP-адресов или диапазонов, что ограничивает воздействие потенциальных атак. См. фильтрацию IP-адресов Центра Интернета вещей.
Применение протокола TLS 1.2 и надежных наборов шифров: укрепление безопасности подключения путем применения протокола TLS 1.2 и рекомендуемых наборов шифров для всех подключений устройств и служб. См. сведения о поддержке TLS в Центре Интернета вещей.
Управление удостоверениями и доступом
Правильное управление удостоверениями и доступом является важным для управления тем, кто может администрировать Центр Интернета вещей и как устройства проходят проверку подлинности в нем.
Используйте проверку подлинности идентификатора Microsoft Entra ID: реализуйте идентификатор Microsoft Entra (ранее Azure AD) для проверки подлинности и авторизации запросов API службы, обеспечивая более детализированный контроль доступа, чем политики общего доступа. См. статью "Управление доступом к Центру Интернета вещей" с помощью Azure Active Directory.
Реализуйте Azure RBAC для детализированных разрешений: Назначьте роль-ориентированное управление доступом с минимально необходимыми привилегиями для пользователей и приложений, обращающихся к API управления IoT Hub, чтобы снизить риск несанкционированных операций. См. статью "Управление доступом к Центру Интернета вещей" с помощью назначения ролей Azure RBAC.
Используйте сертификаты X.509 для проверки подлинности устройств: реализуйте проверку подлинности на основе сертификатов X.509 вместо маркеров SAS для рабочих сред, чтобы повысить безопасность и обеспечить более эффективное управление учетными данными. См. Аутентификация личностей с помощью сертификатов X.509.
Избегайте общих симметричных ключей на разных устройствах: назначьте уникальные учетные данные каждому устройству, чтобы предотвратить широко распространенную компрометацию при утечке одного ключа, что ограничивает влияние потенциального воздействия учетных данных. См. рекомендации по обеспечению безопасности для производителей устройств.
Отключите политики общего доступа, если не требуется: уменьшите область атаки, отключив политики общего доступа и маркеры при использовании идентификатора Microsoft Entra для проверки подлинности. См. Принудительная проверка подлинности Microsoft Entra.
Защита данных
Защита данных как при передаче, так и в состоянии покоя крайне важна для обеспечения конфиденциальности и целостности вашего IoT-решения.
Используйте аппаратные модули безопасности для секретов устройств: храните сертификаты устройств и закрытые ключи в аппаратных модулях безопасности (HSM) для защиты от извлечения и изменения, повышая безопасность учетных данных проверки подлинности. См. раздел "Аппаратный модуль безопасности".
Реализация шифрования данных на уровне устройства: шифрование конфиденциальных данных на устройствах перед передачей в Центр Интернета вещей для добавления дополнительного уровня защиты за пределами TLS, особенно для высокочувствительной информации. Помимо шифрования конфиденциальных данных на устройствах перед передачей в Центр Интернета вещей, убедитесь, что все данные, хранящиеся в компонентах Интернета вещей Azure, таких как двойники устройств, также шифруются. Это относится как к обмену данными между устройствами и облаком, так и к обмену данными между устройствами. См. сведения о защите неактивных данных с помощью стандартных алгоритмов шифрования.
Используйте последние версии пакета SDK: убедитесь, что вы используете последние пакеты SDK для устройств Центра Интернета вещей, которые реализуют различные функции безопасности, включая шифрование и проверку подлинности. См. пакеты SDK Для Интернета вещей Azure.
Сохраняйте обновления сертификатов корневого ЦС: регулярно обновляйте доверенные корневые сертификаты на устройствах для поддержания безопасных подключений TLS, избегая сбоев подключений из-за истечения срока действия или отзыва сертификатов. См. сведения о поддержке TLS Центра Интернета вещей.
Ведение журналов и мониторинг
Комплексное ведение журнала и мониторинг важны для обнаружения и реагирования на потенциальные проблемы безопасности в решении Интернета вещей.
Включите журналы ресурсов для подключений и телеметрии устройства: настройте параметры диагностики для отправки журналов ресурсов Центра Интернета вещей в журналы Azure Monitor для отслеживания попыток подключения, ошибок и операций для исследования безопасности. См. сведения о мониторинге и диагностике проблем в Центре Интернета вещей.
Настройка оповещений о проблемах с подключением: создание оповещений на основе метрик и журналов для обнаружения необычных шаблонов, таких как повторяющиеся сбои проверки подлинности или непредвиденные отключения, которые могут указывать на проблемы безопасности. См. статью "Мониторинг, диагностика и устранение неполадок с подключением к устройству Центра Интернета вещей Azure".
Включение Microsoft Defender для IoT: Активируйте Microsoft Defender для IoT на вашем Центре Интернета вещей, чтобы обеспечить мониторинг безопасности в режиме реального времени, рекомендации и оповещения о потенциальных угрозах, направленных на вашу IoT-решение. См. раздел "Быстрый старт: включение Microsoft Defender для Интернета вещей на вашем Центре Интернета вещей Azure".
Отслеживайте версии пакета SDK для устройств: следите за версиями SDK, используемыми подключаемыми устройствами, чтобы убедиться, что они используют безопасные и актуальные версии с последними обновлениями безопасности. См. статью "Мониторинг Центра Интернета вещей Azure".
Соответствие требованиям и управление
Обеспечение правильного управления и обеспечение соответствия стандартам безопасности являются ключевыми аспектами поддержания безопасного решения Интернета вещей.
Применение политики Azure для Центра Интернета вещей. Реализуйте политику Azure для принудительного применения и аудита конфигураций безопасности в центрах Интернета вещей, обеспечивая согласованность стандартов безопасности. См. встроенные определения политики Azure для Центра Интернета вещей Azure.
Регулярно проверяйте разрешения доступа: регулярно проверяйте и проверяйте разрешения доступа, предоставленные пользователям, приложениям и устройствам, чтобы обеспечить соблюдение принципа наименьшей привилегии. Ознакомьтесь с рекомендациями по управлению удостоверениями.
Включение параметров диагностики для аудита: настройка параметров диагностики для записи и архивирования журналов аудита для Центра Интернета вещей для поддержки расследований безопасности и требований к соответствию требованиям. Просмотр журналов ресурсов в Центре Интернета вещей должен быть включен.
Реализуйте микросегментацию сети: логически отделяйте устройства Интернета вещей от других организационных ресурсов путем реализации микросегментации сети, ограничивающей потенциальный радиус взрыва инцидента безопасности. См. сегментацию сети.
Безопасность устройств
Защита устройств, подключенных к Центру Интернета вещей, критически важна для общей безопасности решения Интернета вещей.
Используйте возобновляемые учетные данные устройства: реализуйте процесс регулярного обновления учетных данных устройства, например периодически обновляемых сертификатов X.509, чтобы ограничить воздействие скомпрометированной проверки подлинности. Узнайте , как свернуть сертификаты устройств X.509.
Развертывание агентов обновления на устройствах. Убедитесь, что устройства имеют агенты обновления для получения и применения обновлений безопасности, обеспечения безопасности встроенного ПО и программного обеспечения на протяжении всего жизненного цикла устройства. См. сведения об обновлении устройств для Центра Интернета вещей.
Обеспечьте безопасное развертывание устройств: Используйте Службу подготовки устройств Azure IoT Hub (DPS) для безопасного автоматического развертывания устройств в масштабах с использованием соответствующих механизмов проверки подлинности. См. раздел "Служба подготовки устройств Центра Интернета вещей".
Используйте доверенные платформенные модули: развертывайте устройства с аппаратными функциями безопасности, такими как доверенные модули платформы (TPM), чтобы обеспечить безопасное хранилище для криптографических ключей и защититься от физического изменения. См. аттестацию TPM.
Отмена доступа для скомпрометированных устройств: реализуйте процедуры для быстрого отзыва доступа для устройств, которые показывают признаки компрометации, предотвращая их подключение к Центру Интернета вещей и потенциально влияя на другие устройства. Узнайте , как отменить доступ к устройству.