Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit IoT-Lösungen können Sie Ihre IoT-Geräte und -Ressourcen im großen Maßstab verbinden, überwachen und steuern. In einer in der Cloud verbundenen Lösung stellen Geräte und Objekte eine direkte Verbindung mit der Cloud her. In einer edgegebundenen Lösung stellen Geräte und Ressourcen eine Verbindung mit einer Edge-Laufzeitumgebung her. Sie müssen Ihre physischen Ressourcen und Geräte, Edgeinfrastruktur und Clouddienste schützen, um Ihre IoT-Lösung vor Bedrohungen zu schützen. Sie müssen auch die Daten schützen, die über Ihre IoT-Lösung fließen, unabhängig davon, ob sie sich am Edge oder in der Cloud befinden.
Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer IoT-Lösung. Jeder Abschnitt enthält Links zu Inhalten, die weitere Details und Anleitungen enthalten.
Das folgende Diagramm zeigt eine allgemeine Ansicht der Komponenten in einer typischen edgegebundenen IoT-Lösung. Dieser Artikel konzentriert sich auf die Sicherheit einer edgegebundenen IoT-Lösung:
In einer Edge-verbundenen IoT-Lösung können Sie die Sicherheit in die folgenden vier Bereiche unterteilen:
Ressourcensicherheit: Sichern Sie die IoT-Ressource, während sie lokal bereitgestellt wird.
Verbindungssicherheit: Stellen Sie sicher, dass alle Daten während der Übertragung zwischen der Ressource, dem Edge und den Clouddiensten vertraulich und manipulationssicher sind.
Edge-Sicherheit: Schützen Sie Ihre Daten während der Verschiebung und Speicherung am Edge.
Cloudsicherheit: Sichern Sie Ihre Daten, während sie durch die Cloud übertragen werden und dort gespeichert sind.
Microsoft Defender for IoT und Microsoft Defender für Container
Microsoft Defender for IoT ist eine einheitliche Sicherheitslösung, die speziell zur Identifizierung von IoT- und Betriebstechnologiegeräten, Sicherheitsrisiken und Bedrohungen entwickelt wurde. Microsoft Defender für Container ist eine cloudeigene Lösung, mit der Sie die Sicherheit Ihrer containerisierten Ressourcen (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und mehr) und deren Anwendungen über mehrere Cloud- und lokale Umgebungen hinweg verbessern, überwachen und verwalten können.
Sowohl Defender für IoT als auch Defender für Container können einige der in diesem Artikel enthaltenen Empfehlungen automatisch überwachen. Defender für IoT und Defender für Container sollten Ihre erste Verteidigungslinie sein, um Ihre mit dem Edge verbundene Lösung zu schützen. Weitere Informationen finden Sie unter:
- Microsoft Defender für Container – Übersicht
- Microsoft Defender for IoT für Organisationen – Übersicht.
OT-, IT- und Cloudsicherheitsgrenzen
mit Azure IoT Einsatz können Organisationen OT-Objekte und industrielle Datenquellen mit cloudbasierten Verwaltungs-, Analyse- und Automatisierungsdiensten verbinden.
Das Verbinden von OT-Umgebungen mit IT- und Cloudsystemen bietet erhebliche betriebliche Vorteile, ändert aber auch herkömmliche Sicherheitsgrenzen. Daten, Identitäten, Verwaltungsvorgänge und Workloads können Umgebungen umfassen, die historisch isoliert betrieben wurden.
Berücksichtigen Sie beim Entwerfen einer Azure IoT Einsatz Bereitstellung die folgenden Prinzipien:
- Wenden Sie die Netzwerksegmentierung zwischen OT-, IT- und cloudverbundenen Umgebungen an. Verwenden Sie für eine Purdue/ISA-95-segmentierte Topologie eine gestaffelte Netzwerkbereitstellung, um die Kommunikation auf benachbarte Ebenen zu beschränken.
- Verwenden Sie Zugriffskontrollen nach dem Prinzip der geringsten Rechte für Benutzer, Anwendungen und Verwaltungssysteme, und konfigurieren Sie dedizierte Identitäten mithilfe von sicheren Einstellungen und verwalteten Identitäten.
- Behandeln Sie mit der Cloud verbundene Betriebsdaten als reine Information, es sei denn, sie wurden durch Ihre betrieblichen Sicherheitsprozesse validiert. Daten, die über die Betriebserfahrung und Dashboards geleitet werden, eignen sich am besten für die Überwachung.
- Vermeiden Sie die Verwendung von Cloud-Dashboards, Analysen oder Überwachungsansichten als alleinige Autorität für sicherheitskritische oder notfallrelevante Betriebliche Entscheidungen.
- Befolgen Sie die geltenden Branchenstandards, behördlichen Anforderungen und standortspezifischen Sicherheitsrichtlinien, wenn SIE OT-Objekte mit Clouddiensten verbinden.
Die Anwendung der Zero Trust-Sicherheitsprinzipien hilft Ihnen, diese Grenzen zu sichern: Führen Sie explizite Überprüfungen durch, wenden Sie das Prinzip der geringsten Berechtigungen an und gehen Sie von einer Sicherheitsverletzung aus. Sie sind weiterhin dafür verantwortlich, zu bestimmen, welche Betriebsdaten und Kontrollpfade für die Cloudintegration in Ihrer Umgebung geeignet sind.
Anlagensicherheit
Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Ressourcen, z. B. Industrielle Geräte, Sensoren und andere Geräte, die Teil Ihrer IoT-Lösung sind. Die Sicherheit des Vermögens ist entscheidend, um die Integrität und Vertraulichkeit der von ihr generierten und übertragenen Daten sicherzustellen.
Verwenden Sie Azure Key Vault und die Erweiterung für den geheimen Speicher: Verwenden Sie Azure Key Vault, um vertrauliche Informationen für Ihre Objekte zu speichern und zu verwalten, z. B. Schlüssel, Kennwörter, Zertifikate und geheime Schlüssel. Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und verwendet die Azure Key Vault Secret Store-Erweiterung für Kubernetes, um geheime Schlüssel aus der Cloud zu synchronisieren und sie am Rand als Kubernetes-Geheimnisse zu speichern. Weitere Informationen finden Sie unter Geheimnisse für Ihre Azure IoT-Betriebseinsätze verwalten.
Einrichten der sicheren Zertifikatverwaltung: Die Verwaltung von Zertifikaten ist entscheidend für die sichere Kommunikation zwischen Ressourcen und Ihrer Edge-Laufzeitumgebung. Azure IoT Einsatz bietet Tools zum Verwalten von Zertifikaten, einschließlich Ausstellen, Erneuern und Widerrufen von Zertifikaten. Weitere Informationen finden Sie unter Verwalten von Zertifikaten für Ihre Azure IoT Einsatz Bereitstellung.
Wählen Sie manipulationssichere Hardware aus: Wählen Sie Asset-Hardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, z. B. das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.
Ermöglichen von sicheren Updates für die Ressourcenfirmware: Verwenden Sie Dienste, die Over-The-Air-Updates für Ihre Ressourcen ermöglichen. Entwickeln Sie Ressourcen mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um die Ressourcen während und nach Updates zu schützen.
Sicheres Bereitstellen von Ressourcenhardware: Stellen Sie sicher, dass die Bereitstellung von Ressourcenhardware möglichst weitgehend gegen Manipulation geschützt ist, insbesondere an unsicheren Orten wie öffentlichen Räumen oder nicht überwachten Gebietsschemas. Aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren, z. B. sichere Abdeckung von USB-Anschlüssen, wenn sie nicht benötigt werden.
Befolgen Sie bewährte Methoden für Die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Sicherheits- und Bereitstellungsleitfaden bereitstellt, befolgen Sie diese Anleitung zusammen mit den allgemeinen Anleitungen in diesem Artikel.
Verbindungssicherheit
Dieser Abschnitt enthält Anleitungen zum Absichern der Verbindungen zwischen Ihren Assets, der Edge-Laufzeitumgebung und den Clouddiensten. Die Sicherheit der Verbindungen ist entscheidend, um die Integrität und Vertraulichkeit der übertragenen Daten sicherzustellen.
Use Transport Layer Security (TLS) zum Sichern von Verbindungen von Objekten: Die gesamte Kommunikation innerhalb Azure IoT Einsatz wird mit TLS verschlüsselt. Um eine sichere standardmäßige Erfahrung bereitzustellen, die die unbeabsichtigte Gefährdung Ihrer Edge-verbundenen Lösung gegenüber Angreifern minimiert, wird Azure IoT Einsatz mit einem standardmäßigen Root-CA und einem Aussteller für TLS-Serverzertifikate bereitgestellt. Für eine Produktionsbereitstellung empfehlen wir die Verwendung Ihres eigenen ZS-Ausstellers und einer Unternehmens-PKI-Lösung.
Bringen Sie Ihre eigene Zertifizierungsstelle für die Produktion mit: Ersetzen Sie für Produktionsbereitstellungen die standardmäßige selbstsignierte Stammzertifizierungsstelle durch Ihren eigenen Zertifizierungsstellenherausgeber und integrieren Sie sie in eine Unternehmens-PKI, um Vertrauen und Compliance sicherzustellen. Erfahren Sie mehr unter „Bring your own issuer“.
Erwägen Sie die Verwendung von Unternehmensfirewalls oder Proxys zum Verwalten ausgehenden Datenverkehrs: Wenn Sie Unternehmensfirewalls oder Proxys verwenden, fügen Sie der Zulassungsliste die Azure IoT Einsatz Endpunkte hinzu.
Verschlüsseln des internen Datenverkehrs des Nachrichtenbrokers: Die Gewährleistung der Sicherheit der internen Kommunikation innerhalb Ihrer Infrastruktur ist wichtig für die Aufrechterhaltung der Datenintegrität und -vertraulichkeit. Sie sollten den MQTT-Broker so konfigurieren dass interner Datenverkehr zwischen den Front-End- und Back-End-Pods des MQTT-Brokers verschlüsselt wird. Weitere Informationen finden Sie unter "Interne Datenverkehrsverschlüsselung".
Configure TLS mit automatischer Zertifikatverwaltung für Listener in Ihrem MQTT-Broker: Azure IoT Einsatz bietet die automatische Zertifikatverwaltung für Listener in Ihrem MQTT-Broker. Diese Funktion reduziert den verwaltungstechnischen Aufwand bei der manuellen Verwaltung von Zertifikaten, stellt zeitnahe Erneuerungen sicher und hilft bei der Einhaltung von Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Schützen der MQTT-Broker-Kommunikation mit BrokerListener.
Richten Sie eine sichere Verbindung mit OPC UA-Servern ein: Bevor Sie eine Verbindung mit einem OPC UA-Server herstellen, bestimmen Sie, welche OPC UA-Server Sie vertrauen, damit Sie sichere Sitzungen mit ihnen herstellen können. Weitere Informationen finden Sie unter Konfigurieren der OPC UA-Zertifikatinfrastruktur für den Anschluss für OPC UA.
Isolieren und Segmentieren von Netzwerken: Verwenden Sie Netzwerksegmentierung und Firewalls, um IoT Operations-Cluster und Edgegeräte von anderen Netzwerkressourcen zu isolieren. Fügen Sie ihrer Zulassungsliste erforderliche Endpunkte hinzu, wenn Sie Unternehmensfirewalls oder Proxys verwenden. Weitere Informationen finden Sie in den Richtlinien für die Produktionsbereitstellung – Netzwerk.
Edgesicherheit
Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Edge-Laufzeitumgebung, bei der es sich um die Software handelt, die auf Ihrer Edgeplattform ausgeführt wird. Diese Software verarbeitet Ihre Bestandsdaten und verwaltet die Kommunikation zwischen Ihren Ressourcen und Clouddiensten. Die Sicherheit der Edge-Laufzeitumgebung ist entscheidend, um die Integrität und Vertraulichkeit der verarbeiteten und übertragenen Daten sicherzustellen.
Halten Sie die Edge-Laufzeitumgebung auf dem neuesten Stand: Halten Sie Ihren Cluster und Azure IoT Einsatz Bereitstellung mit den neuesten Patches und Nebenversionen auf dem neuesten Stand, um alle verfügbaren Sicherheits- und Fehlerbehebungen zu erhalten. Für Produktionsbereitstellungen deaktivieren Sie autoupgrade für Azure Arc, um die vollständige Kontrolle darüber zu haben, wann neue Updates auf Ihr Cluster angewendet werden. Aktualisieren Sie stattdessen die Agents nach Bedarf manuell.
Überprüfen Sie die Integrität von Container- und Helmimages: Stellen Sie vor der Bereitstellung eines Images für Ihren Cluster sicher, dass das Image von Microsoft signiert ist. Weitere Informationen finden Sie unter Überprüfen der Signierung von Images.
Ausschließliches Verwenden von X.509-Zertifikaten oder Kubernetes-Dienstkontotoken für die Authentifizierung mit Ihrem MQTT-Broker: Ein MQTT-Broker unterstützt mehrere Authentifizierungsmethoden für Clients. Sie können jeden Listenerport so konfigurieren, dass er über eigene Authentifizierungseinstellungen mit einer BrokerAuthentication-Ressource verfügt. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerauthentifizierung.
Bereitstellen der geringsten erforderlichen Rechte für die Themenressource in Ihrem MQTT-Broker: Mithilfe von Autorisierungsrichtlinien wird bestimmt, welche Aktionen die Clients mit dem Broker ausführen können, wie etwa Verbinden, Veröffentlichen oder Abonnieren von Themen. Konfigurieren Sie den MQTT-Broker für die Verwendung einer oder mehrerer Autorisierungsrichtlinien mithilfe der BrokerAuthorization-Ressource. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerautorisierung.
Cloudsicherheit
Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Clouddienste, bei denen es sich um die Dienste handelt, die Ihre Bestandsdaten verarbeiten und speichern. Die Sicherheit der Clouddienste ist entscheidend, um die Integrität und Vertraulichkeit Ihrer Daten sicherzustellen.
Verwenden von benutzerseitig zugewiesenen verwalteten Identitäten für Cloudverbindungen: Verwenden Sie immer die Authentifizierung mit verwalteter Identität. Verwenden Sie nach Möglichkeit die benutzerseitig zugewiesene verwaltete Identität in Datenflussendpunkten, um Flexibilität und Überwachbarkeit zu gewährleisten. Weitere Informationen finden Sie unter Einrichten einer vom Benutzer zugewiesenen verwalteten Identität für Cloudverbindungen.
Deploy observability resources and set up logs: Observability bietet Einblicke in jede Ebene Ihrer Azure IoT Einsatz Konfiguration. Sie erhalten Einblicke in das tatsächliche Verhalten von Problemen, wodurch die Effektivität des Zuverlässigkeits-Engineerings von Standorten erhöht wird. Azure IoT Einsatz bietet Überwachbarkeit durch maßgeschneiderte, vorkonfigurierte Grafana-Dashboards, die in Azure gehostet werden. Diese Dashboards werden von Azure Monitor verwalteten Dienst für Prometheus und von Container Insights unterstützt. Bereitstellen von Observability-Ressourcen in Ihrem Cluster, bevor Sie Azure IoT Einsatz bereitstellen.
Sicherer Zugriff auf Assets und Assetendpunkte mit Azure RBAC: Assets und Assetendpunkte in Azure IoT Einsatz verfügen über Darstellungen sowohl im Kubernetes-Cluster als auch im Azure-Portal. Verwenden Sie Azure RBAC, um den Zugriff auf diese Ressourcen zu sichern. Azure RBAC ist ein Autorisierungssystem, mit dem Sie den Zugriff auf Azure Ressourcen verwalten können. Verwenden Sie Azure RBAC, um Benutzern, Gruppen und Anwendungen Berechtigungen zu einem bestimmten Bereich zu gewähren. Weitere Informationen finden Sie unter benutzerdefinierte RBAC-Rollen für Ihre Azure IoT Einsatz-Ressourcen.
Verwandte Inhalte
- IoT Hub Security
- Sicherheitsleitfaden für IoT Central
- DPS-Sicherheitspraktiken
- IoT Edge Security Framework
- Azure Sicherheitsgrundwerte für Azure IoT Hub
- Well-Architected Framework-Perspektive in Azure IoT Hub
- Azure Sicherheitsgrundwerte für Azure Arc aktivierte Kubernetes
- Konzepte für die dauerhafte Sicherheit Ihrer cloudnativen Workload