Uw IoT-oplossingen beveiligen

In het volgende diagram ziet u een algemeen overzicht van de onderdelen in een typische IoT-oplossing op basis van edge. Dit artikel is gericht op de beveiliging van een IoT-oplossing op basis van edge:

In een IoT-oplossing op basis van edge kunt u beveiliging opsplitsen in de volgende vier gebieden:

• Assetbeveiliging: beveilig de IoT-asset terwijl deze on-premises wordt geïmplementeerd.

• Verbindingsbeveiliging: zorg ervoor dat alle gegevens die worden verzonden tussen de asset, edge en cloudservices vertrouwelijk en manipulatiebestendig zijn.

• Edge-beveiliging: beveilig uw gegevens terwijl deze worden doorlopen en worden opgeslagen aan de rand.

• Cloudbeveiliging: beveilig uw gegevens terwijl deze worden doorlopen en worden opgeslagen in de cloud.

Microsoft Defender voor IoT en voor containers

Microsoft Defender voor IoT is een geïntegreerde beveiligingsoplossing die speciaal is gebouwd om IoT- en operationele technologieapparaten (OT) te identificeren, beveiligingsproblemen en bedreigingen. Microsoft Defender for Containers is een cloudeigen oplossing voor het verbeteren, bewaken en onderhouden van de beveiliging van uw containerassets (Kubernetes-clusters, Kubernetes-knooppunten, Kubernetes-workloads, containerregisters, containerinstallatiekopieën en meer) en hun toepassingen, in meerdere cloud- en on-premises omgevingen.

Zowel Defender for IoT als Defender for Containers kan automatisch enkele van de aanbevelingen in dit artikel bewaken. Defender for IoT en Defender for Containers moeten de frontline van verdediging zijn om uw edge-oplossing te beveiligen. Raadpleeg voor meer informatie:

• Microsoft Defender for Containers - overzicht
• Overzicht van Microsoft Defender voor IoT voor organisaties.

Activabeveiliging

Deze sectie bevat richtlijnen voor het beveiligen van uw assets, zoals industriële apparatuur, sensoren en andere apparaten die deel uitmaken van uw IoT-oplossing. De beveiliging van de asset is van cruciaal belang voor de integriteit en vertrouwelijkheid van de gegevens die worden gegenereerd en verzonden.

• Gebruik Azure Key Vault en de extensie voor het geheimarchief: Gebruik Azure Key Vault om gevoelige informatie van assets op te slaan en te beheren, zoals sleutels, wachtwoorden, certificaten en geheimen. Azure IoT Operations maakt gebruik van Azure Key Vault als de beheerde kluisoplossing in de cloud en maakt gebruik van de Azure Key Vault Secret Store-extensie voor Kubernetes om de geheimen offline vanuit de cloud te synchroniseren en op te slaan als Kubernetes-geheimen. Zie Geheimen beheren voor uw Azure IoT Operations-implementatie voor meer informatie.

• Beveiligd certificaatbeheer instellen: het beheren van certificaten is van cruciaal belang voor veilige communicatie tussen assets en uw edge-runtime-omgeving. Azure IoT Operations biedt hulpprogramma's voor het beheren van certificaten, waaronder het uitgeven, vernieuwen en intrekken van certificaten. Zie Certificaatbeheer voor interne communicatie van Azure IoT Operations voor meer informatie.

• Selecteer sabotagebestendige hardware: kies hardware voor eigendommen met ingebouwde mechanismen om fysieke manipulatie te detecteren, zoals het openen van de apparaatbehuizing of het verwijderen van een onderdeel van het apparaat. Deze manipulatiesignalen kunnen deel uitmaken van de gegevensstroom die is geüpload naar de cloud, waarbij operators worden gewaarschuwd voor deze gebeurtenissen.

• Veilige updates inschakelen voor asset firmware: Maak gebruik van services die draadloze updates voor uw assets mogelijk maken. Bouw assets met beveiligde paden voor updates en cryptografische zekerheid van firmwareversies om uw assets tijdens en na updates te beveiligen.

• Assethardware veilig implementeren: Zorg ervoor dat de hardware-implementatie van assets zo manipulatiebestendig mogelijk is, met name op onbeveiligde locaties, zoals openbare ruimten of landinstellingen zonder supervisie. Schakel alleen de benodigde functies in om de fysieke aanvalsvoetafdruk te minimaliseren, zoals veilige dekking van USB-poorten als ze niet nodig zijn.

• Volg de aanbevolen procedures voor beveiliging en implementatie van apparaatfabrikant: als de fabrikant van het apparaat richtlijnen voor beveiliging en implementatie biedt, volgt u deze richtlijnen samen met de algemene richtlijnen in dit artikel.

Verbindingsbeveiliging

Deze sectie bevat richtlijnen voor het beveiligen van de verbindingen tussen uw assets, de edge-runtimeomgeving en cloudservices. De beveiliging van de verbindingen is van cruciaal belang om de integriteit en vertrouwelijkheid van de verzonden gegevens te waarborgen.

• Gebruik Transport Layer Security (TLS) om verbindingen van assets te beveiligen: alle communicatie binnen Azure IoT-bewerkingen wordt versleuteld met BEHULP van TLS. Azure IoT Operations wordt geïmplementeerd met een standaard root-CA en uitgever voor TLS-servercertificaten om een veilige standaardervaring te bieden die onbedoelde blootstelling van uw edge-oplossing aan aanvallers minimaliseert. Voor een productie-implementatie raden we u aan uw eigen CA-verlener en een enterprise PKI-oplossing te gebruiken.

• Bring your own CA for production: Vervang voor productie-implementaties de standaard zelfondertekende basis-CA door uw eigen CA-verlener en integreer met een enterprise PKI om vertrouwen en naleving te garanderen. Zie Certificaatbeheer voor interne communicatie van Azure IoT Operations voor meer informatie.

• Overweeg om bedrijfsfirewalls of proxy's te gebruiken om uitgaand verkeer te beheren: als u bedrijfsfirewalls of proxy's gebruikt, voegt u de Azure IoT Operations-eindpunten toe aan uw acceptatielijst.

• Intern verkeer van berichtenbroker versleutelen: de beveiliging van interne communicatie binnen uw edge-infrastructuur is belangrijk om de integriteit en vertrouwelijkheid van gegevens te behouden. U moet de MQTT broker configureren voor het versleutelen van intern verkeer en gegevens in transit tussen de frontend- en back-end-pods van de MQTT broker. Zie Versleuteling van intern verkeer van broker en interne certificaten configureren voor meer informatie.

• CONFIGUREER TLS met automatisch certificaatbeheer voor listeners in uw MQTT-broker: Azure IoT Operations biedt automatisch certificaatbeheer voor listeners in uw MQTT-broker. Deze mogelijkheid vermindert de administratieve overhead van het handmatig beheren van certificaten, zorgt voor tijdige verlengingen en helpt bij het handhaven van de naleving van beveiligingsbeleidsregels. Zie Beveiligde MQTT-brokercommunicatie met broker via BrokerListener voor meer informatie.

• Een beveiligde verbinding met OPC UA-server instellen: wanneer u verbinding maakt met een OPC UA-server, moet u bepalen met welke OPC UA-servers u een sessie veilig tot stand brengt. Zie De infrastructuur voor OPC UA-certificaten configureren voor de connector voor OPC UA voor meer informatie.

• Netwerken isoleren en segmenteren: gebruik netwerksegmentatie en firewalls om IoT Operations-clusters en edge-apparaten te isoleren van andere netwerkresources. Voeg vereiste eindpunten toe aan uw acceptatielijst als u bedrijfsfirewalls of proxy's gebruikt. Zie Richtlijnen voor productie-implementatie – Netwerken voor meer informatie.

Edge-beveiliging

In deze sectie vindt u richtlijnen voor het beveiligen van uw edge-runtimeomgeving. Dit is de software die wordt uitgevoerd op uw edge-platform. Deze software verwerkt uw assetgegevens en beheert de communicatie tussen uw assets en cloudservices. De beveiliging van de edge-runtimeomgeving is van cruciaal belang om de integriteit en vertrouwelijkheid van de verwerkte en verzonden gegevens te waarborgen.

• Houd de edge-runtimeomgeving up-to-date: zorg ervoor dat uw cluster en Azure IoT Operations-implementatie up-to-date blijven met de nieuwste patches en secundaire releases om alle beschikbare beveiligings- en bugfixes op te halen. Schakel voor productie-implementaties autoupgrade uit voor Azure Arc om volledige controle te hebben over wanneer er nieuwe updates op uw cluster worden toegepast. In plaats daarvan moet u agents handmatig bijwerken als dat nodig is.

• Controleer de integriteit van container- en Helm-afbeeldingen: voordat u een afbeelding implementeert in uw cluster, controleert u of de afbeelding is ondertekend door Microsoft. Zie Afbeeldingsondertekening valideren voor meer informatie.

• Gebruik altijd X.509-certificaten of Kubernetes-serviceaccounttokens voor verificatie met uw MQTT-broker: een MQTT-broker ondersteunt meerdere verificatiemethoden voor clients. U kunt elke listenerpoort configureren voor eigen verificatie-instellingen met een BrokerAuthentication-resource. Zie MQTT-brokerverificatie configureren voor meer informatie.

• Geef de minste bevoegdheden op die nodig zijn voor de onderwerpasset in uw MQTT-broker: autorisatiebeleid bepaalt welke acties de clients kunnen uitvoeren op de broker, zoals verbinding maken, publiceren of abonneren op onderwerpen. Configureer de MQTT-broker om een of meer autorisatiebeleidsregels te gebruiken met de BrokerAuthorization-resource. Zie MQTT-brokerautorisatie configureren voor meer informatie.

Cloudbeveiliging

In deze sectie vindt u richtlijnen voor het beveiligen van uw cloudservices. Dit zijn de services die uw assetgegevens verwerken en opslaan. De beveiliging van de cloudservices is van cruciaal belang om de integriteit en vertrouwelijkheid van uw gegevens te waarborgen.

• Door de gebruiker toegewezen beheerde identiteiten gebruiken voor cloudverbindingen: gebruik altijd verificatie van beheerde identiteiten. Gebruik indien mogelijk door de gebruiker toegewezen beheerde identiteit in eindpunten voor gegevensstromen voor flexibiliteit en controlebaarheid. Zie Beveiligde instellingen inschakelen in Azure IoT Operations voor meer informatie.

• Implementeer waarneembaarheidsresources en stel logboeken in: Waarneembaarheid biedt inzicht in elke laag van uw Azure IoT Operations-configuratie. Het geeft u inzicht in het werkelijke gedrag van problemen, waardoor de effectiviteit van sitebetrouwbaarheidstechniek wordt verhoogd. Azure IoT Operations biedt waarneembaarheid via aangepaste gecureerde Grafana-dashboards die worden gehost in Azure. Deze dashboards worden mogelijk gemaakt door de beheerde Azure Monitor-service voor Prometheus en Container Insights. Implementeer waarneembaarheidsresources in uw cluster voordat u Azure IoT Operations implementeert.

• Veilige toegang tot assets en asseteindpunten met Azure RBAC: assets en asseteindpunten in Azure IoT Operations hebben representaties in zowel het Kubernetes-cluster als de Azure-portal. Gebruik Azure RBAC om de toegang tot deze resources te beveiligen. Azure RBAC is een autorisatiesysteem waarmee u de toegang tot Azure-resources kunt beheren. Gebruik Azure RBAC om machtigingen te verlenen aan gebruikers, groepen en toepassingen binnen een bepaald bereik. Voor meer informatie, zie Beveiligde toegang tot assets en asset-eindpunten.

In het volgende diagram ziet u een algemeen overzicht van de onderdelen in een typische IoT-oplossing in de cloud. Dit artikel is gericht op beveiliging in een IoT-oplossing in de cloud:

In een IoT-oplossing in de cloud kunt u beveiliging opsplitsen in de volgende drie gebieden:

• Apparaatbeveiliging: Beveilig het IoT-apparaat terwijl het on-premises wordt geïmplementeerd.

• Verbindingsbeveiliging: zorg ervoor dat alle gegevens die worden verzonden tussen het IoT-apparaat en de IoT-cloudservices vertrouwelijk en manipulatiebestendig zijn.

• Cloudbeveiliging: beveilig uw gegevens terwijl deze worden doorlopen en worden opgeslagen in de cloud.

De aanbevelingen in dit artikel helpen u te voldoen aan de beveiligingsverplichtingen die worden beschreven in het model voor gedeelde verantwoordelijkheid.

Microsoft Defender voor IoT

Microsoft Defender for IoT bewaakt automatisch enkele aanbevelingen in dit artikel. Microsoft Defender for IoT analyseert periodiek de beveiligingsstatus van uw Azure-resources om potentiële beveiligingsproblemen te identificeren en biedt vervolgens aanbevelingen voor het oplossen ervan. Raadpleeg voor meer informatie:

• Wat is Microsoft Defender voor IoT voor organisaties?
• Wat is Microsoft Defender voor IoT voor apparaatbouwers?
• Verbeter de beveiligingspostuur met aanbevelingen voor beveiliging.

Apparaatbeveiliging

Deze sectie bevat richtlijnen voor het beveiligen van uw IoT-apparaten. Dit zijn de hardwareonderdelen die gegevens verzamelen en verzenden. De beveiliging van het apparaat is van cruciaal belang voor de integriteit en vertrouwelijkheid van de gegevens die het genereert en verzendt.

• Hardware beperken tot minimale vereisten: selecteer uw apparaathardware om de minimale functies op te nemen die nodig zijn voor de werking ervan en niets meer. Neem bijvoorbeeld alleen USB-poorten op als ze nodig zijn voor de werking van het apparaat in uw oplossing. Extra functies kunnen het apparaat blootstellen aan ongewenste aanvalsvectoren.

• Selecteer manipulatiebestendige hardware: selecteer apparaathardware met ingebouwde mechanismen om fysieke manipulatie te detecteren, zoals het openen van de apparaatomslag of het verwijderen van een deel van het apparaat. Deze manipulatiesignalen kunnen deel uitmaken van de gegevensstroom die is geüpload naar de cloud, waardoor operators kunnen worden gewaarschuwd voor deze gebeurtenissen.

• Selecteer beveiligde hardware: kies indien mogelijk apparaathardware die beveiligingsfuncties bevat, zoals beveiligde en versleutelde opslag en opstartfunctionaliteit op basis van een Trusted Platform-module. Deze functies maken apparaten veiliger en beschermen de algehele IoT-infrastructuur.

• Veilige updates inschakelen: gebruik services zoals Device Update for IoT Hub om over-the-air updates voor uw IoT-apparaten mogelijk te maken. Bouw apparaten met beveiligde paden voor updates en cryptografische zekerheid van firmwareversies om uw apparaten tijdens en na updates te beveiligen.

• Volg een veilige methodologie voor softwareontwikkeling: voor de ontwikkeling van beveiligde software moet u rekening houden met beveiliging vanaf het begin van het project door implementatie, testen en implementatie. De levenscyclus van Microsoft Security Development biedt een stapsgewijze benadering voor het bouwen van beveiligde software.

• Gebruik waar mogelijk apparaat-SDK's: Apparaat-SDK's implementeren verschillende beveiligingsfuncties, zoals versleuteling en verificatie waarmee u robuuste en veilige apparaattoepassingen kunt ontwikkelen. Zie Azure IoT SDK's voor meer informatie.

• Kies opensource-software met zorg: Opensource-software biedt een mogelijkheid om snel oplossingen te ontwikkelen. Wanneer u opensource-software kiest, moet u rekening houden met het activiteitsniveau van de community voor elk opensource-onderdeel. Een actieve community zorgt ervoor dat software wordt ondersteund en dat er problemen worden gedetecteerd en opgelost. Een verborgen en inactief opensource-softwareproject wordt mogelijk niet ondersteund en er worden waarschijnlijk geen problemen gedetecteerd.

• Hardware veilig implementeren: Voor IoT-implementaties moet u mogelijk hardware implementeren op niet-beveiligde locaties, zoals in openbare ruimten of landinstellingen zonder supervisie. In deze situaties maakt u hardware-implementatie zo manipulatiebestendig mogelijk en schakelt u alleen de benodigde functies in om de fysieke aanvalsvoetafdruk te minimaliseren.

• Referenties opslaan in hardware security modules (HSMs): Gebruik HSMs om apparaatgeheimen, zoals privésleutels en certificaten, veilig op te slaan en beschermen tegen extractie en manipulatie. Zie IoT Hub X.509-verificatie, DPS HSM-richtlijnen en IoT Edge-beveiligingsbeheer voor meer informatie.

• Wissel regelmatig apparaatsleutels en certificaten: wissel regelmatig inloggegevens, met name na een schending of vervaldatum, om het risico op onbevoegde toegang te minimaliseren. Voor meer informatie, zie Hoe certificaten te rollen in DPS en IoT Central X.509-certificaatbeheer.

• Bijwerken en patchen: houd alle runtimes, SDK's en besturingssysteemonderdelen up-to-date met de nieuwste beveiligingspatches en updates. Zie de richtlijnen voor IoT Edge-updates voor meer informatie.

• Bescherming tegen schadelijke activiteiten: als het besturingssysteem toestaat, installeert u de nieuwste antivirus- en antimalwaremogelijkheden op elk besturingssysteem van het apparaat.

• Regelmatig controleren: IoT-infrastructuur controleren op beveiligingsproblemen, zodat u kunt reageren op beveiligingsincidenten. De meeste besturingssystemen bieden ingebouwde logboekregistratie van gebeurtenissen. Bekijk regelmatig logboeken om te controleren op beveiligingsschendingen. Een apparaat kan controlegegevens verzenden als een afzonderlijke gegevensstroom naar de cloudservice, waar u deze kunt analyseren.

• Volg de aanbevolen procedures voor beveiliging en implementatie van apparaatfabrikant: als de fabrikant van het apparaat richtlijnen voor beveiliging en implementatie biedt, volgt u deze richtlijnen samen met de algemene richtlijnen in dit artikel.

• Gebruik een veldgateway om beveiligingsservices te bieden voor verouderde of beperkte apparaten: verouderde en beperkte apparaten hebben mogelijk geen mogelijkheid om gegevens te versleutelen, verbinding te maken met internet of geavanceerde controle te bieden. In deze gevallen kan een moderne en beveiligde veldgateway gegevens van verouderde apparaten aggregeren en de beveiliging bieden die nodig is om deze apparaten via internet te verbinden. Een IoT Edge-apparaat kan worden gebruikt als gateway en biedt veilige verificatie, onderhandeling van versleutelde sessies, ontvangst van opdrachten uit de cloud en vele andere beveiligingsfuncties. Azure Sphere kan fungeren als een guardian-module om andere apparaten te beveiligen, waaronder bestaande verouderde systemen die niet zijn ontworpen voor vertrouwde connectiviteit.

• Data-at-rest versleutelen: gebruik versleuteling op besturingssysteemniveau, zoals BitLocker voor Windows, voor apparaat- en edge-opslag om gegevens te beveiligen als apparaten verloren gaan of worden gestolen. Zie IoT Edge-beveiliging voor meer informatie.

Verbindingsbeveiliging

Deze sectie bevat richtlijnen voor het beveiligen van de verbindingen tussen uw IoT-apparaten en cloudservices. De beveiliging van de verbindingen is van cruciaal belang om de integriteit en vertrouwelijkheid van de verzonden gegevens te waarborgen.

• Gebruik X.509-certificaten om uw apparaten te verifiëren bij IoT Hub of IoT Central: IoT Hub en IoT Central ondersteunen X509-certificaten voor apparaatverificatie. Gebruik verificatie op basis van X509 in productieomgevingen omdat deze meer beveiliging biedt dan symmetrische sleutels. Zie Verificatie van een apparaat voor IoT Hub - en Apparaatverificatieconcepten in IoT Central voor meer informatie.

• Vermijd gedeelde symmetrische sleutels: als u symmetrische sleutels gebruikt, deelt u geen symmetrische sleutels op verschillende apparaten. Elk apparaat heeft unieke referenties nodig om wijdverspreide inbreuk te voorkomen als een sleutel wordt gelekt. Zie Beveiligingsprocedures voor apparaatfabrikanten voor meer informatie.

• Gebruik Transport Layer Security (TLS) 1.2 om verbindingen van apparaten te beveiligen: IoT Hub en IoT Central gebruiken TLS om verbindingen van IoT-apparaten en -services te beveiligen. Er worden momenteel drie versies van het TLS-protocol ondersteund: 1.0, 1.1 en 1.2. TLS 1.0 en 1.1 worden beschouwd als verouderd. Zie Ondersteuning voor Transport Layer Security (TLS) in IoT Hub en TLS-ondersteuning in Azure IoT Hub Device Provisioning Service (DPS) voor meer informatie.

• Gebruik sterke coderingssuites en houd basis-CA-certificaten up-to-date: Werk coderingssuites en vertrouwde basiscertificaten regelmatig bij om beveiligde verbindingen te onderhouden. Zie ondersteuning voor IoT Hub TLS voor meer informatie.

• Zorg ervoor dat u het TLS-basiscertificaat op uw apparaten kunt bijwerken: TLS-basiscertificaten duren lang, maar ze kunnen verlopen of worden ingetrokken. Als u het certificaat op het apparaat niet kunt bijwerken, kan het apparaat mogelijk geen verbinding maken met IoT Hub, IoT Central of een andere cloudservice op een later moment. Meer informatie vindt u in Hoe u X.509-apparaatcertificaten beheert.

• Overweeg het gebruik van Azure Private Link: Met Azure Private Link kunt u uw apparaten verbinden met een privé-eindpunt in uw virtuele netwerk, zodat u de toegang tot de openbare eindpunten van uw IoT-hub kunt blokkeren. Zie Toegang tot IoT Hub connectiviteit met behulp van Azure Private Link en Netwerkbeveiliging voor IoT Central met behulp van privé-eindpunten voor meer informatie.

• Netwerktoegang beperken: IP-filtering gebruiken om de toegang tot vertrouwde bronnen en netwerken te beperken. Zie Ip-filtering van IoT Hub, privé-eindpunten van IoT Central en DPS IP-filtering voor meer informatie.

• Schakel openbare netwerktoegang uit als dit niet vereist is: voorkom blootstelling aan het openbare internet door openbare eindpunten uit te schakelen wanneer u dat kunt. Zie openbare netwerktoegang van IoT Hub en openbare DPS-netwerktoegang voor meer informatie.

• Edge-apparaten en -services isoleren in beveiligde netwerksegmenten: gebruik netwerksegmentatie en firewalls om IoT Edge-apparaten en -services te isoleren van andere netwerkbronnen. Voor meer informatie, zie IoT Edge voor Linux op Windows-beveiliging.

Cloudbeveiliging

Deze sectie bevat richtlijnen voor het beveiligen van uw cloudservices. Dit zijn de services die uw IoT-apparaatgegevens verwerken en opslaan. De beveiliging van de cloudservices is van cruciaal belang om de integriteit en vertrouwelijkheid van uw gegevens te waarborgen.

• Volg een veilige methodologie voor softwareontwikkeling: voor de ontwikkeling van beveiligde software moet u rekening houden met beveiliging vanaf het begin van het project door implementatie, testen en implementatie. De levenscyclus van Microsoft Security Development biedt een stapsgewijze benadering voor het bouwen van beveiligde software.

• Kies opensource-software met zorg: Opensource-software biedt een mogelijkheid om snel oplossingen te ontwikkelen. Wanneer u opensource-software kiest, moet u rekening houden met het activiteitsniveau van de community voor elk opensource-onderdeel. Een actieve community zorgt ervoor dat software wordt ondersteund en dat er problemen worden gedetecteerd en opgelost. Een verborgen en inactief opensource-softwareproject wordt mogelijk niet ondersteund en er worden waarschijnlijk geen problemen gedetecteerd.

• Integreren met zorg: er bestaan veel softwarebeveiligingsfouten op de grens van bibliotheken en API's. Functionaliteit die niet vereist is voor de huidige implementatie, is mogelijk nog steeds beschikbaar via een API-laag. Om de algehele beveiliging te garanderen, controleert u alle interfaces van geïntegreerde onderdelen op beveiligingsfouten.

• Cloudreferenties beveiligen: een aanvaller kan de cloudverificatiereferenties gebruiken die u gebruikt om uw IoT-implementatie te configureren en te gebruiken om toegang te krijgen tot en inbreuk te maken op uw IoT-systeem. Beveilig de referenties door het wachtwoord vaak te wijzigen en gebruik deze referenties niet op openbare computers.

• Gebruik Microsoft Entra ID en RBAC met IoT Hub: Gebruik Microsoft Entra ID en Azure RBAC voor toegang tot service- en beheer-API's om gedetailleerd toegangsbeheer op basis van identiteiten mogelijk te maken. Zie IoT Hub Entra ID-verificatie en DPS Entra ID-verificatie voor meer informatie.

• Schakel beleid voor gedeelde toegang uit als dat niet nodig is: verminder het kwetsbaarheid voor aanvallen door beleid en tokens voor gedeelde toegang uit te schakelen wanneer u deze niet nodig hebt. Zie Het beleid voor gedeelde toegang van IoT Hub voor meer informatie.

• Toegangsbeheer definiëren voor uw IoT Central-toepassing: Inzicht in het type toegang dat u inschakelt voor uw IoT Central-toepassing. Raadpleeg voor meer informatie:

  • Gebruikers en rollen in uw IoT Central-toepassing beheren
  • IoT Central-organisaties beheren
  • Auditlogboeken gebruiken om activiteiten in uw IoT Central-toepassing bij te houden
  • IoT Central REST API-aanroepen verifiëren en autoriseren

• Toegangsbeheer definiëren voor back-endservices: andere Azure-services kunnen de gegevens verbruiken die uw IoT-hub of IoT Central-toepassing opneemt vanaf uw apparaten. U kunt berichten van uw apparaten routeren naar andere Azure-services. De juiste toegangsmachtigingen voor IoT Hub of IoT Central begrijpen en configureren om verbinding te maken met deze services. Raadpleeg voor meer informatie:

  • Apparaat-naar-cloud-berichten lezen van het ingebouwde IoT Hub-eindpunt
  • IoT Hub-berichtroutering gebruiken om apparaat-naar-cloud-berichten naar verschillende eindpunten te verzenden
  • IoT Central-gegevens exporteren
  • IoT Central-gegevens exporteren naar een veilige bestemming in een virtueel Azure-netwerk

• Alleen de vereiste minimale machtigingen verlenen: pas het principe van minimale bevoegdheden toe wanneer u rollen en machtigingen toewijst aan gebruikers, apps en apparaten. Zie best practices voor identiteitsbeheer voor meer informatie.

• Uw IoT-oplossing bewaken vanuit de cloud: bewaak de algehele status van uw IoT-oplossing met behulp van metrische Gegevens van IoT Hub in Azure Monitor of Monitor IoT Central-toepassingsstatus.

• Diagnostische gegevens instellen: bewaak uw bewerkingen door gebeurtenissen in uw oplossing te registreren en verzend vervolgens de diagnostische logboeken naar Azure Monitor. Zie Problemen bewaken en diagnosticeren in uw IoT-hub voor meer informatie.