Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
IoT Edge 1.5
Ważne
Obsługiwana wersja usługi IoT Edge 1.5 LTS. Usługa IoT Edge 1.4 LTS kończy się od 12 listopada 2024 r. Jeśli korzystasz z wcześniejszej wersji, zobacz aktualizację Azure IoT Edge.
Usługa Azure IoT Edge rozwiązuje ryzyko związane z przenoszeniem danych i analiz na inteligentną krawędź. Standardy zabezpieczeń IoT Edge równoważą elastyczność dla różnych scenariuszy wdrażania z ochroną, jakiej klienci oczekują od usług Azure.
Usługa IoT Edge działa na różnych modelach sprzętu, obsługuje kilka systemów operacyjnych i ma zastosowanie do różnych scenariuszy wdrażania. Zamiast oferować konkretne rozwiązania dla konkretnych scenariuszy, usługa IoT Edge jest rozszerzalną strukturą zabezpieczeń opartą na dobrze zakorzenionych zasadach przeznaczonych do skalowania. Ryzyko scenariusza wdrażania zależy od wielu czynników, w tym:
- Własność rozwiązania
- Lokalizacja geograficzna wdrożenia
- Czułość danych
- Prywatność
- Aplikacja pionowa
- wymagania prawne,
Ten artykuł zawiera omówienie struktury zabezpieczeń usługi IoT Edge. Aby uzyskać więcej informacji, zobacz Zabezpieczanie inteligentnej krawędzi.
Standardy
Standardy ułatwiają kontrolę i wdrażanie, które są znakami charakterystycznymi bezpieczeństwa. Rozwiązanie zabezpieczeń musi być łatwe do oceny pod względem zaufania i nie utrudniać wdrażania. Struktura zabezpieczania usługi Azure IoT Edge używa sprawdzonych protokołów zabezpieczeń do znajomości i ponownego użycia.
Uwierzytelnianie
Podczas wdrażania rozwiązania IoT musisz wiedzieć, że tylko zaufane podmioty, urządzenia i moduły mają dostęp do rozwiązania. Uwierzytelnianie oparte na certyfikatach to podstawowy mechanizm uwierzytelniania dla platformy Azure IoT Edge. Ten mechanizm pochodzi z zestawu standardów rządzących infrastrukturą kluczy publicznych (PKiX) przez Internet Engineering Task Force (IETF).
Wszystkie urządzenia, moduły i aktorzy korzystający z urządzenia usługi Azure IoT Edge powinny mieć unikatowe tożsamości certyfikatów. Te wskazówki dotyczą tego, czy interakcje są fizyczne, czy za pośrednictwem połączenia sieciowego. Nie każdy scenariusz lub składnik może dawać się do uwierzytelniania opartego na certyfikatach, więc rozszerzalność platformy zabezpieczeń zapewnia bezpieczne alternatywy.
Aby uzyskać więcej informacji, zobacz Użycie certyfikatu usługi Azure IoT Edge.
Autoryzacja
Zasada najniższych uprawnień mówi, że użytkownicy i składniki systemu powinny mieć dostęp tylko do minimalnego zestawu zasobów i danych potrzebnych do wykonywania ich ról. Urządzenia, moduły i aktorzy powinni uzyskiwać dostęp tylko do zasobów i danych w zakresie uprawnień i tylko wtedy, gdy są one dozwolone w architekturze. Niektóre uprawnienia można konfigurować przy użyciu wystarczających uprawnień, podczas gdy inne są wymuszane architektonicznie. Na przykład niektóre moduły mogą być autoryzowane do łączenia się z usługą Azure IoT Hub. Nie ma jednak powodu, dla którego moduł w jednym urządzeniu usługi IoT Edge powinien uzyskiwać dostęp do bliźniaczej reprezentacji modułu na innym urządzeniu usługi IoT Edge.
Inne schematy autoryzacji obejmują prawa podpisywania certyfikatów i kontrolę dostępu opartą na rolach, RBAC.
Zaświadczanie
Zaświadczanie zapewnia integralność bitów oprogramowania, co jest ważne w przypadku wykrywania i zapobiegania złośliwemu oprogramowaniu. Struktura zabezpieczeń usługi Azure IoT Edge klasyfikuje zaświadczania w trzech głównych kategoriach:
- Zaświadczenie statyczne
- Zaświadczenie środowiska uruchomieniowego
- Zaświadczenie oprogramowania
Zaświadczenie statyczne
Zaświadczenie statyczne weryfikuje integralność wszystkich oprogramowania na urządzeniu podczas włączania, w tym systemu operacyjnego, wszystkich środowisk uruchomieniowych i informacji o konfiguracji. Ze względu na to, że podczas zasilania występuje zaświadczenie statyczne, często jest określane jako bezpieczny rozruch. Struktura zabezpieczeń urządzeń usługi IoT Edge rozszerza się na producentów i obejmuje bezpieczne możliwości sprzętowe zapewniające statyczne procesy zaświadczania. Procesy te obejmują bezpieczny rozruch i bezpieczne uaktualnienie oprogramowania układowego. Współpraca z dostawcami krzemu eliminuje niepotrzebne warstwy oprogramowania układowego i minimalizuje powierzchnię zagrożenia.
Zaświadczenie środowiska uruchomieniowego
Gdy system ukończy bezpieczny proces rozruchu, dobrze zaprojektowane systemy powinny wykrywać próby wstrzyknięcia złośliwego oprogramowania i podjąć odpowiednie środki zaradcze. Ataki złośliwego oprogramowania mogą dotyczyć portów i interfejsów systemu. Jeśli złośliwi aktorzy mają fizyczny dostęp do urządzenia, mogą manipulować samym urządzeniem lub użyć ataków kanału bocznego w celu uzyskania dostępu. Takie niedokontencja, niezależnie od tego, czy zmiany konfiguracji złośliwego oprogramowania, czy nieautoryzowane, nie mogą być wykrywane przez zaświadczenie statyczne, ponieważ jest wstrzykiwane po procesie rozruchu. Środki zaradcze oparte na sprzęcie pomagają zapobiegać takim zagrożeniom. Struktura zabezpieczeń usługi IoT Edge jawnie wzywa do rozszerzeń, które walczą z zagrożeniami środowiska uruchomieniowego.
Zaświadczenie oprogramowania
Wszystkie systemy w dobrej kondycji, w tym inteligentne systemy brzegowe, wymagają poprawek i uaktualnień. Bezpieczeństwo jest ważne w przypadku procesów aktualizacji, w przeciwnym razie mogą być potencjalnymi wektorami zagrożeń. Struktura zabezpieczeń usługi IoT Edge wymaga aktualizacji za pomocą mierzonych i podpisanych pakietów w celu zapewnienia integralności pakietów i uwierzytelniania ich źródła. Ten standard dotyczy wszystkich systemów operacyjnych i bitów oprogramowania aplikacji.
Katalog główny sprzętu zaufania
W przypadku wielu inteligentnych urządzeń brzegowych, zwłaszcza urządzeń, które mogą być fizycznie dostępne przez potencjalnych złośliwych podmiotów, zabezpieczenia sprzętu są ostatnią obroną ochrony. Odporność na naruszenia sprzęt ma kluczowe znaczenie dla takich wdrożeń. Usługa Azure IoT Edge zachęca bezpiecznych dostawców sprzętu krzemowego do oferowania różnych odmian głównego zaufania sprzętu w celu uwzględnienia różnych profilów ryzyka i scenariuszy wdrażania. Zaufanie sprzętowe może pochodzić z typowych standardów protokołu zabezpieczeń, takich jak Trusted Platform Module (ISO/IEC 11889) i Trusted Computing Group's Device Identifier Composition Engine (DICE). Bezpieczne technologie enklawy, takie jak TrustZones i Software Guard Extensions (SGX), zapewniają również zaufanie sprzętowe.
Certyfikacja
Aby ułatwić klientom podejmowanie świadomych decyzji podczas pozyskiwania urządzeń usługi Azure IoT Edge na potrzeby ich wdrażania, platforma usługi IoT Edge obejmuje wymagania dotyczące certyfikacji. Podstawowe dla tych wymagań są certyfikaty dotyczące oświadczeń zabezpieczeń i certyfikatów odnoszących się do weryfikacji implementacji zabezpieczeń. Na przykład certyfikat oświadczenia zabezpieczeń oznacza, że urządzenie usługi IoT Edge korzysta z bezpiecznego sprzętu znanego przed atakami rozruchowymi. Certyfikacja weryfikacji oznacza, że bezpieczny sprzęt został prawidłowo zaimplementowany w celu zaoferowania tej wartości na urządzeniu. Struktura utrzymuje minimalny ciężar certyfikacji, aby dopasować się do zasady prostoty.
Szyfrowanie w spoczynku
Szyfrowanie magazynowane zapewnia ochronę danych przechowywanych danych. Ataki na dane magazynowane obejmują próby uzyskania fizycznego dostępu do sprzętu, w którym są przechowywane dane, a następnie naruszenie zawartych danych. Szyfrowanie magazynu umożliwia ochronę danych przechowywanych na urządzeniu. System Linux ma kilka opcji szyfrowania magazynowanych. Wybierz opcję najlepiej dopasowaną do Twoich potrzeb. W przypadku systemu Windows funkcja BitLocker jest zalecaną opcją szyfrowania magazynowanych.
Rozszerzalność
Dzięki technologii IoT napędzającej różne typy transformacji biznesowych zabezpieczenia powinny ewoluować równolegle, aby sprostać pojawiającym się scenariuszom. Struktura zabezpieczeń usługi Azure IoT Edge zaczyna się od solidnej podstawy i rozszerza możliwości w różnych wymiarach, w tym:
- Usługi zabezpieczeń innych firm, takie jak usługa Device Provisioning Service dla usługi Azure IoT Hub.
- Usługi innych firm, takie jak zarządzane usługi zabezpieczeń dla różnych aplikacji pionowych (takich jak przemysł lub opieka zdrowotna) lub technologia (np. monitorowanie zabezpieczeń w sieciach siatki lub usługi zaświadczania sprzętu krzemowego) za pośrednictwem bogatej sieci partnerów.
- Starsze systemy, w tym modernizacja z alternatywnymi strategiami zabezpieczeń, takie jak używanie bezpiecznej technologii innej niż certyfikaty do uwierzytelniania i zarządzania tożsamościami.
- Bezpieczny sprzęt do wdrażania nowych bezpiecznych technologii sprzętowych i udziałów partnerów krzemowych.
Zabezpieczanie inteligentnej krawędzi wymaga wspólnego wkładu otwartej społeczności kierowanej przez wspólny interes w zabezpieczaniu IoT. Te wkłady mogą być w postaci bezpiecznych technologii lub usług. Platforma zabezpieczeń usługi Azure IoT Edge oferuje solidną podstawę dla zabezpieczeń, które można rozszerzać w celu zapewnienia maksymalnego pokrycia, aby zapewnić taki sam poziom zaufania i integralności w inteligentnej krawędzi, jak w przypadku chmury platformy Azure.
Następne kroki
Dowiedz się więcej na temat zabezpieczania inteligentnej krawędzi przez usługę Azure IoT Edge.