Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dotyczy:
IoT Edge 1.1
Ważne
Data zakończenia wsparcia usługi IoT Edge 1.1 wynosiła 13 grudnia 2022 r. Sprawdź cykl życia produktu firmy Microsoft , aby uzyskać informacje na temat sposobu obsługi tego produktu, usługi, technologii lub interfejsu API. Aby uzyskać więcej informacji na temat aktualizowania do najnowszej wersji usługi IoT Edge, zobacz Aktualizowanie usługi IoT Edge.
Usługa Azure IoT Edge dla systemu Linux w systemie Windows korzysta ze wszystkich rozwiązań zabezpieczeń oferowanych przez hosta klienta/serwera z systemem Windows i zapewnia, że wszystkie dodatkowe składniki zachowują te same podstawowe zasady bezpieczeństwa. Ten artykuł zawiera informacje o różnych zasadach zabezpieczeń, które są domyślnie włączone, oraz niektórych opcjonalnych mechanizmach, które użytkownik może włączyć.
Zabezpieczenia maszyn wirtualnych
Wyselekcjonowana maszyna wirtualna IoT Edge dla Linuksa (EFLOW) jest oparta na rozwiązaniu Microsoft CBL-Mariner. CBL-Mariner to wewnętrzna dystrybucja systemu Linux dla infrastruktury chmury firmy Microsoft oraz produktów i usług brzegowych. CBL-Mariner został zaprojektowany, aby zapewnić spójną platformę dla tych urządzeń i usług oraz zwiększa zdolność firmy Microsoft do pozostawania na bieżąco z aktualizacjami systemu Linux. Aby uzyskać więcej informacji, zobacz Zabezpieczenia CBL-Mariner.
Maszyna wirtualna EFLOW jest oparta na trzypunktowej kompleksowej platformie zabezpieczeń:
- Aktualizacje obsługi
- System plików root tylko do odczytu
- Blokada zapory
Aktualizacje obsługi
W przypadku wystąpienia luk w zabezpieczeniach CBL-Mariner udostępnia najnowsze poprawki zabezpieczeń dostępne w ramach comiesięcznych aktualizacji ELOW. Maszyna wirtualna nie ma menedżera pakietów, więc nie można ręcznie pobrać i zainstalować pakietów RPM. Wszystkie aktualizacje maszyny wirtualnej są instalowane przy użyciu mechanizmu aktualizacji EFLOW A/B. Aby uzyskać więcej informacji na temat aktualizacji EFLOW, zobacz Aktualizowanie usługi IoT Edge dla systemu Linux w systemie Windows
System plików katalogu głównego tylko do odczytu
Maszyna wirtualna EFLOW składa się z dwóch głównych partycji rootfs i danych. Partycje rootFS-A lub rootFS-B są zamienne, a jedna z nich jest zamontowana w lokalizacji / w trybie tylko do odczytu, co oznacza, że żadne zmiany w plikach przechowywanych w tej partycji nie są dozwolone. Z drugiej strony partycja danych instalowana w obszarze /var jest czytelna i zapisywalna, umożliwiając użytkownikowi modyfikowanie zawartości wewnątrz partycji. Dane przechowywane na tej partycji nie są manipulowane przez proces aktualizacji i dlatego nie zostaną zmodyfikowane w ramach aktualizacji.
Ponieważ w określonych przypadkach użycia może być potrzebny dostęp do zapisu w /etc, /home, /root i /var, dostęp do zapisu dla tych katalogów jest zapewniany poprzez nadkładanie ich na naszą partycję danych, szczególnie w katalogu /var/.eflow/overlays. Wynikiem końcowym jest to, że użytkownicy mogą zapisywać dowolne dane w wcześniej wspomnianych katalogach. Aby uzyskać więcej informacji na temat nakładek, zobacz overlayfs.
| Partycja | Rozmiar | Opis |
|---|---|---|
| Bagażnik | 192 MB | Zawiera bootloader |
| RootFS A | 2 GB | Jedna z dwóch aktywnych/pasywnych partycji z głównym systemem plików |
| RootFS B | 2 GB | Jedna z dwóch aktywnych/pasywnych partycji z głównym systemem plików |
| Aktualizacja AB | 2 GB | Przechowuje pliki aktualizacji. Upewnij się, że na maszynie wirtualnej zawsze jest wystarczająca ilość miejsca na potrzeby aktualizacji |
| Dane | Od 2 GB do 2 TB | Partycja z zachowaniem stanu do przechowywania trwałych danych podczas aktualizacji. Możliwość rozszerzania zgodnie z konfiguracją wdrożenia |
Uwaga / Notatka
Układ partycji reprezentuje rozmiar dysku logicznego i nie wskazuje miejsca fizycznego zajmowane przez maszynę wirtualną na dysku systemu operacyjnego hosta.
Zapora sieciowa
Domyślnie maszyna wirtualna EFLOW używa narzędzia iptables do konfiguracji zapory. Iptables służy do konfigurowania, utrzymywania i kontrolowania tabel reguł filtrowania pakietów IP w jądrze systemu Linux. Domyślna implementacja zezwala tylko na ruch przychodzący na porcie 22 (usługa SSH) i blokuje ruch w inny sposób. Konfigurację iptables można sprawdzić, wykonując następujące kroki:
Otwieranie sesji programu PowerShell z podwyższonym poziomem uprawnień
Nawiązywanie połączenia z maszyną wirtualną EFLOW
Connect-EflowVmWyświetl wszystkie reguły iptables
sudo iptables -L
Moduł TPM (Trusted Platform Module)
Technologia modułu TPM (Trusted Platform Module) została zaprojektowana w celu zapewnienia funkcji związanych ze sprzętem i zabezpieczeniami. Układ TPM jest zabezpieczonym kryptoprocesorem, przeznaczonym do wykonywania operacji kryptograficznych. Układ zawiera wiele mechanizmów zabezpieczeń fizycznych odpornych na manipulacje, a złośliwe oprogramowanie nie może manipulować funkcjami zabezpieczeń modułu TPM.
Maszyna wirtualna EFLOW nie obsługuje vTPM. Użytkownik może jednak włączyć lub wyłączyć funkcję przekazywania TPM, która pozwala maszynie wirtualnej EFLOW na wykorzystanie modułu TPM systemu operacyjnego hosta Windows. Umożliwia to dwa główne scenariusze:
- Użyj technologii TPM na potrzeby aprowizacji urządzeń usługi IoT Edge przy użyciu usługi Device Provision Service (DPS). Aby uzyskać więcej informacji, zobacz Tworzenie i aprowizowanie usługi IoT Edge dla systemu Linux na urządzeniu z systemem Windows na dużą skalę przy użyciu modułu TPM.
- Dostęp tylko do odczytu do kluczy kryptograficznych przechowywanych wewnątrz modułu TPM. Aby uzyskać więcej informacji, zobacz Set-EflowVmFeature, aby włączyć przekazywanie TPM.
Bezpieczna komunikacja hosta i maszyny wirtualnej
Platforma EFLOW udostępnia wiele sposobów interakcji z maszyną wirtualną przez uwidacznianie rozbudowanej implementacji modułu programu PowerShell. Aby uzyskać więcej informacji, zobacz Funkcje programu PowerShell dla usługi IoT Edge dla systemu Linux w systemie Windows. Ten moduł wymaga uruchomienia sesji z podwyższonym poziomem uprawnień i jest podpisany przy użyciu certyfikatu firmy Microsoft Corporation.
Cała komunikacja między systemem operacyjnym hosta systemu Windows a wymaganą przez polecenia cmdlet programu PowerShell maszyną wirtualną EFLOW odbywa się przy użyciu kanału SSH. Domyślnie usługa SSH maszyny wirtualnej nie zezwala na uwierzytelnianie za pośrednictwem nazwy użytkownika i hasła i jest ograniczona do uwierzytelniania certyfikatu. Certyfikat jest tworzony podczas procesu wdrażania EFLOW i jest unikatowy dla każdej instalacji EFLOW. Ponadto, aby zapobiec atakom siłowym SSH, maszyna wirtualna zablokuje adres IP, jeśli spróbuje więcej niż trzy połączenia na minutę z usługą SSH.
Dalsze kroki
Dowiedz się więcej o środowisku zabezpieczeń IoT systemu Windows
Bądź up-to— data z najnowszymi aktualizacjami usługi IoT Edge dla systemu Linux w systemie Windows.