Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit IoT-Lösungen können Sie Ihre IoT-Geräte und -Ressourcen im großen Maßstab verbinden, überwachen und steuern. In einer in der Cloud verbundenen Lösung stellen Geräte und Objekte eine direkte Verbindung mit der Cloud her. In einer edgegebundenen Lösung stellen Geräte und Ressourcen eine Verbindung mit einer Edge-Laufzeitumgebung her. Sie müssen Ihre physischen Ressourcen und Geräte, Edgeinfrastruktur und Clouddienste schützen, um Ihre IoT-Lösung vor Bedrohungen zu schützen. Sie müssen auch die Daten schützen, die über Ihre IoT-Lösung fließen, unabhängig davon, ob sie sich am Edge oder in der Cloud befinden.
Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer IoT-Lösung. Jeder Abschnitt enthält Links zu Inhalten, die weitere Details und Anleitungen enthalten.
Das folgende Diagramm zeigt eine allgemeine Ansicht der Komponenten in einer typischen edgegebundenen IoT-Lösung. Dieser Artikel konzentriert sich auf die Sicherheit einer edgegebundenen IoT-Lösung:
In einer Edge-verbundenen IoT-Lösung können Sie die Sicherheit in die folgenden vier Bereiche unterteilen:
Ressourcensicherheit: Sichern Sie die IoT-Ressource, während sie lokal bereitgestellt wird.
Verbindungssicherheit: Stellen Sie sicher, dass alle Daten während der Übertragung zwischen der Ressource, dem Edge und den Clouddiensten vertraulich und manipulationssicher sind.
Edge-Sicherheit: Schützen Sie Ihre Daten während der Verschiebung und Speicherung am Edge.
Cloudsicherheit: Sichern Sie Ihre Daten, während sie durch die Cloud übertragen werden und dort gespeichert sind.
Microsoft Defender for IoT und Microsoft Defender für Container
Microsoft Defender for IoT ist eine einheitliche Sicherheitslösung, die speziell zur Identifizierung von IoT- und Betriebstechnologiegeräten, Sicherheitsrisiken und Bedrohungen entwickelt wurde. Microsoft Defender für Container ist eine cloudeigene Lösung, mit der Sie die Sicherheit Ihrer containerisierten Ressourcen (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und mehr) und deren Anwendungen über mehrere Cloud- und lokale Umgebungen hinweg verbessern, überwachen und verwalten können.
Sowohl Defender für IoT als auch Defender für Container können einige der in diesem Artikel enthaltenen Empfehlungen automatisch überwachen. Defender für IoT und Defender für Container sollten Ihre erste Verteidigungslinie sein, um Ihre mit dem Edge verbundene Lösung zu schützen. Weitere Informationen finden Sie unter:
- Microsoft Defender für Container – Übersicht
- Microsoft Defender for IoT für Organisationen – Übersicht.
OT-, IT- und Cloudsicherheitsgrenzen
mit Azure IoT Einsatz können Organisationen OT-Objekte und industrielle Datenquellen mit cloudbasierten Verwaltungs-, Analyse- und Automatisierungsdiensten verbinden.
Das Verbinden von OT-Umgebungen mit IT- und Cloudsystemen bietet erhebliche betriebliche Vorteile, ändert aber auch herkömmliche Sicherheitsgrenzen. Daten, Identitäten, Verwaltungsvorgänge und Workloads können Umgebungen umfassen, die historisch isoliert betrieben wurden.
Berücksichtigen Sie beim Entwerfen einer Azure IoT Einsatz Bereitstellung die folgenden Prinzipien:
- Wenden Sie die Netzwerksegmentierung zwischen OT-, IT- und cloudverbundenen Umgebungen an. Verwenden Sie für eine Purdue/ISA-95-segmentierte Topologie eine gestaffelte Netzwerkbereitstellung, um die Kommunikation auf benachbarte Ebenen zu beschränken.
- Verwenden Sie Zugriffskontrollen nach dem Prinzip der geringsten Rechte für Benutzer, Anwendungen und Verwaltungssysteme, und konfigurieren Sie dedizierte Identitäten mithilfe von sicheren Einstellungen und verwalteten Identitäten.
- Behandeln Sie mit der Cloud verbundene Betriebsdaten als reine Information, es sei denn, sie wurden durch Ihre betrieblichen Sicherheitsprozesse validiert. Daten, die über die Betriebserfahrung und Dashboards geleitet werden, eignen sich am besten für die Überwachung.
- Vermeiden Sie die Verwendung von Cloud-Dashboards, Analysen oder Überwachungsansichten als alleinige Autorität für sicherheitskritische oder notfallrelevante Betriebliche Entscheidungen.
- Befolgen Sie die geltenden Branchenstandards, behördlichen Anforderungen und standortspezifischen Sicherheitsrichtlinien, wenn SIE OT-Objekte mit Clouddiensten verbinden.
Die Anwendung der Zero Trust-Sicherheitsprinzipien hilft Ihnen, diese Grenzen zu sichern: Führen Sie explizite Überprüfungen durch, wenden Sie das Prinzip der geringsten Berechtigungen an und gehen Sie von einer Sicherheitsverletzung aus. Sie sind weiterhin dafür verantwortlich, zu bestimmen, welche Betriebsdaten und Kontrollpfade für die Cloudintegration in Ihrer Umgebung geeignet sind.
Anlagensicherheit
Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Ressourcen, z. B. Industrielle Geräte, Sensoren und andere Geräte, die Teil Ihrer IoT-Lösung sind. Die Sicherheit des Vermögens ist entscheidend, um die Integrität und Vertraulichkeit der von ihr generierten und übertragenen Daten sicherzustellen.
Verwenden Sie Azure Key Vault und die Erweiterung für den geheimen Speicher: Verwenden Sie Azure Key Vault, um vertrauliche Informationen für Ihre Objekte zu speichern und zu verwalten, z. B. Schlüssel, Kennwörter, Zertifikate und geheime Schlüssel. Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und verwendet die Azure Key Vault Secret Store-Erweiterung für Kubernetes, um geheime Schlüssel aus der Cloud zu synchronisieren und sie am Rand als Kubernetes-Geheimnisse zu speichern. Weitere Informationen finden Sie unter Geheimnisse für Ihre Azure IoT-Betriebseinsätze verwalten.
Einrichten der sicheren Zertifikatverwaltung: Die Verwaltung von Zertifikaten ist entscheidend für die sichere Kommunikation zwischen Ressourcen und Ihrer Edge-Laufzeitumgebung. Azure IoT Einsatz bietet Tools zum Verwalten von Zertifikaten, einschließlich Ausstellen, Erneuern und Widerrufen von Zertifikaten. Weitere Informationen finden Sie unter Verwalten von Zertifikaten für Ihre Azure IoT Einsatz Bereitstellung.
Wählen Sie manipulationssichere Hardware aus: Wählen Sie Asset-Hardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, z. B. das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.
Ermöglichen von sicheren Updates für die Ressourcenfirmware: Verwenden Sie Dienste, die Over-The-Air-Updates für Ihre Ressourcen ermöglichen. Entwickeln Sie Ressourcen mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um die Ressourcen während und nach Updates zu schützen.
Sicheres Bereitstellen von Ressourcenhardware: Stellen Sie sicher, dass die Bereitstellung von Ressourcenhardware möglichst weitgehend gegen Manipulation geschützt ist, insbesondere an unsicheren Orten wie öffentlichen Räumen oder nicht überwachten Gebietsschemas. Aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren, z. B. sichere Abdeckung von USB-Anschlüssen, wenn sie nicht benötigt werden.
Befolgen Sie bewährte Methoden für Die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Sicherheits- und Bereitstellungsleitfaden bereitstellt, befolgen Sie diese Anleitung zusammen mit den allgemeinen Anleitungen in diesem Artikel.
Verbindungssicherheit
Dieser Abschnitt enthält Anleitungen zum Absichern der Verbindungen zwischen Ihren Assets, der Edge-Laufzeitumgebung und den Clouddiensten. Die Sicherheit der Verbindungen ist entscheidend, um die Integrität und Vertraulichkeit der übertragenen Daten sicherzustellen.
Befolgen Sie Azure IoT Einsatz Richtlinien für die Produktionsbereitstellung für Verbindungen: Für Produktions- Azure IoT Einsatz Bereitstellungen bieten Produktionsbereitstellungsrichtlinien eine detaillierte Konfiguration für die Bereitstellung Ihres eigenen CA-Ausstellers mit Unternehmens-PKI, MQTT-Broker interne Datenverkehrsverschlüsselung, automatische TLS-Zertifikatverwaltung für BrokerListener und sichere Verbindungen mit OPC UA-Servern.
Verwenden Sie Transport Layer Security (TLS), um Verbindungen von Objekten zu sichern: Die gesamte Kommunikation innerhalb Azure IoT Einsatz wird mithilfe von TLS verschlüsselt. Um eine sichere standardmäßige Erfahrung bereitzustellen, die die unbeabsichtigte Gefährdung Ihrer Edge-verbundenen Lösung gegenüber Angreifern minimiert, wird Azure IoT Einsatz mit einem standardmäßigen Root-CA und einem Aussteller für TLS-Serverzertifikate bereitgestellt. Verwenden Sie für eine Produktionsbereitstellung Ihren eigenen Ca-Aussteller und eine PKI-Unternehmenslösung.
Isolieren und Segmentieren von Netzwerken: Verwenden Sie Netzwerksegmentierung und Firewalls, um IoT Operations-Cluster und Edgegeräte von anderen Netzwerkressourcen zu isolieren. Fügen Sie ihrer Zulassungsliste erforderliche Endpunkte hinzu, wenn Sie Unternehmensfirewalls oder Proxys verwenden. Weitere Informationen finden Sie in den Richtlinien für die Produktionsbereitstellung – Netzwerk.
Edgesicherheit
Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Edge-Laufzeitumgebung, bei der es sich um die Software handelt, die auf Ihrer Edgeplattform ausgeführt wird. Diese Software verarbeitet Ihre Bestandsdaten und verwaltet die Kommunikation zwischen Ihren Ressourcen und Clouddiensten. Die Sicherheit der Edge-Laufzeitumgebung ist entscheidend, um die Integrität und Vertraulichkeit der verarbeiteten und übertragenen Daten sicherzustellen.
- Befolgen Sie die Richtlinien für die Produktionsbereitstellung von Azure IoT Einsatz für die Edge-Runtime: Befolgen Sie für Azure IoT Einsatz-Bereitstellungen in der Produktion die Richtlinien für die Produktionsbereitstellung; diese behandeln die Überprüfung von Microsoft-signierten Images, das Cluster auf dem neuesten Patchstand zu halten, die Steuerung der automatischen Arc-Aktualisierung, die MQTT-Brokerauthentifizierung und die Themenautorisierung nach dem Prinzip der geringsten Rechte.
Cloudsicherheit
Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Clouddienste, bei denen es sich um die Dienste handelt, die Ihre Bestandsdaten verarbeiten und speichern. Die Sicherheit der Clouddienste ist entscheidend, um die Integrität und Vertraulichkeit Ihrer Daten sicherzustellen.
Befolgen Sie Azure IoT Einsatz Produktionsbereitstellungsrichtlinien für Cloudverbindungen: Für Produktions- Azure IoT Einsatz Bereitstellungen gelten Richtlinien für die Produktionsbereitstellungfür vom Benutzer zugewiesene verwaltete Identitäten für Datenflussendpunkte und Cloudverbindungen und die Bereitstellung von Observability-Ressourcen vor der Bereitstellung.
Sicherer Zugriff auf Assets und Assetendpunkte mit Azure RBAC: Assets und Assetendpunkte in Azure IoT Einsatz verfügen über Darstellungen sowohl im Kubernetes-Cluster als auch im Azure-Portal. Verwenden Sie Azure RBAC, um den Zugriff auf diese Ressourcen zu sichern. Azure RBAC ist ein Autorisierungssystem, mit dem Sie den Zugriff auf Azure Ressourcen verwalten können. Verwenden Sie Azure RBAC, um Benutzern, Gruppen und Anwendungen Berechtigungen zu einem bestimmten Bereich zu gewähren. Weitere Informationen finden Sie unter benutzerdefinierte RBAC-Rollen für Ihre Azure IoT Einsatz-Ressourcen.
Verwandte Inhalte
- IoT Hub Security
- Sicherheitsleitfaden für IoT Central
- DPS-Sicherheitspraktiken
- IoT Edge Security Framework
- Azure Sicherheitsgrundwerte für Azure IoT Hub
- Well-Architected Framework-Perspektive in Azure IoT Hub
- Azure Sicherheitsgrundwerte für Azure Arc aktivierte Kubernetes
- Konzepte für die dauerhafte Sicherheit Ihrer cloudnativen Workload