Sichern Ihrer IoT-Lösungen

Mit IoT-Lösungen können Sie Ihre IoT-Geräte und -Ressourcen im großen Maßstab verbinden, überwachen und steuern. In einer in der Cloud verbundenen Lösung stellen Geräte und Objekte eine direkte Verbindung mit der Cloud her. In einer edgegebundenen Lösung stellen Geräte und Ressourcen eine Verbindung mit einer Edge-Laufzeitumgebung her. Sie müssen Ihre physischen Ressourcen und Geräte, Edgeinfrastruktur und Clouddienste schützen, um Ihre IoT-Lösung vor Bedrohungen zu schützen. Sie müssen auch die Daten schützen, die über Ihre IoT-Lösung fließen, unabhängig davon, ob sie sich am Edge oder in der Cloud befinden.

Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer IoT-Lösung. Jeder Abschnitt enthält Links zu Inhalten, die weitere Details und Anleitungen enthalten.

Das folgende Diagramm zeigt eine allgemeine Ansicht der Komponenten in einer typischen edgegebundenen IoT-Lösung. Dieser Artikel konzentriert sich auf die Sicherheit einer edgegebundenen IoT-Lösung:

Diagramm, das die allgemeine Architektur einer IoT-Lösung mit Edge-Anbindung darstellt und dabei den Schwerpunkt auf die Sicherheit legt.

In einer Edge-verbundenen IoT-Lösung können Sie die Sicherheit in die folgenden vier Bereiche unterteilen:

  • Ressourcensicherheit: Sichern Sie die IoT-Ressource, während sie lokal bereitgestellt wird.

  • Verbindungssicherheit: Stellen Sie sicher, dass alle Daten während der Übertragung zwischen der Ressource, dem Edge und den Clouddiensten vertraulich und manipulationssicher sind.

  • Edge-Sicherheit: Schützen Sie Ihre Daten während der Verschiebung und Speicherung am Edge.

  • Cloudsicherheit: Sichern Sie Ihre Daten, während sie durch die Cloud übertragen werden und dort gespeichert sind.

Microsoft Defender for IoT und Microsoft Defender für Container

Microsoft Defender for IoT ist eine einheitliche Sicherheitslösung, die speziell zur Identifizierung von IoT- und Betriebstechnologiegeräten, Sicherheitsrisiken und Bedrohungen entwickelt wurde. Microsoft Defender für Container ist eine cloudeigene Lösung, mit der Sie die Sicherheit Ihrer containerisierten Ressourcen (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und mehr) und deren Anwendungen über mehrere Cloud- und lokale Umgebungen hinweg verbessern, überwachen und verwalten können.

Sowohl Defender für IoT als auch Defender für Container können einige der in diesem Artikel enthaltenen Empfehlungen automatisch überwachen. Defender für IoT und Defender für Container sollten Ihre erste Verteidigungslinie sein, um Ihre mit dem Edge verbundene Lösung zu schützen. Weitere Informationen finden Sie unter:

OT-, IT- und Cloudsicherheitsgrenzen

mit Azure IoT Einsatz können Organisationen OT-Objekte und industrielle Datenquellen mit cloudbasierten Verwaltungs-, Analyse- und Automatisierungsdiensten verbinden.

Das Verbinden von OT-Umgebungen mit IT- und Cloudsystemen bietet erhebliche betriebliche Vorteile, ändert aber auch herkömmliche Sicherheitsgrenzen. Daten, Identitäten, Verwaltungsvorgänge und Workloads können Umgebungen umfassen, die historisch isoliert betrieben wurden.

Berücksichtigen Sie beim Entwerfen einer Azure IoT Einsatz Bereitstellung die folgenden Prinzipien:

  • Wenden Sie die Netzwerksegmentierung zwischen OT-, IT- und cloudverbundenen Umgebungen an. Verwenden Sie für eine Purdue/ISA-95-segmentierte Topologie eine gestaffelte Netzwerkbereitstellung, um die Kommunikation auf benachbarte Ebenen zu beschränken.
  • Verwenden Sie Zugriffskontrollen nach dem Prinzip der geringsten Rechte für Benutzer, Anwendungen und Verwaltungssysteme, und konfigurieren Sie dedizierte Identitäten mithilfe von sicheren Einstellungen und verwalteten Identitäten.
  • Behandeln Sie mit der Cloud verbundene Betriebsdaten als reine Information, es sei denn, sie wurden durch Ihre betrieblichen Sicherheitsprozesse validiert. Daten, die über die Betriebserfahrung und Dashboards geleitet werden, eignen sich am besten für die Überwachung.
  • Vermeiden Sie die Verwendung von Cloud-Dashboards, Analysen oder Überwachungsansichten als alleinige Autorität für sicherheitskritische oder notfallrelevante Betriebliche Entscheidungen.
  • Befolgen Sie die geltenden Branchenstandards, behördlichen Anforderungen und standortspezifischen Sicherheitsrichtlinien, wenn SIE OT-Objekte mit Clouddiensten verbinden.

Die Anwendung der Zero Trust-Sicherheitsprinzipien hilft Ihnen, diese Grenzen zu sichern: Führen Sie explizite Überprüfungen durch, wenden Sie das Prinzip der geringsten Berechtigungen an und gehen Sie von einer Sicherheitsverletzung aus. Sie sind weiterhin dafür verantwortlich, zu bestimmen, welche Betriebsdaten und Kontrollpfade für die Cloudintegration in Ihrer Umgebung geeignet sind.

Anlagensicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Ressourcen, z. B. Industrielle Geräte, Sensoren und andere Geräte, die Teil Ihrer IoT-Lösung sind. Die Sicherheit des Vermögens ist entscheidend, um die Integrität und Vertraulichkeit der von ihr generierten und übertragenen Daten sicherzustellen.

  • Verwenden Sie Azure Key Vault und die Erweiterung für den geheimen Speicher: Verwenden Sie Azure Key Vault, um vertrauliche Informationen für Ihre Objekte zu speichern und zu verwalten, z. B. Schlüssel, Kennwörter, Zertifikate und geheime Schlüssel. Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und verwendet die Azure Key Vault Secret Store-Erweiterung für Kubernetes, um geheime Schlüssel aus der Cloud zu synchronisieren und sie am Rand als Kubernetes-Geheimnisse zu speichern. Weitere Informationen finden Sie unter Geheimnisse für Ihre Azure IoT-Betriebseinsätze verwalten.

  • Einrichten der sicheren Zertifikatverwaltung: Die Verwaltung von Zertifikaten ist entscheidend für die sichere Kommunikation zwischen Ressourcen und Ihrer Edge-Laufzeitumgebung. Azure IoT Einsatz bietet Tools zum Verwalten von Zertifikaten, einschließlich Ausstellen, Erneuern und Widerrufen von Zertifikaten. Weitere Informationen finden Sie unter Verwalten von Zertifikaten für Ihre Azure IoT Einsatz Bereitstellung.

  • Wählen Sie manipulationssichere Hardware aus: Wählen Sie Asset-Hardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, z. B. das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.

  • Ermöglichen von sicheren Updates für die Ressourcenfirmware: Verwenden Sie Dienste, die Over-The-Air-Updates für Ihre Ressourcen ermöglichen. Entwickeln Sie Ressourcen mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um die Ressourcen während und nach Updates zu schützen.

  • Sicheres Bereitstellen von Ressourcenhardware: Stellen Sie sicher, dass die Bereitstellung von Ressourcenhardware möglichst weitgehend gegen Manipulation geschützt ist, insbesondere an unsicheren Orten wie öffentlichen Räumen oder nicht überwachten Gebietsschemas. Aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren, z. B. sichere Abdeckung von USB-Anschlüssen, wenn sie nicht benötigt werden.

  • Befolgen Sie bewährte Methoden für Die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Sicherheits- und Bereitstellungsleitfaden bereitstellt, befolgen Sie diese Anleitung zusammen mit den allgemeinen Anleitungen in diesem Artikel.

Verbindungssicherheit

Dieser Abschnitt enthält Anleitungen zum Absichern der Verbindungen zwischen Ihren Assets, der Edge-Laufzeitumgebung und den Clouddiensten. Die Sicherheit der Verbindungen ist entscheidend, um die Integrität und Vertraulichkeit der übertragenen Daten sicherzustellen.

Edgesicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Edge-Laufzeitumgebung, bei der es sich um die Software handelt, die auf Ihrer Edgeplattform ausgeführt wird. Diese Software verarbeitet Ihre Bestandsdaten und verwaltet die Kommunikation zwischen Ihren Ressourcen und Clouddiensten. Die Sicherheit der Edge-Laufzeitumgebung ist entscheidend, um die Integrität und Vertraulichkeit der verarbeiteten und übertragenen Daten sicherzustellen.

Cloudsicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Clouddienste, bei denen es sich um die Dienste handelt, die Ihre Bestandsdaten verarbeiten und speichern. Die Sicherheit der Clouddienste ist entscheidend, um die Integrität und Vertraulichkeit Ihrer Daten sicherzustellen.