Sicherheitsempfehlungen für die Bereitstellung von Azure Internet of Things (IoT)Security recommendations for Azure Internet of Things (IoT) deployment

Dieser Artikel enthält Sicherheitsempfehlungen für das Internet der Dinge.This article contains security recommendations for IoT. Die Umsetzung dieser Empfehlungen erleichtert es Ihnen, Ihre Sicherheitspflichten zu erfüllen, die in unserem Modell der gemeinsamen Verantwortung beschrieben werden.Implementing these recommendations will help you fulfill your security obligations as described in our shared responsibility model. Weitere Informationen dazu, wie Microsoft seiner Verantwortung als Dienstanbieter nachkommt, finden Sie unter Gemeinsame Verantwortung für das Cloud Computing.For more information on what Microsoft does to fulfill service provider responsibilities, read Shared responsibilities for cloud computing.

Einige der in diesem Artikel enthaltenen Empfehlungen können automatisch durch Azure Security Center überwacht werden.Some of the recommendations included in this article can be automatically monitored by Azure Security Center. Azure Security Center ist die erste Verteidigungslinie zum Schutz Ihrer Ressourcen in Azure.Azure Security Center is the first line of defense in protecting your resources in Azure. Der Dienst analysiert regelmäßig den Sicherheitsstatus Ihrer Azure-Ressourcen, um potenzielle Sicherheitsrisiken zu erkennen.It periodically analyzes the security state of your Azure resources to identify potential security vulnerabilities. Anschließend erhalten Sie Empfehlungen dazu, wie damit umgegangen werden kann.It then provides you with recommendations on how to address them.

AllgemeinGeneral

EmpfehlungRecommendation KommentareComments Von ASC unterstütztSupported by ASC
Bleiben Sie auf dem neusten StandStay up-to-date Verwenden Sie aktuelle Versionen der unterstützten Plattformen, Programmiersprachen, Protokolle und Frameworks.Use the latest versions of supported platforms, programming languages, protocols, and frameworks. -
Schützen von AuthentifizierungsschlüsselnKeep authentication keys safe Bewahren Sie die Geräte-IDs und ihre Authentifizierungsschlüssel nach der Bereitstellung physisch geschützt auf.Keep the device IDs and their authentication keys physically safe after deployment. Dadurch wird vermieden, dass sich ein böswilliges Gerät als registriertes Gerät ausgibt.This will avoid a malicious device masquerade as a registered device. -
Verwenden von Geräte-SDKs nach MöglichkeitUse device SDKs when possible Geräte-SDKs implementieren eine Vielzahl von Sicherheitsmerkmalen, wie z.B. Verschlüsselung, Authentifizierung usw., um Sie bei der Entwicklung einer zuverlässigen und sicheren Geräteanwendung zu unterstützen.Device SDKs implement a variety of security features, such as, encryption, authentication, and so on, to assist you in developing a robust and secure device application. Weitere Informationen finden Sie unter Verstehen und Verwenden von Azure IoT Hub SDKs.See Understand and use Azure IoT Hub SDKs for more information. -

Identitäts- und ZugriffsverwaltungIdentity and access management

EmpfehlungRecommendation KommentareComments Von ASC unterstütztSupported by ASC
Definieren der Zugriffssteuerung für den HubDefine access control for the hub Verstehen und definieren Sie die Art des Zugriffs, die jede Komponente in Ihrer IoT Hub-Lösung basierend auf der Funktionalität haben wird.Understand and define the type of access each component will have in your IoT Hub solution, based on the functionality. Die zulässigen Berechtigungen sind Registry Read, RegistryReadWrite, ServiceConnect und DeviceConnect.The allowed permissions are Registry Read, RegistryReadWrite, ServiceConnect, and DeviceConnect. Standardmäßige SAS-Richtlinien in Ihrem IoT-Hub können auch dazu beitragen, die Berechtigungen jeder Komponente basierend auf ihrer Rolle zu definieren.Default shared access policies in your IoT hub can also help define the permissions for each component based on its role. -
Definieren der Zugriffssteuerung für Back-End-DiensteDefine access control for backend services Daten, die von Ihrer IoT-Hub-Lösung erfasst werden, können von anderen Azure-Diensten wie Cosmos DB, Stream Analytics, App Service, Logik-Apps und Blob Storage genutzt werden.Data ingested by your IoT Hub solution can be consumed by other Azure services such as Cosmos DB, Stream Analytics, App Service, Logic Apps, and Blob storage. Stellen Sie sicher, dass Sie die für diese Dienste dokumentierten Zugriffsberechtigungen verstehen und erteilen.Make sure to understand and allow appropriate access permissions as documented for these services. -

Schutz von DatenData protection

EmpfehlungRecommendation KommentareComments Von ASC unterstütztSupported by ASC
Sichere GeräteauthentifizierungSecure device authentication Stellen Sie eine sichere Kommunikation zwischen Ihren Geräten und Ihrem IoT-Hub sicher, indem Sie entweder einen eindeutigen Identitätsschlüssel oder ein Sicherheitstoken oder für jedes Gerät ein auf dem Gerät befindliches X.509-Zertifikat verwenden.Ensure secure communication between your devices and your IoT hub, by using either a unique identity key or security token, or an on-device X.509 certificate for each device. Wählen Sie die geeignete Methode, um Sicherheitstoken basierend auf dem gewählten Protokoll (MQTT, AMQP oder HTTPS) einzusetzen.Use the appropriate method to use security tokens based on the chosen protocol (MQTT, AMQP, or HTTPS). -
Sichere Kommunikation zwischen GerätenSecure device communication IoT Hub schützt die Verbindung mit den Geräten gemäß dem TLS-Standard (Transport Layer Security) und unterstützt die Versionen 1.2 und 1.0.IoT Hub secures the connection to the devices using Transport Layer Security (TLS) standard, supporting versions 1.2 and 1.0. Verwenden Sie TLS 1.2, um maximale Sicherheit zu gewährleisten.Use TLS 1.2 to ensure maximum security. -
Sichern der DienstkommunikationSecure service communication IoT Hub bietet Endpunkte für die Verbindung mit Back-End-Diensten wie Azure Storage oder Event Hubs, wobei nur das TLS-Protokoll verwendet und kein Endpunkt auf einem unverschlüsselten Kanal offengelegt wird.IoT Hub provides endpoints to connect to backend services such as Azure Storage or Event Hubs using only the TLS protocol, and no endpoint is exposed on an unencrypted channel. Sobald diese Daten diese Back-End-Dienste zur Speicherung oder Analyse erreichen, stellen Sie sicher, dass Sie geeignete Sicherheits- und Verschlüsselungsmethoden für den jeweiligen Dienst verwenden und sensible Informationen im Back-End schützen.Once this data reaches these backend services for storage or analysis, make sure to employ appropriate security and encryption methods for that service, and protect sensitive information at the backend. -

NetzwerkNetworking

EmpfehlungRecommendation KommentareComments Von ASC unterstütztSupported by ASC
Schützen des Zugriffs auf Ihre GeräteProtect access to your devices Beschränken Sie Hardwareanschlüsse in Ihren Geräten auf ein absolutes Minimum, um unerwünschten Zugriff zu vermeiden.Keep hardware ports in your devices to a bare minimum to avoid unwanted access. Entwickeln Sie darüber hinaus Mechanismen, um physische Manipulationen am Gerät zu verhindern oder zu erkennen.Additionally, build mechanisms to prevent or detect physical tampering of the device. Weitere Informationen finden Sie unter Bewährte Methoden für die IoT-Sicherheit.Read IoT security best practices for details. -
Entwickeln sicherer HardwareBuild secure hardware Integrieren Sie Sicherheitsmerkmale wie verschlüsselte Speicherung oder Trusted Platform Module (TPM), um Geräte und Infrastruktur sicherer zu gestalten.Incorporate security features such as encrypted storage, or Trusted Platform Module (TPM), to keep devices and infrastructure more secure. Halten Sie das Gerätebetriebssystem und Treiber auf dem neuesten Stand, und installieren Sie, sofern der Platz es zulässt, Antiviren- und Antischadsoftware.Keep the device operating system and drivers upgraded to latest versions, and if space permits, install antivirus and antimalware capabilities. Unter IoT-Sicherheitsarchitektur erfahren Sie, wie dies dazu beitragen kann, mehrere Sicherheitsbedrohungen zu entschärfen.Read IoT security architecture to understand how this can help mitigate several security threats. -

ÜberwachungMonitoring

EmpfehlungRecommendation KommentareComments Von ASC unterstütztSupported by ASC
Überwachen des nicht autorisierten Zugriffs auf Ihre GeräteMonitor unauthorized access to your devices Überwachen Sie mithilfe der Protokollierungsfunktion Ihres Gerätebetriebssystems etwaige Sicherheitsverletzungen oder physische Manipulationen am Gerät oder an seinen Anschlüssen.Use your device operating system's logging feature to monitor any security breaches or physical tampering of the device or its ports. -
Überwachen Ihrer IoT-Lösung in der CloudMonitor your IoT solution from the cloud Überwachen Sie die allgemeine Integrität Ihrer IoT Hub-Lösung mithilfe der Metriken in Azure Monitor.Monitor the overall health of your IoT Hub solution using the metrics in Azure Monitor. -
Einrichten der DiagnoseSet up diagnostics Beobachten Sie Ihren Betrieb genau, indem Sie Ereignisse in Ihrer Lösung protokollieren und dann die Diagnoseprotokolle an Azure Monitor senden, um einen Überblick über die Leistung zu erhalten.Closely watch your operations by logging events in your solution, and then sending the diagnostic logs to Azure Monitor to get visibility into the performance. Weitere Informationen finden Sie unter Überwachen und Diagnostizieren von Problemen in Ihrem IoT-Hub.Read Monitor and diagnose problems in your IoT hub for more information. -

Nächste SchritteNext steps

Für weitergehende Szenarien mit Azure IoT müssen Sie möglicherweise zusätzliche Sicherheitsanforderungen berücksichtigen.For advanced scenarios involving Azure IoT, you may need to consider additional security requirements. Weitere Anleitungen finden Sie unter IoT-Sicherheitsarchitektur.See IoT security architecture for more guidance.