Examen de los métodos de autenticación del agente de seguridad

  • 5 minutos

El servicio Microsoft Defender para IoT proporciona una arquitectura de referencia para los agentes de seguridad. Los agentes de seguridad pueden registrar, procesar, agregar y entregar datos de seguridad a través de IoT Hub.

Los agentes de seguridad están diseñados para funcionar en un entorno de IoT con recursos restringidos. Los agentes de seguridad también son muy personalizables en lo que respecta al valor que proporcionan en comparación con los recursos que consumen.

Los agentes de seguridad permiten realizar lo siguiente:

  • Recopilan eventos de seguridad sin procesar del sistema operativo subyacente (Linux, Windows).
  • Agregan eventos de seguridad sin procesar para crear mensajes que se entregan a través de IoT Hub.
  • Se autentican con una identidad de dispositivo existente o una identidad de módulo dedicada.
  • Se configuran de forma remota mediante el uso del módulo gemelo azureiotsecurity.

Se requiere un módulo de seguridad para cada dispositivo incorporado a MicrosoftDefender para IoT en IoT Hub. Para autenticar el dispositivo, Microsoft Defender para IoT puede usar uno de estos dos métodos:

  • Opción de SecurityModule
  • Opción de dispositivo

Métodos de autenticación

Puede usar la información siguiente como ayuda para elegir entre los dos métodos de autenticación:

  • Modo de autenticación de SecurityModule

El agente se autentica con la identidad del módulo de seguridad independientemente de la identidad del dispositivo. Use este tipo de autenticación si quiere que el agente de seguridad use un método de autenticación dedicado a través del módulo de seguridad (solo clave simétrica).

  • Modo de autenticación de dispositivo

En este método, el agente de seguridad se autentica primero con la identidad del dispositivo. Después de la autenticación inicial, el agente de Microsoft Defender para IoT realiza una llamada REST a IoT Hub mediante la API REST con los datos de autenticación del dispositivo. El agente de Microsoft Defender para IoT solicita el método de autenticación del módulo de seguridad y los datos de IoT Hub. En el paso final, el agente de Microsoft Defender para IoT realiza una autenticación con el módulo de Microsoft Defender para IoT.

Emplee este tipo de autenticación si quiere que el agente de seguridad reutilice un método de autenticación de dispositivo dedicado ya existente (certificado autofirmado o clave simétrica).

Limitaciones conocidas de los métodos de autenticación

El modo de autenticación SecurityModule admite únicamente la autenticación mediante una clave simétrica.

El modo de autenticación de dispositivo no admite certificados firmados por una entidad de certificación.

Parámetros de instalación del agente de seguridad

Al implementar un agente de seguridad, los detalles de autenticación se deben proporcionar como argumentos. Estos argumentos se documentan en la siguiente tabla.

Nombre de parámetro de Linux

Nombre de parámetro de Windows

Parámetro abreviado

Descripción

Opciones

authentication-identity

AuthenticationIdentity

aui

Identidad de autenticación.

SecurityModule o Device

authentication-method

AuthenticationMethod

aum

Método de autenticación.

SymmetricKey o SelfSignedCertificate

file-path

FilePath

f

Ruta de acceso completa absoluta para el archivo que contiene el certificado o la clave simétrica.

host-name

HostName

hn

FQDN de IoT Hub.

Ejemplo: ContosoIotHub.azure-devices.net

device-id

deviceId

di

Id. de dispositivo.

Ejemplo: MyDevice1

certificate-location-kind

CertificateLocationKind

cl

Ubicación de almacenamiento de certificados.

LocalFile o Store

Al implementar a un agente de seguridad con un script de instalación, se crea automáticamente un archivo de configuración.

Cambiar el método de autenticación después de la implementación

Para cambiar los métodos de autenticación después de la implementación, es necesario editar el archivo de configuración manualmente.

Agente de seguridad basado en C#

Edite Authentication.config con los siguientes parámetros:

<Authentication>
  <add key="deviceId" value=""/>
  <add key="gatewayHostname" value=""/>
  <add key="filePath" value=""/>
  <add key="type" value=""/>
  <add key="identity" value=""/>
  <add key="certificateLocationKind" value="" />
</Authentication>

Agente de seguridad basado en C

Edite LocalConfiguration.json con los siguientes parámetros:

"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}