Procedure consigliate per la sicurezza di Internet of ThingsInternet of Things security best practices

Per proteggere un'infrastruttura Internet of Things (IoT) è richiesta una strategia di sicurezza rigorosa e approfondita.To secure an Internet of Things (IoT) infrastructure requires a rigorous security-in-depth strategy. Questa strategia richiede la protezione dei dati nel cloud, dell'integrità dei dati in transito sulla rete internet pubblica e il provisioning sicuro dei dispositivi.This strategy requires you to secure data in the cloud, protect data integrity while in transit over the public internet, and securely provision devices. Ogni livello crea maggiori garanzie di sicurezza dell'infrastruttura complessiva.Each layer builds greater security assurance in the overall infrastructure.

Proteggere un'infrastruttura IoTSecure an IoT infrastructure

Questa strategia di sicurezza può essere sviluppata e implementata con la partecipazione attiva dei vari attori coinvolti nella produzione, nello sviluppo e nella distribuzione di dispositivi e infrastrutture IoT.This security-in-depth strategy can be developed and executed with active participation of various players involved with the manufacturing, development, and deployment of IoT devices and infrastructure. Di seguito è riportata una descrizione dettagliata degli attori.Following is a high-level description of these players.

  • Produttore/integratore di hardware IoT: in genere si tratta dei produttori dell'hardware IoT da distribuire, integratori che si occupano dell'assemblaggio di hardware da produttori diversi, oppure di fornitori per la distribuzione IoT prodotta o integrata da altri fornitori.IoT hardware manufacturer/integrator: Typically, these are the manufacturers of IoT hardware being deployed, integrators assembling hardware from various manufacturers, or suppliers providing hardware for an IoT deployment manufactured or integrated by other suppliers.
  • Sviluppatore di soluzioni IoT: lo sviluppo di una soluzione IoT viene in genere effettuato da uno sviluppatore di soluzioni.IoT solution developer: The development of an IoT solution is typically done by a solution developer. Uno sviluppatore può far parte di un team interno o un integratore di sistemi (SI) specializzato in questa attività.This developer may part of an in-house team or a system integrator (SI) specializing in this activity. Lo sviluppatore di soluzioni IoT può sviluppare vari componenti della soluzione IoT partendo da zero, integrare vari componenti predefiniti o open source, oppure adottare soluzioni preconfigurate che necessitano di un adattamento minore.The IoT solution developer can develop various components of the IoT solution from scratch, integrate various off-the-shelf or open-source components, or adopt preconfigured solutions with minor adaptation.
  • Distributore di soluzioni IoT: una volta sviluppata, la soluzione IoT deve essere distribuita nell'ambiente.IoT solution deployer: After an IoT solution is developed, it needs to be deployed in the field. Ciò implica la distribuzione dell'hardware, l'interconnessione dei dispositivi e la distribuzione di soluzioni su dispositivi hardware o nel cloud.This involves deployment of hardware, interconnection of devices, and deployment of solutions in hardware devices or the cloud.
  • Operatore di soluzioni IoT: una volta distribuita, la soluzione IoT richiede operazioni, monitoraggio, aggiornamenti e manutenzione a lungo termine.IoT solution operator: After the IoT solution is deployed, it requires long-term operations, monitoring, upgrades, and maintenance. Questa operazione può essere eseguita da un team interno che comprende esperti di tecnologie informatiche, team per le operazioni hardware e team di manutenzione, nonché specialisti di dominio che monitorano il corretto funzionamento dell'intera infrastruttura IoT.This can be done by an in-house team that comprises information technology specialists, hardware operations and maintenance teams, and domain specialists who monitor the correct behavior of overall IoT infrastructure.

Le sezioni che seguono descrivono le procedure consigliate per ognuno di questi attori per aiutare a sviluppare, distribuire e gestire un'infrastruttura IoT protetta.The sections that follow provide best practices for each of these players to help develop, deploy, and operate a secure IoT infrastructure.

Produttore/integratore di hardware IoTIoT hardware manufacturer/integrator

Di seguito sono riportate le pratiche ottimali per i produttori di hardware IoT e gli integratori di hardware.The following are the best practices for IoT hardware manufacturers and hardware integrators.

  • Impostare l'hardware sui requisiti minimi: la progettazione dell'hardware deve includere esclusivamente le funzionalità minime necessarie per il funzionamento.Scope hardware to minimum requirements: The hardware design should include the minimum features required for operation of the hardware, and nothing more. Ad esempio, è possibile includere porte USB solo se necessario al funzionamento del dispositivo.An example is to include USB ports only if necessary for the operation of the device. Queste funzionalità aggiuntive espongono il dispositivo a vettori di attacchi indesiderati, che sarebbe opportuno evitare.These additional features open the device for unwanted attack vectors that should be avoided.
  • Realizzare hardware a prova di manomissione: meccanismi integrati per il rilevamento di manomissioni fisiche, ad esempio l'apertura del coperchio del dispositivo o la rimozione di una parte del dispositivo.Make hardware tamper proof: Build in mechanisms to detect physical tampering, such as opening of the device cover or removing a part of the device. Questi segnali di manomissione possono essere inseriti nel flusso dei dati caricati nel cloud, al fine di segnalare tali eventi agli operatori.These tamper signals may be part of the data stream uploaded to the cloud, which could alert operators of these events.
  • Creare un hardware sicuro: se il costo del venduto lo consente, creare funzionalità di sicurezza, ad esempio l'archiviazione protetta e crittografata o la funzionalità di avvio basata sul modulo TPM (Trusted Platform Module).Build around secure hardware: If COGS permits, build security features such as secure and encrypted storage, or boot functionality based on Trusted Platform Module (TPM). Queste funzionalità rendono i dispositivi più sicuri e aiutano a proteggere l'intera infrastruttura IoT.These features make devices more secure and help protect the overall IoT infrastructure.
  • Implementare aggiornamenti sicuri: gli aggiornamenti del firmware durante il ciclo di vita del dispositivo non possono essere evitati.Make upgrades secure: Firmware upgrades during the lifetime of the device are inevitable. La creazione di dispositivi con percorsi protetti per gli aggiornamenti e crittografia protetta delle versioni del firmware consentirà al dispositivo di rimanere protetto durante e dopo gli aggiornamenti.Building devices with secure paths for upgrades and cryptographic assurance of firmware versions will allow the device to be secure during and after upgrades.

Sviluppatore di soluzioni IoTIoT solution developer

Di seguito sono riportate le pratiche ottimali per gli sviluppatori di soluzioni IoT:The following are the best practices for IoT solution developers:

  • Applicare una metodologia di sviluppo software protetta: lo sviluppo di software protetti richiede una riflessione totale riguardo alla sicurezza dall'inizio del progetto fino all'implementazione, al test e alla distribuzione.Follow secure software development methodology: Development of secure software requires ground-up thinking about security, from the inception of the project all the way to its implementation, testing, and deployment. Le scelte di piattaforme, linguaggi e strumenti è influenzata dalla metodologia.The choices of platforms, languages, and tools are all influenced with this methodology. Microsoft Security Development Lifecycle fornisce un approccio dettagliato per la creazione di software protetti.The Microsoft Security Development Lifecycle provides a step-by-step approach to building secure software.
  • Scegliere software open source con attenzione: il software open source consente di sviluppare soluzioni in modo rapido.Choose open-source software with care: Open-source software provides an opportunity to quickly develop solutions. Quando si sceglie il software open source, valutare il livello di attività della community per ogni componente open source.When you're choosing open-source software, consider the activity level of the community for each open-source component. Una community attiva garantisce il supporto del software e la possibilità di rilevare e risolvere i problemi.An active community ensures that software is supported and that issues are discovered and addressed. Al contrario, un software open source incomprensibile e inattivo non verrebbe supportato e i problemi non verranno probabilmente rilevati.Alternatively, an obscure and inactive open-source software might not be supported and issues will probably not be discovered.
  • Eseguire l'integrazione con attenzione: molti dei problemi di sicurezza del software intervengono al confine tra librerie e API.Integrate with care: Many software security flaws exist at the boundary of libraries and APIs. Le funzionalità non necessarie per la distribuzione in corso potrebbero essere ancora disponibili tramite un livello di API.Functionality that may not be required for the current deployment might still be available via an API layer. Per garantire la sicurezza complessiva, assicurarsi di controllare tutte le interfacce dei componenti integrati per rilevare eventuali difetti di protezione.To ensure overall security, make sure to check all interfaces of components being integrated for security flaws.

Distributore di soluzioni IoTIoT solution deployer

Di seguito sono riportate le pratiche ottimali per i distributori di soluzioni IoT:The following are best practices for IoT solution deployers:

  • Distribuire l'hardware in modo sicuro: le distribuzioni IoT potrebbero richiedere che l'hardware da distribuire si trovi in posizioni non protette, ad esempio spazi pubblici o posizioni non controllate.Deploy hardware securely: IoT deployments may require hardware to be deployed in unsecure locations, such as in public spaces or unsupervised locales. In questi casi, assicurarsi che la distribuzione dell'hardware garantisca la massima protezione dalle manomissioni.In such situations, ensure that hardware deployment is tamper-proof to the maximum extent. Se l'hardware dispone di porte USB o di altro tipo, assicurarsi che questi elementi siano protetti.If USB or other ports are available on the hardware, ensure that they are covered securely. Molti vettori di attacco possono usarle come punto di ingresso.Many attack vectors can use these as entry points.
  • Proteggere le chiavi di autenticazione: durante la distribuzione, ogni dispositivo richiede gli ID dei dispositivi e le chiavi di autenticazione associate generate dal servizio cloud.Keep authentication keys safe: During deployment, each device requires device IDs and associated authentication keys generated by the cloud service. Conservare fisicamente queste chiavi al sicuro anche dopo la distribuzione.Keep these keys physically safe even after the deployment. Qualsiasi chiave compromessa può essere usata da un dispositivo non autorizzato per passare come dispositivo esistente.Any compromised key can be used by a malicious device to masquerade as an existing device.

Operatore di soluzioni IoTIoT solution operator

Di seguito sono riportate le pratiche ottimali per gli operatori di soluzioni IoT:The following are the best practices for IoT solution operators:

  • Aggiornare il sistema regolarmente: assicurarsi che tutti i sistemi operativi e i driver dei dispositivi vengano aggiornati alle versioni più recenti.Keep the system up to date: Ensure that device operating systems and all device drivers are upgraded to the latest versions. Se si attiva la funzionalità di aggiornamento automatico su Windows 10 (IoT o altri SKU), Microsoft mantiene il sistema aggiornato, garantendo un sistema operativo protetto per i dispositivi IoT.If you turn on automatic updates in Windows 10 (IoT or other SKUs), Microsoft keeps it up to date, providing a secure operating system for IoT devices. Mantenere aggiornati gli altri sistemi operativi (ad esempio Linux) aiuta a garantirne la protezione anche dagli attacchi dannosi.Keeping other operating systems (such as Linux) up to date helps ensure that they are also protected against malicious attacks.
  • Proteggere i sistemi da attività dannose: se il sistema operativo lo consente, installare le più recenti funzionalità antivirus e anti-malware su ogni sistema operativo del dispositivo.Protect against malicious activity: If the operating system permits, install the latest antivirus and antimalware capabilities on each device operating system. In questo modo è possibile mitigare le minacce più esterne.This can help mitigate most external threats. È possibile proteggere i sistemi operativi più recenti dalle minacce eseguendo i passaggi appropriati.You can protect most modern operating systems against threats by taking appropriate steps.
  • Effettuare controlli regolari: controllare la presenza di problemi di sicurezza all'infrastruttura IoT è un fattore chiave durante la risposta agli incidenti di sicurezza.Audit frequently: Auditing IoT infrastructure for security-related issues is key when responding to security incidents. La maggior parte dei sistemi operativi offre la registrazione integrata degli eventi che è opportuno esaminare frequentemente per assicurarsi che non si verifichino violazioni della protezione.Most operating systems provide built-in event logging that should be reviewed frequently to make sure no security breach has occurred. Le informazioni di controllo possono essere inviate come flusso dati di telemetria separati al servizio cloud per l'analisi.Audit information can be sent as a separate telemetry stream to the cloud service where it can be analyzed.
  • Proteggere fisicamente l'infrastruttura IoT: gli attacchi più dannosi per la sicurezza dell'infrastruttura IoT vengono lanciati tramite l'accesso fisico ai dispositivi.Physically protect the IoT infrastructure: The worst security attacks against IoT infrastructure are launched using physical access to devices. Un'importante procedura di sicurezza è la protezione contro l'uso non autorizzato di porte USB e altri accessi fisici.One important safety practice is to protect against malicious use of USB ports and other physical access. Un'operazione fondamentale per rilevare eventuali violazioni è la registrazione degli accessi fisici, come l'uso delle porte USB.One key to uncovering breaches that might have occurred is logging of physical access, such as USB port use. Anche in questo caso, Windows 10 (IoT e altri SKU) offre la registrazione dettagliata di questi eventi.Again, Windows 10 (IoT and other SKUs) enables detailed logging of these events.
  • Proteggere le credenziali del cloud: le credenziali per l'autenticazione nel cloud usate per la configurazione e il funzionamento di una distribuzione IoT costituiscono probabilmente il modo più semplice per accedere e compromettere un sistema IoT.Protect cloud credentials: Cloud authentication credentials used for configuring and operating an IoT deployment are possibly the easiest way to gain access and compromise an IoT system. Proteggere le credenziali modificando frequentemente la password ed evitare di usarle sui computer pubblici.Protect the credentials by changing the password frequently, and refrain from using these credentials on public machines.

Le capacità dei vari dispositivi IoT variano.Capabilities of different IoT devices vary. Alcuni dispositivi potrebbero essere computer dotati di sistemi operativi desktop tradizionali, mentre altri dispositivi potrebbero disporre di sistemi operativi molto leggeri.Some devices might be computers running common desktop operating systems, and some devices might be running very light-weight operating systems. Le migliori pratiche per la protezione descritte in precedenza possono essere applicate a questi dispositivi in modo diverso.The security best practices described previously might be applicable to these devices in varying degrees. Se specificato, è necessario attenersi alle procedure aggiuntive per la sicurezza e la distribuzione fornite dai produttori dei dispositivi.If provided, additional security and deployment best practices from the manufacturers of these devices should be followed.

Alcuni dispositivi legacy e limitati potrebbero non essere stati progettati in modo specifico per la distribuzione IoT.Some legacy and constrained devices might not have been designed specifically for IoT deployment. Questi dispositivi potrebbero non essere in grado di crittografare i dati, stabilire connessioni a Internet, o fornire un controllo avanzato.These devices might lack the capability to encrypt data, connect with the Internet, or provide advanced auditing. In questi casi, l'uso di un gateway moderno e sicuro sul campo può aggregare i dati dai dispositivi legacy al fine di garantire la protezione necessaria per la connessione di questi dispositivi a Internet.In these cases, a modern and secure field gateway can aggregate data from legacy devices and provide the security required for connecting these devices over the Internet. I gateway sul campo offrono l'autenticazione protetta, la negoziazione per le sessioni crittografate, la ricezione di comandi dal cloud e molte altre funzionalità di sicurezza.Field gateways can provide secure authentication, negotiation of encrypted sessions, receipt of commands from the cloud, and many other security features.

Vedere ancheSee also

Per altre informazioni sulla protezione della soluzione IoT, vedere:To learn more about securing your IoT solution, see:

È anche possibile esplorare alcune altre funzionalità delle soluzioni preconfigurate di IoT Suite:You can also explore some of the other features and capabilities of the IoT Suite preconfigured solutions:

Informazioni sulla protezione dell'hub IoT sono disponibili in Controllare l'accesso all'hub IoT nella guida per gli sviluppatori dell'hub IoT.You can read about IoT Hub security in Control access to IoT Hub in the IoT Hub developer guide.