Esaminare i metodi di autenticazione degli agenti di sicurezza
Il servizio Microsoft Defender per IoT fornisce un'architettura di riferimento per gli agenti di sicurezza. Gli agenti di sicurezza sono in grado di registrare, elaborare, aggregare e distribuire i dati di sicurezza tramite l'hub IoT.
Gli agenti di sicurezza sono progettati per operare in un ambiente IoT con vincoli di risorse. Sono anche altamente personalizzabili in termini di valore che forniscono rispetto alle risorse che utilizzano.
Gli agenti di sicurezza supportano le funzionalità seguenti:
- Raccolgono gli eventi di sicurezza non elaborati dal sistema operativo sottostante (Linux, Windows).
- Aggregano gli eventi di sicurezza non elaborati per creare messaggi che vengono recapitati tramite l'hub IoT.
- Eseguono l'autenticazione con un'identità del dispositivo esistente o un'identità del modulo dedicata.
- Vengono configurati in remoto tramite l'uso del modulo gemello azureiotsecurity.
È necessario un modulo di sicurezza per ogni dispositivo di cui viene eseguito l'onboarding in Microsoft Defender per IoT nel l'hub IoT. Per autenticare il dispositivo, Microsoft Defender per IoT può usare uno di questi due metodi:
- Opzione SecurityModule.
- Opzione Device.
Metodi di autenticazione
Di seguito sono riportate alcune informazioni utili per scegliere tra i due metodi di autenticazione:
- Modalità di autenticazione SecurityModule.
L'agente viene autenticato usando l'identità del modulo di sicurezza indipendentemente dall'identità del dispositivo. Usare questo tipo di autenticazione se si vuole che l'agente di sicurezza usi un metodo di autenticazione dedicato tramite il modulo di sicurezza (solo chiave simmetrica).
- Modalità di autenticazione Device.
Con questo metodo, l'agente di sicurezza esegue prima l'autenticazione con l'identità del dispositivo. Dopo l'autenticazione iniziale, l'agente di Microsoft Defender per IoT esegue una chiamata REST all'hub IoT usando l'API REST con i dati di autenticazione del dispositivo. L'agente di Microsoft Defender per IoT richiede quindi i dati e il metodo di autenticazione al modulo di sicurezza all'hub IoT. Nel passaggio finale l'agente di Microsoft Defender per IoT esegue un'autenticazione a fronte del modulo di Microsoft Defender per IoT.
Usare questo tipo di autenticazione se si vuole che l'agente di sicurezza riutilizzi un metodo di autenticazione del dispositivo esistente (certificato autofirmato o chiave simmetrica).
Limitazioni note dei metodi di autenticazione
La modalità di autenticazione SecurityModule supporta solo l'autenticazione con chiave simmetrica.
Il certificato firmato dall'Autorità di certificazione non è supportato dalla modalità di autenticazione del dispositivo.
Parametri di installazione dell'agente di sicurezza
Quando si distribuisce un agente di sicurezza, i dettagli di autenticazione devono essere specificati come argomenti. Questi argomenti sono documentati nella tabella seguente.
Nome parametro Linux
Nome parametro Windows
Parametro abbreviato
Descrizione
Opzioni
authentication-identity
AuthenticationIdentity
aui
Identità di autenticazione.
SecurityModule o Device
authentication-method
AuthenticationMethod
aum
Metodo di autenticazione.
SymmetricKey o SelfSignedCertificate
file-path
FilePath
f
Percorso completo assoluto per il file contenente il certificato o la chiave simmetrica.
host-name
HostName
hn
Nome di dominio completo dell'hub IoT.
Esempio: ContosoIotHub.azure-devices.net
device-id
DeviceId
di
ID dispositivo.
Esempio: MyDevice1
certificate-location-kind
CertificateLocationKind
cl
Posizione di archiviazione del certificato.
LocalFile o Store
Quando invece si distribuisce un agente di sicurezza con uno script di installazione, viene creato automaticamente un file di configurazione.
Cambiare il metodo di autenticazione dopo la distribuzione
Per cambiare il metodo di autenticazione dopo la distribuzione, è necessario modificare manualmente il file di configurazione.
Agente di sicurezza basato su C#
Modificare Authentication.config con i parametri seguenti:
<Authentication>
<add key="deviceId" value=""/>
<add key="gatewayHostname" value=""/>
<add key="filePath" value=""/>
<add key="type" value=""/>
<add key="identity" value=""/>
<add key="certificateLocationKind" value="" />
</Authentication>
Agente di sicurezza basato su C
Modificare LocalConfiguration.json con i parametri seguenti:
"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}