Beveiliging in uw IoT-workload

IoT-oplossingen hebben de uitdaging om diverse en heterogene werkbelastingen op basis van apparaten te beveiligen met weinig of geen directe interactie. Ontwikkelaars van IoT-apparaten, Ontwikkelaars van IoT-toepassingen en IoT-oplossingsoperators delen de verantwoordelijkheid voor beveiliging tijdens de volledige levenscyclus van de IoT-oplossing. Het is belangrijk om de oplossing vanaf het begin te ontwerpen met het oog op beveiliging. Krijg inzicht in de mogelijke bedreigingen en voeg diepgaande verdediging toe tijdens het ontwerpen en ontwerpen van de oplossing.

Beveiligingsplanning begint met een bedreigingsmodel. Als u begrijpt hoe een aanvaller een systeem kan binnendluizen, kunt u vanaf het begin zorgen voor passende oplossingen. Threat modeling biedt de grootste waarde wanneer u deze in de ontwerpfase opneemt. Als onderdeel van de oefening voor threat modeling kunt u een typische IoT-architectuur opsplitsen in verschillende onderdelen of zones: apparaat, apparaatgateway, cloudgateway en services. Elke zone kan zijn eigen verificatie-, autorisatie- en gegevensvereisten hebben. U kunt zones gebruiken om schade te isoleren en de impact van zones met een laag vertrouwensrelatie op zones met een hoger vertrouwensrelatie te beperken. Zie de IoT-beveiligingsarchitectuur (Internet of Things) voor meer informatie.

De volgende beveiligingsrichtlijnen voor IoT-workloads identificeren belangrijke overwegingen en bieden ontwerp- en implementatieaanbevelingen.

De beveiliging van uw IoT-workload evalueren

Als u uw IoT-workload wilt beoordelen via de lenzen van de Well-Architected Framework Security-pijler, voltooit u de beveiligingsvragen voor IoT-workloads in de Azure Well-Architected Review. Nadat de evaluatie de belangrijkste beveiligingsaanbeveling voor uw IoT-oplossing heeft geïdentificeerd, gebruikt u de volgende inhoud om de aanbevelingen te implementeren.

Ontwerpprincipes

Vijf pijlers van uitstekende architectuur ondersteunen de ontwerpmethodologie voor IoT-workloads. Deze pijlers fungeren als kompas voor latere ontwerpbeslissingen in de belangrijkste IoT-ontwerpgebieden. De volgende ontwerpprincipes breiden de kwaliteitspijler van het Azure Well-Architected Framework - Beveiliging uit.

Ontwerpprincipe	Overwegingen
Sterke identiteit	Gebruik een sterke identiteit om apparaten en gebruikers te verifiëren. Een vertrouwde hardwarebasis voor vertrouwde identiteit hebben, apparaten registreren, hernieuwbare referenties uitgeven en wachtwoordloze of meervoudige verificatie (MFA) gebruiken. Bekijk algemene overwegingen voor Azure-identiteits- en toegangsbeheer.
Minimale bevoegdheid	Automatiseer en gebruik toegangsbeheer met minimale bevoegdheden om de impact van aangetaste apparaten of identiteiten of niet-goedgekeurde workloads te beperken.
Apparaatstatus	Evalueer de apparaatstatus om toegang tot apparaten te gateen of apparaten te markeren voor herstel. Controleer de beveiligingsconfiguratie, beoordeel beveiligingsproblemen en onveilige wachtwoorden, controleer op bedreigingen en afwijkingen en bouw doorlopende risicoprofielen.
Apparaatupdate	Continue updates om apparaten in orde te houden. Gebruik een gecentraliseerde oplossing voor configuratie- en nalevingsbeheer en een robuust updatemechanisme om ervoor te zorgen dat apparaten up-to-date en in orde zijn.
Systeembeveiliging bewaken, reactie op incidenten plannen	Proactief controleren op niet-geautoriseerde of aangetaste apparaten en reageren op nieuwe bedreigingen.

Zero-trust-beveiligingsmodel

Onbevoegde toegang tot IoT-systemen kan leiden tot het massaal vrijgeven van informatie, zoals gelekte productiegegevens in de fabriek, of onrechtmatige uitbreiding van bevoegdheden voor beheer van cyber-fysieke systemen, zoals het stoppen van een productielijn in de fabriek. Een zero trust-beveiligingsmodel helpt bij het beperken van de mogelijke impact van het verkrijgen van onbevoegde toegang tot cloud- of on-premises IoT-services en -gegevens.

In plaats van ervan uit te gaan dat alles achter een bedrijfsfirewall veilig is, worden alle toegangsaanvragen volledig geverifieerd, geautoriseerd en versleuteld voordat toegang wordt verleend. Het beveiligen van IoT-oplossingen zonder vertrouwen begint met het implementeren van basisprocedures voor identiteits-, apparaat- en toegangsbeveiliging, zoals het expliciet verifiëren van gebruikers, het controleren van apparaten in het netwerk en het gebruik van realtime risicodetectie om dynamische toegangsbeslissingen te nemen.

De volgende resources kunnen u helpen bij het implementeren van een IoT-oplossing zonder vertrouwen:

• De Microsoft Zero Trust Assessment analyseert de hiaten in uw huidige beveiliging voor identiteit, eindpunten, apps, netwerk, infrastructuur en gegevens. Gebruik de aanbevolen oplossingen om prioriteit te geven aan uw zero trust-implementatie en ga verder met de richtlijnen van het Microsoft Zero Trust Guidance Center.

• In het technische document Zero Trust Cybersecurity for the Internet of Things wordt beschreven hoe u een zero-trust-benadering kunt toepassen op IoT-oplossingen op basis van de omgeving en klantervaringen van Microsoft.

• Het document NIST Zero Trust Architecture (nist.gov) biedt richtlijnen voor het maken van zero-trust-architecturen. Dit document bevat algemene implementatiemodellen en gebruiksvoorbeelden waarbij zero trust de algehele it-beveiligingspostuur van een onderneming kan verbeteren.

IoT-architectuurpatronen

De meeste IoT-systemen gebruiken een architectuurpatroon voor verbonden producten of verbonden bewerkingen. Er zijn belangrijke beveiligingsverschillen tussen deze patronen. Oplossingen voor verbonden bewerkingen of operationele technologie (OT) hebben vaak on-premises apparaten die andere fysieke apparaten bewaken en beheren. Deze OT-apparaten voegen beveiligingsuitdagingen toe, zoals manipulatie, pakketsnuiven en de noodzaak van out-of-band-beheer en over-the-air (OTA) updates.

Factory's en OT-omgevingen kunnen eenvoudige doelen zijn voor malware en beveiligingsschendingen, omdat apparatuur oud, fysiek kwetsbaar en geïsoleerd kan zijn van beveiliging op serverniveau. Raadpleeg de beveiligingspijler van Azure Well-Architected Framework voor een end-to-end-perspectief.

IoT-architectuurlagen

Beveiligingsontwerpprincipes helpen overwegingen te verduidelijken om ervoor te zorgen dat uw IoT-workload voldoet aan de vereisten in de basislagen van de IoT-architectuur.

Alle lagen zijn onderhevig aan verschillende bedreigingen die kunnen worden geclassificeerd volgens de STRIDE-categorieën: spoofing, manipulatie, weerlegbaarheid, openbaarmaking van informatie, Denial of Service en verhoging van bevoegdheden. Volg altijd de procedures van Microsoft Security Development Lifecycle (SDL) wanneer u IoT-architecturen ontwerpt en bouwt.

Apparaat- en gatewaylaag

Deze architectuurlaag bevat de directe fysieke ruimte rond het apparaat en de gateway die fysieke toegang of peer-to-peer digitale toegang mogelijk maakt. Veel industriële bedrijven gebruiken het Purdue-model dat is opgenomen in de ISA 95-standaard om ervoor te zorgen dat hun procesbesturingsnetwerken zowel hun beperkte netwerkbandbreedte beschermen als realtime deterministisch gedrag bieden. Het Purdue-model biedt een extra laag diepgaande verdedigingsmethoden.

Sterke apparaat-id

Nauw geïntegreerde mogelijkheden van IoT-apparaten en -services bieden een sterke apparaatidentiteit. Deze mogelijkheden omvatten:

• Een hardwarebasis van vertrouwen.
• Sterke verificatie met behulp van certificaten, MFA of verificatie zonder wachtwoord.
• Hernieuwbare referenties.
• Organisatie-IoT-apparaatregister.

Een hardwarebasis van vertrouwensrelatie heeft de volgende kenmerken:

• Beveilig referentieopslag die identiteit bewijst in toegewezen, manipulatiebestendige hardware.
• Onveranderbare onboarding-identiteit die is gekoppeld aan het fysieke apparaat.
• Unieke, hernieuwbare operationele referenties per apparaat voor reguliere apparaattoegang.

De onboarding-identiteit vertegenwoordigt en is onafscheidelijk van het fysieke apparaat. Deze identiteit wordt meestal gemaakt en geïnstalleerd tijdens de productie en kan niet worden gewijzigd voor de levensduur van het apparaat. Gezien de onveranderbaarheid en levensduur moet u de onboarding-identiteit van het apparaat alleen gebruiken om het apparaat in de IoT-oplossing te onboarden.

Na onboarding kunt u een hernieuwbare operationele identiteit en referenties inrichten en gebruiken voor verificatie en autorisatie voor de IoT-toepassing. Door deze identiteit te hernieuwbaar te maken, kunt u de toegang en intrekking van het apparaat beheren voor operationele toegang. U kunt op het moment van verlenging beleidsgestuurde poorten toepassen, zoals attestation van apparaatintegriteit en -status.

De hardwarebasis van vertrouwen zorgt er ook voor dat apparaten zijn gebouwd volgens beveiligingsspecificaties en voldoen aan de vereiste nalevingsregimes. Beveilig de toeleveringsketen van de hardwarebasis van vertrouwen, of andere hardwareonderdelen van een IoT-apparaat, om ervoor te zorgen dat aanvallen in de toeleveringsketen de apparaatintegriteit niet in gevaar brengen.

Verificatie zonder wachtwoord, meestal met behulp van standaard x509-certificaten om de identiteit van een apparaat te bewijzen, biedt een betere beveiliging dan geheimen zoals wachtwoorden en symmetrische tokens die tussen beide partijen worden gedeeld. Certificaten zijn een sterk, gestandaardiseerd mechanisme dat vernieuwbare verificatie zonder wachtwoord biedt. Certificaten beheren:

• Operationele certificaten inrichten vanuit een vertrouwde openbare-sleutelinfrastructuur (PKI).
• Gebruik een verlengingsduur die geschikt is voor bedrijfsgebruik, beheeroverhead en kosten.
• Maak verlenging automatisch om mogelijke toegangsonderbrekingen als gevolg van handmatige rotatie tot een minimum te beperken.
• Gebruik standaard, up-to-date cryptografietechnieken. U kunt bijvoorbeeld vernieuwen via certificaatondertekeningsaanvragen (CSR) in plaats van een persoonlijke sleutel te verzenden.
• Toegang verlenen aan apparaten op basis van hun operationele identiteit.
• Ondersteuning voor het intrekken van referenties, zoals een certificaatintrekkingslijst (CRL) bij het gebruik van x509-certificaten, om de toegang tot het apparaat onmiddellijk te verwijderen, bijvoorbeeld in reactie op inbreuk of diefstal.

Sommige verouderde of resource-beperkte IoT-apparaten kunnen geen sterke identiteit, verificatie zonder wachtwoord of hernieuwbare referenties gebruiken. Gebruik IoT-gateways als voogden om lokaal te communiceren met deze minder compatibele apparaten, zodat ze toegang krijgen tot IoT-services met sterke identiteitspatronen. Met deze procedure kunt u vandaag zero trust gebruiken, terwijl u in de loop van de tijd overgaat naar het gebruik van meer compatibele apparaten.

Virtuele machines (VM's), containers of een service die een IoT-client insluit, kunnen geen hardwarevertrouwensbasis gebruiken. Gebruik de beschikbare mogelijkheden met deze onderdelen. VM's en containers, die geen ondersteuning voor hardwarebasis van vertrouwen hebben, kunnen verificatie zonder wachtwoord en hernieuwbare referenties gebruiken. Een diepgaande verdedigingsoplossing biedt waar mogelijk redundantie en vult waar nodig hiaten in. U kunt bijvoorbeeld VM's en containers vinden in een gebied met meer fysieke beveiliging, zoals een datacenter, vergeleken met een IoT-apparaat in het veld.

Gebruik een gecentraliseerd organisatie-IoT-apparaatregister om de levenscyclus van ioT-apparaten van uw organisatie te beheren en de toegang tot apparaten te controleren. Deze benadering is vergelijkbaar met de manier waarop u de gebruikersidentiteiten van de werknemers van een organisatie beveiligt om zero-trust-beveiliging te bereiken. Een identiteitsregister in de cloud kan de schaal, het beheer en de beveiliging van een IoT-oplossing verwerken.

Registergegevens van IoT-apparaten onboarden apparaten in een IoT-oplossing door te controleren of de apparaat-id en referenties bekend en geautoriseerd zijn. Nadat de onboarding van een apparaat is uitgevoerd, bevat het apparaatregister de kerneigenschappen van het apparaat, waaronder de operationele identiteit en de hernieuwbare referenties die worden gebruikt voor verificatie voor dagelijks gebruik.

U kunt registergegevens van IoT-apparaten gebruiken voor het volgende:

• Bekijk de inventaris van de IoT-apparaten van een organisatie, inclusief status, patch en beveiligingsstatus.
• Voer query's uit en groepeer apparaten voor geschaalde bewerkingen, beheer, workloadimplementatie en toegangsbeheer.

Gebruik netwerksensoren voor het detecteren en inventariseren van onbeheerde IoT-apparaten die geen verbinding maken met Azure IoT-services, voor bewustwording en bewaking.

Toegang met minimale bevoegdheden

Met toegangsbeheer met de minste bevoegdheden kunt u de impact beperken van geverifieerde identiteiten die mogelijk zijn aangetast of niet-goedgekeurde workloads uitvoeren. Voor IoT-scenario's verleent u operator-, apparaat- en workloadtoegang met behulp van:

• Toegangsbeheer voor apparaten en workloads, voor alleen toegang tot scoped workloads op het apparaat.
• Just-In-Time-toegang.
• Sterke verificatiemechanismen, zoals MFA en verificatie zonder wachtwoord.
• Voorwaardelijke toegang op basis van de context van een apparaat, zoals IP-adres of GPS-locatie, systeemconfiguratie, uniekheid, tijdstip van de dag of netwerkverkeerspatronen. Services kunnen ook apparaatcontext gebruiken om werkbelastingen voorwaardelijk te implementeren.

Effectieve toegang met minimale bevoegdheden implementeren:

• Configureer Toegangsbeheer voor IoT-cloudgateway om alleen de juiste toegangsmachtigingen te verlenen voor de functionaliteit die de back-end vereist.
• Beperk toegangspunten tot IoT-apparaten en cloudtoepassingen door ervoor te zorgen dat poorten minimale toegang hebben.
• Bouw mechanismen om manipulatie van fysieke apparaten te voorkomen en te detecteren.
• Gebruikerstoegang beheren via een geschikt toegangsbeheermodel, zoals op rollen gebaseerd toegangsbeheer of op kenmerken gebaseerd toegangsbeheer.
• Laag met minimale bevoegdheden voor IoT-apparaten met behulp van netwerksegmentatie.

Microsegmentatie van het netwerk

Netwerkontwerp en -configuratie bieden mogelijkheden om diepgaande verdediging te bouwen door IoT-apparaten te segmenteren op basis van hun verkeerspatronen en risicoblootstelling. Deze segmentatie minimaliseert de potentiële impact van gecompromitteerde apparaten en kwaadwillende apparaten die worden gebruikt voor assets met een hogere waarde. Netwerksegmentatie maakt doorgaans gebruik van firewalls van de volgende generatie.

Microsegmentatie van netwerken maakt isolatie mogelijk van minder compatibele apparaten op de netwerklaag, achter een gateway of in een afzonderlijk netwerksegment. Gebruik netwerksegmentatie om IoT-apparaten te groeperen en gebruik Endpoint Protection om de impact van mogelijke inbreuk te beperken.

Implementeer een holistische firewallregelstrategie waarmee apparaten toegang hebben tot het netwerk wanneer dat nodig is en de toegang blokkeert wanneer dit niet is toegestaan. Ter ondersteuning van diepgaande verdediging kunnen volwassen organisaties microsegmentatiebeleid implementeren op meerdere lagen van het Purdue-model. Gebruik indien nodig firewalls op apparaten om netwerktoegang te beperken.

Device health

Volgens het nulvertrouwensprincipe is de apparaatstatus een belangrijke factor om het risicoprofiel, inclusief het vertrouwensniveau, van een apparaat te bepalen. Gebruik het risicoprofiel als een toegangspoort om ervoor te zorgen dat alleen gezonde apparaten toegang hebben tot IoT-toepassingen en -services, of om apparaten met een twijfelachtige status te identificeren voor herstel.

Volgens industrienormen moet de evaluatie van de apparaatstatus het volgende omvatten:

• Evaluatie van beveiligingsconfiguratie en attestatie dat het apparaat veilig is geconfigureerd.
• Evaluatie van beveiligingsproblemen om te bepalen of de software van het apparaat verouderd is of bekende beveiligingsproblemen heeft.
• Onveilige referentie-evaluatie voor het controleren van apparaatreferenties, zoals certificaten en protocollen, zoals Transport Layer Security (TLS) 1.2+.
• Actieve bedreigingen en bedreigingswaarschuwingen.
• Afwijkende gedragswaarschuwingen, zoals netwerkpatroon en gebruiksdeviatie.

Nulvertrouwenscriteria voor apparaten

Ter ondersteuning van zero trust moeten IoT-apparaten:

• Een hardwarebasis van vertrouwen bevatten om een sterke apparaat-id te bieden.
• Gebruik hernieuwbare referenties voor reguliere bewerking en toegang.
• Dwing toegangsbeheer met minimale bevoegdheden af voor lokale apparaatresources, zoals camera's, opslag en sensoren.
• De juiste apparaatstatussignalen verzenden om het afdwingen van voorwaardelijke toegang mogelijk te maken.
• Geef update-agents en bijbehorende software-updates op voor de bruikbare levensduur van het apparaat om ervoor te zorgen dat beveiligingsupdates kunnen worden toegepast.
• Neem mogelijkheden voor apparaatbeheer op om cloudgestuurde apparaatconfiguratie en geautomatiseerde beveiligingsreacties mogelijk te maken.
• Voer beveiligingsagents uit die kunnen worden geïntegreerd met beveiligingsbewakings-, detectie- en responssystemen.
• Beperk de footprint van fysieke aanvallen, bijvoorbeeld door apparaatfuncties die niet nodig zijn uit te schakelen of uit te schakelen, zoals fysieke USB- of UART-poorten, of Wi-Fi- of Bluetooth-connectiviteit. Gebruik indien nodig fysieke verwijdering, afdekking of blokkering.
• Gegevens op apparaten beveiligen. Als data-at-rest wordt opgeslagen op apparaten, gebruikt u standaardversleutelingsalgoritmen om de gegevens te versleutelen.

Verschillende Azure-producten en -services ondersteunen beveiliging van IoT-apparaten:

• Azure Sphere Guardian-modules verbinden kritieke verouderde apparaten met IoT-services met zero-trust-mogelijkheden, waaronder sterke identiteit, end-to-end-versleuteling en regelmatige beveiligingsupdates.

• Azure IoT Edge biedt een Edge Runtime-verbinding met IoT Hub en andere Azure-services en ondersteunt certificaten als sterke apparaatidentiteiten. IoT Edge ondersteunt de PKCS#11-standaard voor apparaatproductie-identiteiten en andere geheimen die zijn opgeslagen op een Trusted Platform Module (TPM) of Hardware Security Module (HSM).

• De Azure IoT Hub SDK's bestaan uit een set clientbibliotheken voor apparaten, ontwikkelaarshandleidingen, voorbeelden en documentatie. Apparaat-SDK's implementeren verschillende beveiligingsfuncties, zoals versleuteling en verificatie, om u te helpen een robuuste en veilige apparaattoepassing te ontwikkelen.

• Azure RTOS biedt een realtime besturingssysteem als een verzameling C-taalbibliotheken die u kunt implementeren op een breed scala aan ingesloten IoT-apparaatplatforms.

  Azure RTOS bevat een volledige TCP/IP-stack met TLS 1.2 en 1.3 en basis X.509-mogelijkheden. Azure RTOS en de Azure IoT Embedded SDK kunnen ook worden geïntegreerd met Azure IoT Hub, Azure Device Provisioning Service (DPS) en Microsoft Defender. Functies zoals X.509 wederzijdse verificatie en ondersteuning voor moderne TLS-coderingssuites zoals ECDHE en AES-GCM dekken de basisbeginselen van beveiligde netwerkcommunicatie.

  Azure RTOS biedt ook ondersteuning voor:

  • Zero-trust-ontwerp op microcontrollerplatforms die hardwarebeveiligingsfuncties ondersteunen, zoals Arm TrustZone, een architectuur voor geheugenbeveiliging en partitionering.
  • Beveiligde elementapparaten, zoals de STSAFE-A110 van ST Microelectronics.
  • Industriestandaarden zoals de Arm Platform Security Architecture (PSA), die hardware en firmware combineert om een gestandaardiseerde set beveiligingsfuncties te bieden, waaronder beveiligd opstarten, cryptografie en attestation.

• Met het Azure Certified Device-programma kunnen apparaatpartners eenvoudig apparaten onderscheiden en promoten. Het programma helpt bouwers van oplossingen en klanten IoT-apparaten te vinden die zijn gebouwd met functies die een zero-trust-oplossing mogelijk maken.

• Het Edge Secured Core-programma (preview) valideert of apparaten voldoen aan de beveiligingsvereisten voor apparaatidentiteit, beveiligd opstarten, besturingssysteembeveiliging, apparaatupdates, gegevensbescherming en openbaarmaking van beveiligingsproblemen. De edge secured-core-programmavereisten zijn afgeleid van verschillende branchevereisten en beveiligingstechnische aspecten.

  Met het Edge Secured Core-programma kunnen Azure-services zoals de Azure Attestation-service voorwaardelijke beslissingen nemen op basis van de houding van het apparaat, waardoor het zero-trust-model mogelijk wordt. Apparaten moeten een vertrouwensbasis voor hardware bevatten en beveiligd opstarten en firmwarebeveiliging bieden. Deze kenmerken kunnen worden gemeten door de Attestation-service en worden gebruikt door downstreamservices om voorwaardelijk toegang te verlenen tot gevoelige resources.

Opname- en communicatielaag

Gegevens die worden opgenomen in de IoT-oplossing, moeten worden beveiligd met de richtlijnen in de beveiligingspijler van Azure Well-Architected Framework. Daarnaast is het voor IoT-oplossingen essentieel om ervoor te zorgen dat de communicatie van het apparaat naar de cloud veilig en versleuteld is met behulp van de nieuwste TLS-standaarden.

Laag voor apparaatbeheer en modellering

Deze architectuurlaag bevat softwareonderdelen of modules die worden uitgevoerd in de cloud die een interface hebben met apparaten en gateways voor het verzamelen en analyseren van gegevens, evenals voor opdrachten en beheer.

Nulvertrouwenscriteria voor IoT-services

Gebruik IoT-services die de volgende belangrijke zero-trust-mogelijkheden bieden:

• Volledige ondersteuning voor zero-trust gebruikerstoegangsbeheer, bijvoorbeeld sterke gebruikersidentiteiten, MFA en voorwaardelijke gebruikerstoegang.
• Integratie met toegangsbeheersystemen voor gebruikers voor toegangsbeheer met de minste bevoegdheden en voorwaardelijke besturingselementen.
• Een centraal apparaatregister voor volledige apparaatinventaris en apparaatbeheer.
• Wederzijdse verificatie, met hernieuwbare apparaatreferenties met sterke identiteitsverificatie.
• Apparaattoegangsbeheer met minimale bevoegdheden met voorwaardelijke toegang, zodat alleen apparaten die voldoen aan criteria, zoals status of bekende locatie, verbinding kunnen maken.
• OTA-updates om apparaten gezond te houden.
• Beveiligingsbewaking van zowel IoT-services als verbonden IoT-apparaten.
• Bewaking en toegangsbeheer voor alle openbare eindpunten, en verificatie en autorisatie voor aanroepen naar deze eindpunten.

Verschillende Azure IoT-services bieden deze zero-trust-mogelijkheden.

• Windows for IoT helpt beveiliging te garanderen voor de belangrijkste pijlers van het IoT-beveiligingsspectrum.

  • BitLocker-stationsversleuteling, Beveiligd opstarten, Windows Defender Toepassingsbeheer, Windows Defender Exploit Guard, UWP-toepassingen (secure Universeel Windows-platform), Unified Write Filter, een beveiligde communicatiestack en beveiligingsreferentiebeheer beveiligen data-at-rest, tijdens het uitvoeren van code en tijdens de overdracht.

  • Device Health Attestation (DHA) detecteert en bewaakt vertrouwde apparaten, zodat u met een vertrouwd apparaat kunt beginnen en vertrouwen in de loop van de tijd kunt behouden.

  • Device Update Center en Windows Server Update Services de nieuwste beveiligingspatches toepassen. U kunt bedreigingen voor apparaten oplossen met behulp van Azure IoT Hub functies voor apparaatbeheer, Microsoft Intune of oplossingen voor het beheer van mobiele apparaten van derden en Microsoft System Center Configuration Manager.

• Microsoft Defender for IoT is een netwerklaagbeveiligingsplatform zonder agent dat continue detectie van activa, beheer van beveiligingsproblemen en detectie van bedreigingen voor IoT- en OT-apparaten biedt. Defender for IoT bewaakt continu het netwerkverkeer met behulp van IoT-bewuste gedragsanalyses om niet-geautoriseerde of aangetaste onderdelen te identificeren.

  Defender for IoT ondersteunt eigen ingesloten OT-apparaten en oudere Windows-systemen die vaak worden gevonden in OT-omgevingen. Defender for IoT kan alle IoT-apparaten inventariseren, beoordelen op beveiligingsproblemen, aanbevelingen voor risicogebaseerde risicobeperking bieden en apparaten continu controleren op afwijkend of niet-geautoriseerd gedrag.

• Microsoft Sentinel, een cloudplatform voor SIEM (Security Information and Event Management) en security orchestration, automation and response (SOAR), dat nauw kan worden geïntegreerd met Microsoft Defender voor IoT. Microsoft Sentinel biedt een cloudweergave van beveiliging binnen uw bedrijf door gegevens te verzamelen van alle gebruikers, apparaten, toepassingen en infrastructuur, inclusief firewalls, netwerktoegangsbeheer en netwerkswitchapparaten.

  Microsoft Sentinel kan snel afwijkend gedrag detecteren dat wijst op mogelijke inbreuk op IoT- of OT-apparaten. Microsoft Sentinel ondersteunt ook SOC-oplossingen (Security Operations Center) van derden, zoals Splunk, IBM QRadar en ServiceNow.

• Azure IoT Hub biedt een operationeel register voor IoT-apparaten. IoT Hub accepteert operationele certificaten voor apparaten om een sterke identiteit mogelijk te maken en kan apparaten centraal uitschakelen om onbevoegde verbindingen te voorkomen. IoT Hub biedt ondersteuning voor het inrichten van module-id's die ondersteuning bieden voor IoT Edge workloads.

  • Azure IoT Hub Device Provisioning Service (DPS) biedt een centraal apparaatregister voor organisatieapparaten om zich op schaal te registreren voor onboarding. DPS accepteert apparaatcertificaten om onboarding mogelijk te maken met een sterke apparaat-id en hernieuwbare referenties, waarbij apparaten worden geregistreerd in IoT Hub voor hun dagelijkse werking.

  • Met Azure Device Update (ADU) voor IoT Hub kunt u OTA-updates implementeren voor uw IoT-apparaten. ADU biedt een in de cloud gehoste oplossing om vrijwel elk apparaat te verbinden en ondersteunt een breed scala aan IoT-besturingssystemen, waaronder Linux en Azure RTOS.

  • Azure IoT Hub ondersteuning voor virtuele netwerken kunt u de connectiviteit beperken tot IoT Hub via een virtueel netwerk dat u gebruikt. Deze netwerkisolatie voorkomt blootstelling aan het openbare internet en kan exfiltratieaanvallen van gevoelige on-premises netwerken helpen voorkomen.

De volgende Microsoft-producten integreren hardware en Azure-services volledig in algemene IoT-oplossingen.

• Azure Sphere is een volledig beheerde geïntegreerde hardware-, besturingssysteem- en cloudplatformoplossing waarmee IoT-apparaten met een gemiddeld en laag vermogen de zeven eigenschappen van maximaal beveiligde apparaten kunnen bereiken om zero trust te implementeren. Apparaten maken gebruik van expliciete verificatie en implementeren daa (Device Attestation and Authentication) op basis van certificaten, waardoor het vertrouwen automatisch wordt vernieuwd.

  Azure Sphere maakt gebruik van toegang met de minste bevoegdheden, waarbij toepassingen standaard de toegang tot alle randapparatuur en connectiviteitsopties wordt geweigerd. Voor netwerkconnectiviteit moeten toegestane webdomeinen zijn opgenomen in het softwaremanifest, anders kan de toepassing geen verbinding maken buiten het apparaat.

  Azure Sphere is gebaseerd op een veronderstelde schending. Beveiliging in dieptelagen in het hele ontwerp van het besturingssysteem. Een beveiligde wereldpartitie die wordt uitgevoerd in Arm TrustZone op Azure Sphere-apparaten, helpt bij het segmenteren van schendingen van het besturingssysteem van toegang tot Pluton of hardwareresources.

  Azure Sphere kan een bewakingsmodule zijn voor het beveiligen van andere apparaten, waaronder bestaande verouderde systemen die niet zijn ontworpen voor vertrouwde connectiviteit. In dit scenario wordt een Azure Sphere Guardian-module geïmplementeerd met een toepassing en interfaces met bestaande apparaten via Ethernet, serieel of BLE. De apparaten hebben niet noodzakelijkerwijs een directe internetverbinding.

• Azure Percept is een end-to-end edge AI-platform waarmee u binnen enkele minuten een proof-of-concept kunt starten. Azure Percept bevat hardwareversnellers die zijn geïntegreerd met Azure AI- en IoT-services, vooraf gebouwde AI-modellen en oplossingsbeheer.

  Azure Percept-apparaten gebruiken een vertrouwde hardwarebasis om deductiegegevens, AI-modellen en privacygevoelige sensoren zoals camera's en microfoons te beschermen. Azure Percept maakt apparaatverificatie en -autorisatie mogelijk voor Azure Percept Studio-services. Zie Azure Percept-beveiliging voor meer informatie.

DevOps-laag

Een IoT-oplossing voor ondernemingen moet een strategie bieden voor operators om het systeem te beheren. DevOps-methodologieën die proactief gericht zijn op beveiliging, zijn onder andere:

• Gecentraliseerd configuratie- en nalevingsbeheer, om veilig beleid toe te passen en certificaten te distribueren en bij te werken.
• Implementeerbare updates voor het bijwerken van de volledige set software op apparaten, firmware, stuurprogramma's, basisbesturingssysteem- en hosttoepassingen en in de cloud geïmplementeerde workloads.

Zie DevSecOps inschakelen met Azure en GitHub voor meer informatie.

Continue updates

Als u de toegang tot apparaten wilt beheren op basis van de status, moet u productieapparaten proactief in een werkende, gezonde doelstatus houden. Updatemechanismen moeten:

• Beschikken over mogelijkheden voor externe implementatie.
• Wees bestand tegen wijzigingen in de omgeving, de bedrijfsomstandigheden en het verificatiemechanisme, zoals certificaatwijzigingen vanwege verloop of intrekking.
• Ondersteuning voor verificatie van update-implementatie.
• Integreer met uitgebreide beveiligingsbewaking om geplande updates voor beveiliging in te schakelen.

U moet updates die de bedrijfscontinuïteit verstoren, kunnen uitstellen, maar ze uiteindelijk voltooien binnen een goed gedefinieerd tijdsinterval nadat u een beveiligingsprobleem hebt gedetecteerd. Apparaten die niet zijn bijgewerkt, moeten worden gemarkeerd als beschadigd.

Beveiligingsbewaking en -respons

Een IoT-oplossing moet bewaking en herstel op schaal kunnen uitvoeren voor alle verbonden apparaten. Als een diepgaande verdedigingsstrategie voegt bewaking een extra beveiligingslaag toe voor beheerde greenfield-apparaten en biedt het een compenserende controle voor verouderde, onbeheerde brownfield-apparaten die geen ondersteuning bieden voor agents en die niet op afstand kunnen worden gepatcht of geconfigureerd.

U moet beslissen over logboekregistratieniveaus, soorten activiteiten die moeten worden bewaakt en antwoorden die vereist zijn voor waarschuwingen. Logboeken moeten veilig worden opgeslagen en geen beveiligingsgegevens bevatten.

Volgens het Cybersecurity and Infrastructure Security Agency (CISA) moet een beveiligingsbewakingsprogramma niet-geautoriseerde wijzigingen aan controllers, ongebruikelijk gedrag van apparaten en toegangs- en autorisatiepogingen bewaken en controleren. Beveiligingsbewaking moet het volgende omvatten:

• Het genereren van een as-is assetinventaris en netwerkkaart van alle IoT- en OT-apparaten.
• Alle communicatieprotocollen identificeren die worden gebruikt in IoT- en OT-netwerken.
• Alle externe verbindingen van en naar netwerken catalogiseren.
• Het identificeren van beveiligingsproblemen in IoT- en OT-apparaten en het gebruik van een risicogebaseerde benadering om deze te verhelpen.
• Het implementeren van een bewakingsprogramma met anomaliedetectie om schadelijke cybertactieken te detecteren, zoals leven buiten het land binnen IoT-systemen.

De meeste IoT-aanvallen volgen een kill chain-patroon , waarbij aanvallers in eerste instantie voet aan de grond krijgen, hun bevoegdheden verhogen en zich lateraal over het netwerk verplaatsen. Aanvallers gebruiken vaak bevoegde referenties om barrières te omzeilen, zoals firewalls van de volgende generatie die zijn ingesteld om netwerksegmentatie in subnetten af te dwingen. Voor het snel detecteren van en reageren op deze aanvallen met meerdere fasen is een uniforme weergave van IT-, IoT- en OT-netwerken vereist, gecombineerd met automatisering, machine learning en bedreigingsinformatie.

Verzamel signalen van de hele omgeving, inclusief alle gebruikers, apparaten, toepassingen en infrastructuur, zowel on-premises als in meerdere clouds. Analyseer de signalen in gecentraliseerde SIEM- en XDR-platforms (Extended Detection and Response), waar SOC-analisten eerder onbekende bedreigingen kunnen opsporen en blootleggen.

Gebruik ten slotte SOAR-platforms om snel te reageren op incidenten en aanvallen te beperken voordat ze van invloed zijn op uw organisatie. U kunt playbooks definiëren die automatisch worden uitgevoerd wanneer specifieke incidenten worden gedetecteerd. U kunt bijvoorbeeld apparaten die zijn aangetast automatisch blokkeren of in quarantaine plaatsen, zodat ze andere systemen niet kunnen infecteren.

Volgende stappen

Kostenoptimalisatie in uw IoT-workload

Gerelateerde resources

• Een Zero Trust aanpak toepassen op uw IoT-oplossingen
• Zero Trust cyberbeveiliging voor het Internet of Things
• IoT-beveiligingsarchitectuur (Internet of Things)
• IoT Consortium-beveiligingsmodel in de branche
• Ontwerpprincipes voor beveiliging
• Azure IoT-referentiearchitectuur
• Azure IoT-documentatie