Segurança em sua carga de trabalho de IoT

  • Artigo

As soluções de IoT têm o desafio de proteger cargas de trabalho baseadas em dispositivos que são diversas e heterogêneas com pouca ou nenhuma interação direta. Criadores de dispositivos de IoT, desenvolvedores de aplicativos de IoT e operadores de soluções de IoT compartilham a responsabilidade pela segurança durante o ciclo de vida completo da solução de IoT. É importante projetar a solução desde o início tendo a segurança em mente. Entenda as possíveis ameaças e adicione a defesa aprofundada à medida que você projeta e arquiteta a solução.

O planejamento de segurança começa com um modelo de ameaça. Entender como um invasor pode conseguir comprometer um sistema ajuda você a garantir as mitigações apropriadas desde o início. A modelagem de risco oferece o valor máximo quando incorporada na fase de design. Como parte do exercício de modelagem de ameaças, você pode dividir uma arquitetura de IoT típica em vários componentes ou zonas: dispositivo, gateway de dispositivo, gateway de nuvem e serviços. Cada zona pode ter os próprios requisitos de autenticação, autorização e dados. Você pode usar zonas para isolar danos e restringir o impacto de zonas de baixa confiança sobre zonas de confiança mais alta. Para obter mais informações, consulte a Arquitetura de segurança de IoT (Internet das Coisas).

As diretrizes de segurança a seguir para cargas de trabalho de IoT identificam as principais considerações e fornecem recomendações de design e implementação.

Avaliar a segurança na carga de trabalho de IoT

Para avaliar a carga de trabalho de IoT através das lentes do pilar Well-Architected Framework Security, responda às perguntas de segurança sobre cargas de trabalho de IoT no Azure Well-Architected Review. Após a avaliação identificar as principais recomendações de segurança para sua solução de IoT, use o conteúdo a seguir para ajudar a implementar as recomendações.

Princípios de design

Cinco pilares de excelência arquitetônica sustentam a metodologia de design da carga de trabalho de IoT. Esses pilares servem como uma bússola para decisões de design subsequentes nas principais áreas de design de IoT. Os princípios de design a seguir estendem o pilar de qualidade do Azure Well-Architected Framework – Security.

Princípio de design Considerações
Identidade forte Use uma identidade forte para autenticar dispositivos e usuários. Tenha uma raiz de hardware de confiança para identidade confiável, registre dispositivos, emita credenciais renováveis e use a MFA (autenticação multifator) ou sem senha. Examine as considerações gerais de gerenciamento de identidade e acesso do Azure.
Privilégios mínimos Automatize e use o controle de acesso com privilégios mínimos para limitar o impacto de dispositivos ou identidades comprometidas ou de cargas de trabalho não aprovadas.
Integridade do dispositivo Avalie a integridade do dispositivo para limitar o acesso ao dispositivo ou sinalizar dispositivos para correção. Verifique a configuração de segurança, avalie vulnerabilidades e senhas inseguras, monitore quanto à presença de ameaças e anomalias e crie perfis de risco contínuos.
Atualização de dispositivo Atualizações contínuas para manter os dispositivos íntegros. Use uma solução centralizada de gerenciamento de configuração e conformidade e um mecanismo robusto de atualização para garantir que os dispositivos estejam atualizados e íntegros.
Monitorar a segurança do sistema, planejar a resposta a incidentes Monitore proativamente dispositivos não autorizados ou comprometidos e responda a ameaças emergentes.

Modelo de segurança de confiança zero

O acesso não autorizado a sistemas IoT pode levar à divulgação de informações em massa, como dados de produção de fábrica vazados ou elevação de privilégios para controle de sistemas físicos cibernéticos, como parar uma linha de produção de fábrica. Um modelo de segurança de confiança zero ajuda a limitar o impacto potencial dos usuários que obtêm acesso não autorizado a dados e serviços de IoT locais ou na nuvem.

Em vez de assumir que tudo por trás de um firewall corporativo é seguro, a confiança zero autentica, autoriza e criptografa todas as solicitações de acesso antes de conceder acesso. Proteger soluções de IoT com confiança zero começa com a implementação de práticas básicas de segurança de identidade, dispositivo e acesso, como verificar explicitamente usuários, revisar dispositivos na rede e usar a detecção de risco em tempo real para tomar decisões de acesso dinâmico.

Os seguintes recursos podem ajudá-lo a implementar uma solução de IoT de confiança zero:

Padrões de arquitetura de IoT

A maioria dos sistemas de IoT usa um padrão de arquitetura de produtos conectados ou operações conectadas. Há diferenças de segurança importantes entre esses padrões. As soluções de operações conectadas ou de OT (tecnologia operacional) geralmente têm dispositivos locais que monitoram e controlam outros dispositivos físicos. Esses dispositivos de OT adicionam desafios de segurança como adulteração, detecção de pacotes e a necessidade de gerenciamento fora de banda e atualizações OTA (over-the-air).

Ambientes de fábrica e OT podem ser alvos fáceis para malwares e violações de segurança, pois os equipamentos podem ser antigos, fisicamente vulneráveis e isolados da segurança no nível do servidor. Para obter uma perspectiva de ponta a ponta, examine o pilar de segurança do Azure Well-Architected Framework.

Camadas da arquitetura de IoT

Os princípios de design de segurança ajudam a esclarecer considerações para garantir que sua carga de trabalho de IoT atenda aos requisitos nas camadas fundamentais da arquitetura de IoT.

Todas as camadas estão sujeitas a várias ameaças que podem ser classificadas de acordo com as categorias STRIDE: falsificação, adulteração, repúdio, divulgação de informações confidenciais, negação de serviço e elevação de privilégios. Siga sempre as práticas do Microsoft Security Development Lifecycle (SDL) ao criar e construir arquiteturas de IoT.

Diagrama que mostra as camadas e as atividades cruzadas na arquitetura de IoT.

Camada de dispositivo e gateway

Essa camada de arquitetura inclui o espaço físico imediato ao redor do dispositivo e do gateway que permite acesso físico ou acesso digital ponto a ponto. Muitas empresas industriais usam o modelo Purdue, incluído no padrão ISA 95, para garantir que suas redes de controle de processo protejam a largura de banda de rede limitada e proporcionem comportamento determinístico em tempo real. O modelo Purdue fornece uma camada extra de metodologia de defesa em profundidade.

Identidade do dispositivo forte

Funcionalidades estreitamente integradas de dispositivos e serviços de IoT fornecem uma identidade de dispositivo forte. Esses recursos incluem:

  • Uma raiz de confiança de hardware.
  • Autenticação forte usando certificados, MFA ou autenticação sem senha.
  • Credenciais renováveis.
  • Registro de dispositivo de IoT organizacional.

Uma raiz de confiança de hardware tem os seguintes atributos:

  • Armazenamento seguro de credenciais que prova a identidade em um hardware dedicado e resistente a adulterações.
  • Identidade de integração imutável vinculada ao dispositivo físico.
  • Credenciais operacionais renováveis exclusivas por dispositivo para acesso regular ao dispositivo.

A identidade de integração representa e é inseparável do dispositivo físico. Normalmente, essa identidade é criada e instalada durante a fabricação e não pode ser alterada durante o tempo de vida do dispositivo. Dada a imutabilidade e o tempo de vida, você deve usar a identidade de integração do dispositivo somente para integrar o dispositivo à solução de IoT.

Após a integração, provisione e use uma identidade operacional e credenciais renováveis para autenticação e autorização para o aplicativo de IoT. Tornar essa identidade renovável permite gerenciar o acesso e a revogação do dispositivo para o acesso operacional. Você pode aplicar portões controlados por políticas, como o atestado de integridade e integridade do dispositivo, no momento da renovação.

A raiz de confiança de hardware também garante que os dispositivos sejam fabricados de acordo com as especificações de segurança e estejam em conformidade com os regimes de conformidade necessários. Proteja a cadeia de suprimentos da raiz de confiança de hardware, ou de qualquer outro componente de hardware de um dispositivo IoT, para garantir que ataques na cadeia de fornecedores não comprometam a integridade do dispositivo.

A autenticação sem senha, geralmente usando certificados x509 padrão para provar a identidade do dispositivo, oferece maior proteção do que os segredos, como senhas e tokens simétricos compartilhados entre ambas as partes. Os certificados são um mecanismo forte e padronizado que fornece autenticação sem senha renovável. Para gerenciar certificados:

  • Provisione certificados operacionais de uma PKI (infraestrutura de chave pública) confiável.
  • Use um tempo de vida de renovação adequado ao uso comercial, à sobrecarga de gerenciamento e ao custo.
  • Torne a renovação automática para minimizar possíveis interrupções do acesso devido à rotação manual.
  • Use técnicas de criptografia padrão e atualizadas. Por exemplo, renove por meio de CSRs (solicitações de assinatura de certificado) em vez de transmitir uma chave privada.
  • Conceda acesso a dispositivos com base na identidade operacional deles.
  • Dê suporte à revogação de credenciais, como uma CRL (lista de revogação de certificados), ao usar certificados x509 para remover imediatamente o acesso ao dispositivo, por exemplo, em resposta a um comprometimento ou roubo.

Alguns dispositivos IoT herdados ou com restrição de recursos não podem usar uma identidade forte, autenticação sem senha ou credenciais renováveis. Use gateways de IoT como guardiões para estabelecer a interface local com esses dispositivos menos capazes, fazendo a ponte para acessar serviços de IoT com padrões de identidade fortes. Isso permite que você adote a confiança zero hoje, durante a transição para usar dispositivos mais capazes ao longo do tempo.

VMs (máquinas virtuais), contêineres ou qualquer serviço que insira um cliente IoT não podem usar uma raiz de confiança de hardware. Use os recursos disponíveis com esses componentes. VMs e contêineres, que não têm suporte para a raiz de confiança de hardware, podem usar autenticação sem senha e credenciais renováveis. Uma solução de defesa em profundidade fornece redundâncias sempre que possível e preenche lacunas quando necessário. Por exemplo, você pode colocar VMs e contêineres em uma área com mais segurança física, como um data center, em comparação com um dispositivo de IoT no campo.

Use um registro de dispositivo IoT organizacional centralizado para gerenciar o ciclo de vida do dispositivo IoT de sua organização e auditar o acesso a ele. Essa abordagem é semelhante à maneira como você protege as identidades de usuário da força de trabalho de uma organização para obter segurança de confiança zero. Um registro de identidade baseado em nuvem pode lidar com a escala, o gerenciamento e a segurança das soluções de IoT.

As informações do registro de dispositivo IoT integram dispositivos em uma solução de IoT verificando se a identidade e as credenciais do dispositivo são conhecidas e autorizadas. Após o dispositivo ser integrado, o registro de dispositivo contém as propriedades principais dele, incluindo a identidade operacional e as credenciais renováveis usadas para autenticação durante o uso diário.

Você pode usar dados do registro de dispositivo IoT para:

  • Exibir o inventário de dispositivos IoT de uma organização, incluindo a integridade, os patches e o estado de segurança.
  • Consultar e agrupar dispositivos para operação dimensionada, gerenciamento, implantação de carga de trabalho e controle de acesso.

Usar sensores de rede para detectar e inventariar dispositivos IoT não gerenciados que não se conectam aos serviços de IoT do Azure, para reconhecimento e monitoramento.

Acesso com privilégios mínimos

O controle de acesso com privilégios mínimos ajuda a limitar o impacto de identidades autenticadas que podem estar comprometidas ou executando cargas de trabalho não aprovadas. Para cenários de IoT, conceda acesso de operador, dispositivo e carga de trabalho usando:

  • Controle de acesso de dispositivo e carga de trabalho, para acesso somente a cargas de trabalho com escopo no dispositivo.
  • Acesso just-in-time.
  • Mecanismos de autenticação fortes, como MFA e autenticação sem senha.
  • Acesso condicional baseado no contexto de dispositivo, como endereço IP ou local de GPS, configuração do sistema, exclusividade, hora do dia ou padrões de tráfego de rede. Os serviços também podem usar o contexto de dispositivo para implantar cargas de trabalho condicionalmente.

Para implementar o acesso com privilégios mínimos de maneira efetiva:

  • Configure o gerenciamento de acesso do gateway de nuvem IoT para conceder apenas as permissões de acesso apropriadas para a funcionalidade necessária para o back-end.
  • Limite os pontos de acesso a dispositivos IoT e aplicativos de nuvem, garantindo que as portas tenham acesso mínimo.
  • Crie mecanismos para evitar e detectar a adulteração de dispositivos físicos.
  • Gerencie o acesso do usuário usando um modelo de controle de acesso apropriado, como controle de acesso baseado em função ou em atributo.
  • Disponha o acesso com privilégios mínimos em camadas para os dispositivos IoT usando a segmentação de rede.

Microssegmentação de rede

O design e a configuração de rede oferecem oportunidades para criar a defesa em profundidade segmentando dispositivos IoT com base nos padrões de tráfego e na exposição a riscos. Essa segmentação minimiza o impacto potencial de dispositivos comprometidos e adversários dinamizarem para ativos de maior valor. Normalmente, a segmentação de rede usa firewalls de última geração.

A microssegmentação de rede habilita o isolamento de dispositivos com menor capacidade na camada de rede, seja por trás de um gateway ou em um segmento de rede discreto. Use a segmentação de rede para agrupar dispositivos IoT e a proteção de ponto de extremidade para atenuar o impacto de um possível comprometimento.

Implemente uma estratégia de regra de firewall holística que permita que os dispositivos acessem a rede quando necessário e bloqueie o acesso quando não permitido. Para dar suporte à defesa em profundidade, organizações maduras podem implementar políticas de microssegmentação em várias camadas do modelo Purdue. Se necessário, use firewalls em dispositivos para restringir o acesso à rede.

Integridade do dispositivo

Sob o princípio de confiança zero, a integridade do dispositivo é um fator fundamental para determinar o perfil de risco, incluindo o nível de confiança, de um dispositivo. Use o perfil de risco como uma porta de acesso para garantir que apenas dispositivos íntegros possam acessar aplicativos e serviços de IoT, ou para identificar dispositivos com integridade questionável para correção.

De acordo com os padrões do setor, a avaliação de integridade do dispositivo deve incluir:

  • Avaliação da configuração de segurança e atestado de que o dispositivo está configurado com segurança.
  • Avaliação de vulnerabilidade para determinar se o software do dispositivo está desatualizado ou se tem vulnerabilidades conhecidas.
  • Avaliação de credenciais inseguras para verificar as credenciais do dispositivo, como certificados e protocolos, como TLS (Transport Layer Security) 1.2+.
  • Ameaças ativas e alertas de ameaças.
  • Alertas de comportamentos anômalos, como desvio de uso e padrão de rede.

Critérios de confiança zero para dispositivos

Para dar suporte à confiança zero, os dispositivos IoT devem:

  • Conter uma raiz de confiança de hardware para fornecer uma identidade do dispositivo forte.
  • Usar credenciais renováveis para operação e acesso regulares.
  • Impor o controle de acesso com privilégios mínimos a recursos de dispositivo locais, como câmeras, armazenamento e sensores.
  • Emitir sinais de integridade do dispositivo adequados para habilitar a imposição do acesso condicional.
  • Fornecer agentes de atualização e atualizações de software correspondentes pelo tempo de vida utilizável do dispositivo para garantir que as atualizações de segurança possam ser aplicadas.
  • Incluir recursos de gerenciamento de dispositivo para habilitar a configuração de dispositivo controlada por nuvem e a resposta de segurança automatizada.
  • Executar agentes de segurança que se integram a sistemas de monitoramento, detecção e resposta de segurança.
  • Minimizar o volume de ataque físico, por exemplo, desativando ou desabilitando todos os recursos de dispositivo que não são necessários, como portas USB físicas ou UART, ou a conectividade WiFi ou Bluetooth. Usar remoção, cobertura ou bloqueio físico quando necessário.
  • Proteger dados em dispositivos. Se dados inativos forem armazenados nos dispositivos, usar algoritmos de criptografia padrão para criptografar os dados.

Vários produtos e serviços do Azure dão suporte à segurança do dispositivo de IoT:

  • Os módulos guardiões do Azure Sphere conectam dispositivos herdados críticos aos serviços de IoT com recursos de confiança zero, incluindo identidade forte, criptografia de ponta a ponta e atualizações de segurança regulares.

  • O Azure IoT Edge fornece uma conexão de runtime de borda com o Hub IoT e outros serviços do Azure e dá suporte a certificados como identidades de dispositivo fortes. O IoT Edge dá suporte ao padrão PKCS nº 11 para identidades de fabricação de dispositivos e outros segredos armazenados em uma TPM (Trusted Platform Module) ou um HSM (Módulo de Segurança de Hardware).

  • O SDKS do Hub IoT do Azure é um conjunto de bibliotecas de cliente de dispositivo, guias de desenvolvedor, exemplos e documentação. Os SDKs de dispositivo implementam vários recursos de segurança, como criptografia e autenticação, para ajudá-lo a desenvolver um aplicativo de dispositivo robusto e seguro.

  • O Azure RTOS fornece um sistema operacional em tempo real como uma coleção de bibliotecas de linguagem C que você pode implantar em uma ampla variedade de plataformas de dispositivo IoT inseridas.

    O Azure RTOS inclui uma pilha TCP/IP completa com recursos TLS 1.2 e 1.3 e X.509 básicos. O Azure RTOS e o SDK do Azure IoT Embedded também se integram ao Hub IoT do Azure, ao DPS (Serviço de Provisionamento de Dispositivos) do Azure e ao Microsoft Defender. Recursos como autenticação mútua X.509 e suporte para pacotes de criptografia TLS modernos, como ECDHE e AES-GCM, abrangem os conceitos básicos de comunicação de rede segura.

    O Azure RTOS também dá suporte a:

    • Design de confiança zero em plataformas de microcontrolador que dão suporte a recursos de segurança de hardware, como Arm TrustZone, uma arquitetura de proteção de memória e particionamento.
    • Proteger dispositivos de elemento, como o STSAFE-A110 da ST Microelectronics.
    • Padrões do setor, como a PSA (Arquitetura de Segurança da Plataforma Arm), que combina hardware e firmware para fornecer um conjunto padronizado de recursos de segurança, incluindo inicialização segura, criptografia e atestado.

  • O programa Azure Certified Device permite que os parceiros de dispositivos diferenciem e promovam facilmente os dispositivos. O programa ajuda os construtores de soluções e os clientes a encontrar dispositivos IoT criados com recursos que permitem uma solução de confiança zero.

  • O Programa de núcleo protegido do Edge (versão prévia) valida se os dispositivos atendem aos requisitos de segurança de identidade do dispositivo, à inicialização segura, à proteção do sistema operacional, às atualizações de dispositivo, à proteção de dados e a divulgações de vulnerabilidades. Os requisitos do programa de núcleo protegido pelo Edge são derivados de vários requisitos do setor e de pontos de vista da engenharia de segurança.

    O programa Edge Secured-core permite que serviços do Azure, como o serviço Atestado do Azure, tome decisões condicionais com base na postura do dispositivo, permitindo assim o modelo de confiança zero. Os dispositivos devem incluir uma raiz de confiança de hardware e fornecer proteção segura de inicialização e firmware. Esses atributos podem ser medidos pelo serviço de atestado e usados pelos serviços downstream para conceder acesso condicional a recursos confidenciais.

Camada de ingestão e comunicação

Os dados ingeridos na solução de IoT devem ser protegidos com as diretrizes no pilar de segurança do Azure Well-Architected Framework. Além disso, para soluções de IoT, é fundamental garantir que a comunicação do dispositivo com a nuvem seja segura e criptografada usando os padrões TLS mais recentes.

Camada de modelagem e gerenciamento de dispositivo

Essa camada da arquitetura inclui componentes de software ou módulos em execução na nuvem que fazem a interface com dispositivos e gateways para coleta e análise de dados, bem como para comando e controle.

Critérios de confiança zero para serviços de IoT

Use serviços de IoT que ofereçam os seguintes recursos principais de confiança zero:

  • Suporte total para controle de acesso do usuário de confiança zero, por exemplo, identidades de usuário fortes, MFA e acesso condicional do usuário.
  • Integração com sistemas de controle de acesso do usuário para acesso com privilégios mínimos e controles condicionais.
  • Um registro de dispositivo central para o inventário completo de dispositivos e o gerenciamento de dispositivos.
  • Autenticação mútua, oferecendo credenciais de dispositivo renováveis com verificação de identidade forte.
  • Controle de acesso de dispositivo com privilégios mínimos com acesso condicional, para que apenas dispositivos que cumprem critérios, como integridade ou local conhecido, possam se conectar.
  • Atualizações OTA para manter os dispositivos íntegros.
  • Monitoramento de segurança dos serviços e dos dispositivos de IoT conectados.
  • Monitoramento e controle de acesso para todos os pontos de extremidade públicos, e autenticação e autorização para qualquer chamada a esses pontos de extremidade.

Vários serviços de IoT do Azure fornecem esses recursos de confiança zero.

  • O Windows para IoT ajuda a garantir a segurança entre os principais pilares do espectro da segurança de IoT.

    • Criptografia de unidade bitlocker, inicialização segura, Windows Defender controle de aplicativo, Windows Defender Exploit Guard, aplicativos UWP (Plataforma Universal do Windows seguros), Filtro de Gravação Unificado, uma pilha de comunicação segura e gerenciamento de credenciais de segurança protegem dados em repouso, durante a execução do código e em Trânsito.

    • O DHA (Atestado de Integridade do Dispositivo) detecta e monitora dispositivos confiáveis para permitir que você comece com um dispositivo confiável e mantenha a confiança ao longo do tempo.

    • O Centro de Atualizações de Dispositivos e Windows Server Update Services aplicar os patches de segurança mais recentes. Você pode corrigir ameaças a dispositivos usando Hub IoT do Azure recursos de gerenciamento de dispositivos, Microsoft Intune ou soluções de gerenciamento de dispositivo móvel de terceiros e o Microsoft System Center Configuration Manager.

  • O Microsoft Defender para IoT é uma plataforma de segurança de camada de rede sem agente que fornece descoberta contínua de ativos, gerenciamento de vulnerabilidades e detecção de ameaças para dispositivos de IoT e OT. O Defender para IoT monitora continuamente o tráfego de rede usando a análise comportamental com reconhecimento de IoT para identificar componentes não autorizados ou comprometidos.

    O Defender para IoT dá suporte a dispositivos OT incorporados proprietários e a sistemas Windows herdados normalmente encontrados em ambientes OT. O Defender para IoT pode inventariar todos os dispositivos IoT, avaliar vulnerabilidades, fornecer recomendações de mitigação baseadas em risco e monitorar continuamente dispositivos quanto a comportamento anormal ou não autorizado.

  • O Microsoft Sentinel, uma plataforma de SIEM (gerenciamento de eventos e informações de segurança) baseada em nuvem e soar (orquestração, automação e resposta) de segurança, que se integra fortemente ao Microsoft Defender para IoT. O Microsoft Sentinel fornece uma exibição em escala de nuvem de segurança em toda a sua empresa coletando dados em todos os usuários, dispositivos, aplicativos e infraestrutura, incluindo firewalls, controle de acesso à rede e dispositivos comutador de rede.

    O Microsoft Sentinel pode detectar rapidamente comportamentos anormais que indicam possível comprometimento de dispositivos IoT ou OT. O Microsoft Sentinel também dá suporte a soluções soc (centro de operações de segurança) de terceiros, como Splunk, IBM QRadar e ServiceNow.

  • O Hub IoT do Azure fornece um registro operacional para dispositivos IoT. O Hub IoT aceita certificados operacionais do dispositivo para habilitar uma identidade forte e pode desabilitar dispositivos centralmente para evitar conexões não autorizadas. O Hub IoT dá suporte ao provisionamento de identidades de módulo que dão suporte a cargas de trabalho do IoT Edge.

    • Hub IoT do Azure DPS (Serviço de Provisionamento de Dispositivos) fornece um registro de dispositivo central para dispositivos organizacionais se registrarem para integração em escala. O DPS aceita certificados de dispositivo para habilitar a integração com identidade de dispositivo forte e credenciais renováveis, registrando dispositivos em Hub IoT para sua operação diária.

    • A ADU (Atualização de Dispositivo) do Azure para Hub IoT permite implantar atualizações de OTA para seus dispositivos IoT. A ADU fornece uma solução hospedada na nuvem para se conectar a praticamente qualquer dispositivo e dá suporte a uma ampla gama de sistemas operacionais IoT, incluindo Linux e Azure RTOS.

    • Hub IoT do Azure suporte para redes virtuais permite restringir a conectividade a Hub IoT por meio de uma rede virtual que você opera. Esse isolamento de rede impede a exposição de conectividade à Internet pública e pode ajudar a evitar ataques de exfiltração de redes locais confidenciais.

Os produtos da Microsoft a seguir integram totalmente os serviços de hardware e do Azure em soluções gerais de IoT.

  • O Azure Sphere é uma solução de plataforma de nuvem, sistema operacional e de hardware totalmente gerenciada que ajuda dispositivos IoT de baixa e média potência a alcançar as sete propriedades de dispositivos altamente protegidos para implementar a confiança zero. Os dispositivos usam a verificação explícita e implementam o DAA (Atestado e Autenticação de Dispositivo) baseado em certificado, que renova automaticamente a confiança.

    O Azure Sphere usa acesso com privilégios mínimos, em que os aplicativos têm acesso negado por padrão a todas as opções de periféricos e de conectividade. Para conectividade de rede, os domínios da Web permitidos devem ser incluídos no manifesto do software ou o aplicativo não pode se conectar fora do dispositivo.

    O Azure Sphere é criado em torno da suposta violação. Proteções de camadas de defesa em profundidade em todo o design do sistema operacional. Uma partição mundial segura em execução no Arm TrustZone em dispositivos do Azure Sphere ajuda a segmentar as violações do sistema operacional do acesso ao Pluton ou aos recursos de hardware.

    O Azure Sphere pode ser um módulo guardião para proteger outros dispositivos, incluindo sistemas herdados existentes não projetados para conectividade confiável. Nesse cenário, um módulo guardião do Azure Sphere é implantado com um aplicativo e interfaces com dispositivos existentes por meio de Ethernet, serial ou BLE. Os dispositivos não têm necessariamente conectividade direta com a Internet.

  • O Azure Percept é uma plataforma de IA de ponta a ponta que pode ajudá-lo a iniciar uma prova de conceito em minutos. O Azure Percept inclui aceleradores de hardware integrados aos serviços de IA e IoT do Azure, modelos de IA predefinidos e gerenciamento de soluções.

    Os dispositivos do Azure Percept usam uma raiz de confiança de hardware para ajudar a proteger dados de inferência, modelos de IA e sensores sensíveis à privacidade, como câmeras e microfones. O Azure Percept habilita a autenticação e a autorização do dispositivo para Azure Percept Studio serviços. Para obter mais informações, confira Segurança do Azure Percept.

Camada de DevOps

Uma solução de IoT empresarial deve fornecer uma estratégia para que os operadores gerenciem o sistema. As metodologias de DevOps que se concentram proativamente na segurança incluem:

  • Gerenciamento centralizado de configuração e conformidade, para aplicar políticas e distribuir e atualizar certificados com segurança.
  • Atualizações implantáveis, para atualizar o conjunto completo de software nos dispositivos: firmware, drivers, SO base e aplicativos host, bem como cargas de trabalho implantadas na nuvem.

Para obter mais informações, consulte Habilitar DevSecOps com o Azure e o GitHub.

Atualizações contínuas

Para controlar o acesso ao dispositivo com base na integridade, você precisa manter proativamente os dispositivos de produção em um estado de destino funcional e íntegro. Os mecanismos de atualização devem:

  • Ter recursos de implantação remota.
  • Ser resilientes a alterações no ambiente, a condições operacionais e ao mecanismo de autenticação, como alterações de certificado devido à expiração ou revogação.
  • Dar suporte à verificação de distribuição de atualização.
  • Integrar-se ao monitoramento de segurança generalizado para habilitar atualizações de segurança agendadas.

Você deve ser capaz de adiar atualizações que interferem na continuidade dos negócios, mas, eventualmente, concluí-las dentro de um intervalo de tempo bem definido depois de detectar uma vulnerabilidade. Dispositivos que não foram atualizados devem ser sinalizados como não íntegros.

Monitoramento e resposta de segurança

Uma solução de IoT precisa ser capaz de executar o monitoramento e a correção em escala para todos os dispositivos conectados. O monitoramento adiciona uma camada adicional de proteção para dispositivos greenfield gerenciados, ao mesmo tempo em que fornece um controle compensatório para dispositivos brownfield não gerenciados herdados que não dão suporte a agentes e não podem ser facilmente corrigidos nem configurados remotamente.

Você precisa decidir sobre os níveis de registro em log, os tipos de atividades a monitorar e as respostas necessárias para os alertas. Os logs devem ser armazenados com segurança e não podem conter detalhes de segurança.

De acordo com a CISA (Cybersecurity and Infrastructure Security Agency), um programa de monitoramento de segurança deve monitorar e auditar alterações não autorizadas em controladores, o comportamento incomum de dispositivos e tentativas de acesso e autorização. O monitoramento de segurança deve incluir:

  • Gerar um inventário de ativos no estado em que se encontram e um mapa de rede de todos os dispositivos de IoT e OT.
  • Identificar todos os protocolos de comunicação usados nas redes de IoT e TO.
  • Catalogar todas as conexões externas de e para redes.
  • Identificar vulnerabilidades em dispositivos de IoT e TO e usar uma abordagem baseada em risco para atenuá-las.
  • Implementar um programa de monitoramento vigilante com detecção de anomalias para detectar táticas cibernéticas mal-intencionadas, como técnicas de living off the land, em sistemas de IoT.

A maioria dos ataques de IoT segue um padrão de cadeia de eliminação, em que os adversários estabelecem uma base inicial, elevam seus privilégios e se movem lateralmente pela rede. Geralmente, os invasores usam credenciais privilegiadas para ignorar barreiras como firewalls de última geração estabelecidos para impor a segmentação de rede entre sub-redes. Detectar e responder rapidamente a esses ataques de várias fases requer uma exibição unificada entre redes de TI, IoT e OT, combinada com automação, aprendizado de máquina e inteligência contra ameaças.

Colete sinais de todo o ambiente, incluindo todos os usuários, dispositivos, aplicativos e infraestrutura, localmente e em várias nuvens. Analise os sinais em plataformas CENTRALizadas de SIEM e XDR (detecção e resposta estendidas), em que os analistas do SOC podem procurar e descobrir ameaças anteriormente desconhecidas.

Por fim, use plataformas SOAR para responder rapidamente a incidentes e mitigar ataques antes que eles afetem materialmente sua organização. Você pode definir guias estratégicos que são executados automaticamente quando incidentes específicos são detectados. Por exemplo, você pode bloquear ou colocar automaticamente em quarentena dispositivos comprometidos para que eles não possam infectar outros sistemas.

Próximas etapas

Otimização de custo em sua carga de trabalho de IoT