Azure-säkerhetsbaslinje för Azure IoT Hub

Den här säkerhetsbaslinjen tillämpar vägledning från Azure Security Benchmark version 2.0 på Microsoft Azure IoT Hub. Azure Security Benchmark ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Azure Security Benchmark och den relaterade vägledning som gäller för Azure IoT Hub.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på instrumentpanelen i Microsoft Defender för molnet.

När ett avsnitt har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Azure Security Benchmark-kontrollerna och rekommendationerna. Vissa rekommendationer kan kräva en betald Microsoft Defender-plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Kontroller som inte gäller för Azure IoT Hub, och de för vilka den globala vägledningen rekommenderas ordagrant, har exkluderats. Information om hur Azure IoT Hub mappar helt till Azure Security Benchmark finns i den fullständiga mappningsfilen för Azure IoT Hub säkerhetsbaslinje.

Nätverkssäkerhet

Mer information finns i Azure Security Benchmark: Nätverkssäkerhet.

NS-1: Implementera säkerhet för intern trafik

Vägledning: IoT Hub stöder inte distribution direkt till ett virtuellt nätverk. Du kan inte använda vissa nätverksfunktioner med erbjudandets resurser. Några av dessa funktioner är: nätverkssäkerhetsgrupper, routningstabeller och andra nätverksberoende enheter som en Azure Firewall.

IoT Hub stöder inte inmatning av virtuella nätverk. Om du vill skydda IoT Hub till en privat nätverksmiljö använder du Azure Private Link.

Använd Microsoft Sentinel för att identifiera användningen av äldre osäkra protokoll som:

  • SSL/TLSv1

  • SMBv1, LM/NTLMv1

  • wDigest, osignerade LDAP-bindningar

  • Svaga chiffer i Kerberos

Vi rekommenderar att alla kunder endast använder TLS (Transport Layer Security) 1.2. IoT Hub stöder TLS 1.0 och TLS 1.1, men vi rekommenderar inte att du använder dem.

Beroende på vilket protokoll som används (MQTT, AMQP, HTTPS, WebSocket) kräver IoT Hub att vissa portar är öppna i klientens nätverk.

Ansvar: Kund

NS-2: Koppla ihop privata nätverk

Vägledning: Använd Azure ExpressRoute eller Virtuellt privat Azure-nätverk (VPN) för att skapa privata anslutningar mellan Azure-datacenter och lokal infrastruktur i en samlokaliseringsmiljö. ExpressRoute-anslutningar finns inte på det offentliga Internet. De ger mer tillförlitlighet, snabbare hastigheter och kortare svarstider än vanliga Internetanslutningar. För punkt-till-plats-VPN och plats-till-plats-VPN kan du ansluta lokala enheter eller nätverk till ett virtuellt nätverk med hjälp av en kombination av vpn-alternativ och Azure ExpressRoute.

Om du vill ansluta två eller flera virtuella nätverk i Azure använder du peering för virtuella nätverk. Nätverkstrafiken mellan peer-kopplade virtuella nätverk är privat. Det behålls i Azure-stamnätverket.

Ansvar: Kund

NS-3: Upprätta privat nätverksåtkomst till Azure-tjänster

Vägledning: En IoT-hubb kan exponera en privat eller offentlig IP-adress som kunden använder med en anslutningssträng och nyckel. Den här IoT-hubben kan också representeras som en Azure-resurs och kunderna kan nå den Azure-resursen offentligt via kontrollplanet Azure Portal och Azure. Både IP-adressen för att erbjuda resurser och offentligt nåbara Azure Portal slutpunkter betraktas som nätverksslutpunkter.

Använd Azure Private Link för att aktivera privat åtkomst till IoT Hub från dina virtuella nätverk utan att använda Internet.

Privat åtkomst är ett annat djupgående skydd för den autentisering och trafiksäkerhet som erbjuds av Azure-tjänster.

Konfigurera IoT Hub med Private Link för extra säkerhet från exponering mot det offentliga Internet.

IoT Hub ger inte möjlighet att konfigurera Virtual Network tjänstslutpunkter.

Ansvar: Kund

NS-4: Skydda program och tjänster från externa nätverksattacker

Vägledning: Skydda dina IoT Hub resurser mot attacker från externa nätverk som:

  • Distribuerade överbelastningsattacker (DDoS)
  • Programspecifika attacker
  • Oönskad och potentiellt skadlig Internettrafik

Använd Azure Firewall för att skydda program och tjänster mot potentiellt skadlig trafik från Internet och andra externa platser. Skydda dina tillgångar mot DDoS-attacker genom att aktivera DDoS-standardskydd på dina virtuella Azure-nätverk. Använd Microsoft Defender för molnet för att identifiera felkonfigurationsrisker för dina nätverksrelaterade resurser.

IoT Hub är inte avsett att köra webbprogram. Det kräver inte att du konfigurerar några ytterligare inställningar eller distribuerar några extra nätverkstjänster för att skydda den mot externa nätverksattacker riktade mot webbprogram.

Ansvar: Kund

NS-6: Förenkla nätverkssäkerhetsregler

Vägledning: Använd Azure Virtual Network-tjänsttaggar för att definiera nätverksåtkomstkontroller på:

  • Nätverkssäkerhetsgrupper
  • Azure Firewalls konfigurerade för dina IoT Hub resurser

Du kan använda tjänsttaggar i stället för specifika IP-adresser när du skapar säkerhetsregler. Ange namnet på tjänsttaggen i lämpligt käll- eller målfält för en regel. På så sätt kan du tillåta eller neka trafik för motsvarande tjänst. Microsoft hanterar adressprefixen som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.

Ansvar: Kund

Identitetshantering

Mer information finns i Azure Security Benchmark: Identitetshantering.

IM-1: Standardisera Azure Active Directory som centralt system för identiteter och autentisering

Vägledning: IoT Hub använder Azure Active Directory (Azure AD) som standardtjänst för identitets- och åtkomsthantering. Standardisera Azure AD för att styra organisationens identitets- och åtkomsthantering i:

  • Microsoft Cloud-resurser som Azure Portal, Azure Storage, Azure Virtual Machine (Linux och Windows), Azure Key Vault,PaaS- och SaaS-program.

  • Organisationens resurser, till exempel program i Azure eller företagets nätverksresurser.

Att skydda Azure AD bör ha hög prioritet i organisationens molnsäkerhetspraxis. Azure AD tillhandahåller en identitetssäkerhetspoäng som hjälper dig att utvärdera din identitetssäkerhetsstatus i förhållande till Microsofts rekommendationer. Använd poängen till att mäta hur nära konfigurationen matchar rekommendationerna kring regelverk och förbättra säkerhetsläget.

OBS! Azure AD har stöd för externa identiteter som gör att användare utan ett Microsoft-konto kan logga in i sina program och resurser med en extern identitet.

IoT Hub stöder Azure AD-autentisering för sina tjänst-API:er som:

  • Skapa enhet,
  • Skicka meddelanden från moln till enhet
  • Uppdaterar önskade egenskaper för tvillingen.

För ökad säkerhet rekommenderar vi att du använder Azure AD autentisering när det är möjligt.

IoT Hub innehåller några inbyggda roller som hjälper Azure AD och Azure Role-Based Access Control (RBAC).

IoT Hub stöder även signatur för delad åtkomst och X.509-baserad autentisering för både tjänster och enheter.

Ansvar: Kund

IM-2: Hantera appidentiteter säkert och automatiskt

Vägledning: IoT Hub stöder hanterade identiteter för sina Azure-resurser. Använd hanterade identiteter med IoT Hub i stället för att skapa tjänstens huvudnamn för att få åtkomst till andra resurser. IoT Hub kan autentiseras internt mot de Azure-tjänster och resurser som stöder Azure AD autentisering. Det gör den via en fördefinierad regel för åtkomstbeviljande. Den använder inte hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.

IoT Hub stöder både systemtilldelade och användartilldelade hanterade identiteter som ska användas med dess funktioner för utgående data (routning, enhetsexport).

Vi rekommenderar att du använder Azure AD för att skapa ett huvudnamn för tjänsten med begränsad behörighet på resursnivå för att konfigurera tjänstens huvudnamn med certifikatautentiseringsuppgifter och återgå till klienthemligheter. I båda fallen använder du Azure Key Vault med Azure-hanterade identiteter så att körningsmiljön (till exempel en Azure-funktion) kan hämta autentiseringsuppgifterna från nyckelvalvet.

Kontakta Microsoft Support om du vill använda IoT Hub kundhanterade nycklar.

Ansvar: Kund

IM-3: Använd enkel inloggning i Azure AD (SSO) för åtkomst till appar

Vägledning: Anslut dina användare, program och enheter till Azure AD. Azure AD ger säker åtkomst och bättre synlighet och kontroll. IoT Hub använder Azure AD för att tillhandahålla identitets- och åtkomsthantering för Azure-resurser, molnprogram och lokala program. Identiteter omfattar företagsidentiteter som anställda och externa identiteter som partners, leverantörer och leverantörer. Azure AD identitets- och åtkomsthantering ger enkel inloggning (SSO) för att hantera och skydda åtkomsten till din organisations lokala data och molndata och resurser.

Ansvar: Kund

Privilegierad åtkomst

Mer information finns i Azure Security Benchmark: Privilegierad åtkomst.

PA-1: Skydda och begränsa privilegierade användare

Vägledning: De mest kritiska inbyggda rollerna för Azure AD är global administratör och privilegierad rolladministratör. Användare som har tilldelats dessa två roller kan delegera administratörsroller:

  • Global administratör/företagsadministratör: Användare med den här rollen har åtkomst till alla administrativa funktioner i Azure AD och tjänster som använder Azure AD identiteter.

  • Privilegierad rolladministratör: Användare med den här rollen kan hantera rolltilldelningar i Azure AD och i Azure AD Privileged Identity Management (PIM). Dessutom möjliggör den här rollen hantering av alla aspekter av PIM och administrativa enheter.

Obs! Du kan ha andra viktiga roller som måste styras om du använder anpassade roller med vissa privilegierade behörigheter tilldelade. Du kanske också vill tillämpa liknande kontroller på administratörskontot för kritiska affärstillgångar.

Begränsa antalet konton eller roller med hög behörighet och skydda dessa konton på en förhöjd nivå. Användare med den här behörigheten kan direkt eller indirekt läsa och ändra varje resurs i din Azure-miljö.

Du kan aktivera just-in-time(JIT) privilegierad åtkomst till Azure-resurser och Azure AD med hjälp av Azure AD PIM. JIT ger tillfälliga behörigheter att endast utföra privilegierade uppgifter när användarna behöver det. PIM kan också generera säkerhetsaviseringar när det finns misstänkt eller osäker aktivitet i din Azure AD organisation.

Rollen IoT Hub dataägare är mycket privilegierad.

Skapa standardprocedurer för användning av dedikerade administrativa konton.

Användare och tjänster med åtkomst till den inbyggda principen för delad åtkomst i iothubowner är också mycket privilegierade. Kunden bör skapa en process för att använda och hantera åtkomst till den här principen för delad åtkomst.

Ansvar: Kund

PA-3: Granska och stäm av användarnas åtkomst regelbundet

Vägledning: IoT Hub använder Azure AD-konton för att hantera sina resurser och granska användarkonton. Åtkomsttilldelningar regelbundet för att säkerställa att kontona och deras åtkomst är giltiga. Du kan använda Azure AD åtkomstgranskningar för att granska gruppmedlemskap, programåtkomst och rolltilldelningar. Azure AD rapportering kan ge loggar för att identifiera inaktuella konton. Du kan också skapa arbetsflöden för åtkomstgranskningsrapport i Azure AD PIM för att underlätta granskningsprocessen.

Du kan också konfigurera Azure AD PIM för att varna dig när det finns för många administratörskonton. PIM kan identifiera administratörskonton som är inaktuella eller felaktigt konfigurerade.

Obs! Vissa Azure-tjänster stöder lokala användare och roller som inte hanteras via Azure AD. Hantera dessa användare separat.

IoT Hub tillhandahåller några inbyggda roller för att hantera sina molnresurser.

Ansvar: Kund

PA-6: Använd arbetsstationer med privilegierad åtkomst

Vägledning: Skyddade, isolerade arbetsstationer är mycket viktiga för säkerheten för känsliga roller som administratör, utvecklare och kritisk tjänstoperatör. Använd mycket säkra användararbetsstationer och/eller Azure Bastion för administrativa uppgifter. Använd Azure AD, Microsoft Defender Advanced Threat Protection (ATP) och/eller Microsoft Intune för att distribuera en säker och hanterad användararbetsstation för administrativa uppgifter. De skyddade arbetsstationerna kan hanteras centralt för att framtvinga säkra konfigurationer som:

  • Stark autentisering
  • Programvaru- och maskinvarubaslinjer
  • Begränsad logisk åtkomst och nätverksåtkomst.

Mer information finns i:

Ansvar: Kund

PA-7: Följ JEA (Just Enough Administration, precis tillräcklig administration) (principen om minsta behörighet)

Vägledning: IoT Hub integreras med Azure RBAC för att hantera dess resurser. Med RBAC hanterar du Azure-resursåtkomst via rolltilldelningar. Du kan tilldela roller till användare, grupper, tjänstens huvudnamn och hanterade identiteter. Vissa resurser har fördefinierade, inbyggda roller. Du kan inventera eller fråga dessa roller via verktyg som Azure CLI, Azure PowerShell eller Azure Portal. Begränsa de behörigheter som du tilldelar resurser via Azure RBAC till vad rollerna kräver. Den här metoden kompletterar JIT-metoden för Azure AD PIM. Granska roller och tilldelningar med jämna mellanrum.

Använd inbyggda roller för att allokera behörigheter och skapa bara anpassade roller när det behövs.

För att underlätta konfigurationen av lägsta behörighet erbjuder IoT Hub inbyggda roller i Azure RBAC. Till exempel ger rollen IoT Hub dataläsare identiteten skrivskyddad åtkomst till IoT Hub-resurser.

Du kan också konfigurera åtkomst IoT Hub med hjälp av principer för delad åtkomst. Principerna för lägsta behörighet gäller fortfarande när du använder principer för delad åtkomst. Om en tjänst till exempel behöver läsa enhetsregistret men inte behöver uppdatera det, ger du den endast registryRead-principen. Om du vill lägga till kornighet använder du Azure RBAC när det är möjligt.

Ansvar: Kund

Dataskydd

Mer information finns i Azure Security Benchmark: Dataskydd.

DP-2: Skydda känsliga data

Vägledning: Skydda känsliga data genom att begränsa åtkomsten med hjälp av Azure RBAC, nätverksbaserade åtkomstkontroller och specifika kontroller i Azure-tjänster som kryptering.

För att säkerställa konsekvent åtkomstkontroll justerar du alla typer av åtkomstkontroll med din strategi för företagssegmentering. Informera strategin för företagssegmentering om platsen för känsliga eller affärskritiska data och system.

För den underliggande plattformen (som hanteras av Microsoft) behandlar Microsoft allt kundinnehåll som känsligt och skyddar mot förlust och exponering av kunddata. För att säkerställa att kunddata i Azure alltid är skyddade har Microsoft implementerat vissa standardkontroller och funktioner för dataskydd.

Ansvar: Delad

DP-4: Kryptera känslig information under överföring

Vägledning: För att komplettera åtkomstkontroller skyddar du data under överföring mot "out-of-band"-attacker (t.ex. trafikinsamling) med hjälp av kryptering för att säkerställa att angripare inte enkelt kan läsa eller ändra data.

IoT Hub stöder datakryptering under överföring med TLS v1.2 eller senare.

Även om datakryptering är valfritt för trafik i privata nätverk är det viktigt för trafik i externa och offentliga nätverk. För HTTP-trafik kontrollerar du att alla klienter som ansluter till dina Azure-resurser kan förhandla om TLS v1.2 eller senare. För fjärrhantering använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll. Inaktivera föråldrade SSL-, TLS-, SSH-versioner och protokoll samt svaga chiffer.

Som standard tillhandahåller Azure kryptering för data under överföring mellan Azure-datacenter.

Ansvar: Delad

DP-5: Kryptera känsliga data i vila

Vägledning: För att komplettera åtkomstkontroller krypterar IoT Hub vilande data för att skydda mot "out-of-band"-attacker (till exempel åtkomst till underliggande lagring) med hjälp av kryptering. Det hjälper till att säkerställa att angripare inte enkelt kan läsa eller ändra data.

Azure tillhandahåller kryptering för vilande data som standard. För mycket känsliga data har du alternativ för att implementera mer kryptering i vila på alla Azure-resurser där det är tillgängligt. Azure hanterar dina krypteringsnycklar som standard, men Azure tillhandahåller även alternativ för att hantera egna nycklar (kundhanterade nycklar) för vissa Azure-tjänster för att uppfylla regelkraven.

Ansvar: Delad

Tillgångshantering

Mer information finns i Azure Security Benchmark: Tillgångshantering.

AM-1: Se till att säkerhetsteamet har insyn i risker gällande tillgångar

Vägledning: Se till att säkerhetsteam beviljas behörigheter för säkerhetsläsare i din Azure-klientorganisation och prenumerationer, så att de kan övervaka säkerhetsrisker med hjälp av Microsoft Defender för molnet.

Övervakning av säkerhetsrisker kan vara ett centralt säkerhetsteams eller ett lokalt teams ansvar, beroende på hur du strukturerar ansvarsområden. Samla alltid säkerhetsinsikter och risker centralt inom en organisation.

Du kan använda behörigheter för säkerhetsläsare brett för en hel klients rothanteringsgrupp eller omfångsbehörigheter för specifika hanteringsgrupper eller prenumerationer.

Obs! För att få insyn i arbetsbelastningar och tjänster kan det krävas fler behörigheter.

Ansvar: Kund

AM-2: Se till att säkerhetsteamet har åtkomst till tillgångsinventering och metadata

Vägledning: Se till att säkerhetsteamen har åtkomst till en kontinuerligt uppdaterad inventering av tillgångar i Azure, till exempel IoT Hub. Säkerhetsteam behöver ofta den här inventeringen för att utvärdera organisationens potentiella exponering för nya risker och som indata för kontinuerliga säkerhetsförbättringar. Skapa en Azure AD grupp som ska innehålla organisationens auktoriserade säkerhetsteam och tilldela den läsbehörighet till alla IoT Hub resurser. Du kan förenkla processen med en enda rolltilldelning på hög nivå i din prenumeration.

Använd taggar för dina Azure-resurser, resursgrupper och prenumerationer för att organisera dem logiskt i en taxonomi. Varje tagg består av ett namn och ett värdepar. Du kan till exempel använda namnet ”Miljö” och värdet ”Produktion” för alla resurser i produktionsmiljön.

IoT Hub stöder Azure Resource Manager-baserade resursdistributioner och Azure Resource Graph-frågor.

IoT Hub tillåter inte körning av ett program eller installation av programvara på dess resurser. Beskriv andra funktioner i ditt erbjudande som tillåter eller stöder den här funktionen, i förekommande fall.

Ansvar: Kund

AM-3: Använd bara godkända Azure-tjänster

Vägledning: Använd Azure Policy för att granska och begränsa vilka tjänster som användare kan etablera i din miljö. Använd Azure Resource Graph till att fråga efter och identifiera resurser i prenumerationerna. Du kan också använda Azure Monitor till att skapa regler för att utlösa aviseringar när en icke-godkänd tjänst upptäcks.

Ansvar: Kund

Loggning och hotidentifiering

Mer information finns i Azure Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera hotidentifiering för Azure-resurser

Vägledning: Använd den inbyggda hotidentifieringsfunktionen i Microsoft Defender för molnet och aktivera Microsoft Defender för dina IoT Hub resurser. Microsoft Defender för IoT Hub tillhandahåller ytterligare ett lager med säkerhetsinformation. Den identifierar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja dina IoT Hub resurser.

Vidarebefordra loggar från IoT Hub till SIEM, som kan användas för att konfigurera anpassade hotidentifieringar. Se till att du övervakar olika typer av Azure-tillgångar för potentiella hot och avvikelser. Fokusera på att få aviseringar av hög kvalitet för att minska falska positiva identifieringar för analytiker att sortera igenom. Aviseringar kan hämtas från loggdata, agenter eller andra data.

Ansvar: Kund

LT-2: Aktivera hotidentifiering i hanteringen av identiteter och åtkomst i Azure

Vägledning: Azure AD innehåller följande användarloggar. Du kan visa loggarna i Azure AD rapportering. Du kan integrera med Azure Monitor, Microsoft Sentinel eller andra SIEM- och övervakningsverktyg för avancerade användningsfall för övervakning och analys.

  • Inloggningsaktiviteter – Rapporten för inloggningsaktiviteter ger information om användningen av hanterade program och användares inloggningsaktiviteter.

  • Granskningsloggar – Ger spårning genom loggar för alla ändringar som görs av olika Azure AD funktioner. Granskningsloggar innehåller ändringar som gjorts i alla resurser i Azure AD. Ändringarna omfattar att lägga till eller ta bort användare, appar, grupper, roller och principer.

  • Riskfyllda inloggningar – en indikator för inloggningsförsök av någon som kanske inte är legitim ägare till ett användarkonto.

  • Användare som har flaggats för risk – En användare som har flaggats för risk indikerar att ett användarkonto kan ha komprometterats.

Microsoft Defender för molnet kan också varna dig om vissa misstänkta aktiviteter, till exempel ett överdrivet antal misslyckade autentiseringsförsök. Inaktuella konton i prenumerationen kan också utlösa aviseringar.

Microsoft Defender för molnet kan också varna dig om misstänkta aktiviteter som ett överdrivet antal misslyckade autentiseringsförsök eller om inaktuella konton.

Förutom grundläggande övervakning av säkerhetshygien kan Microsoft Defender för molnets hotskyddsmodul samla in mer djupgående säkerhetsaviseringar från:

  • Enskilda Azure-beräkningsresurser som virtuella datorer, containrar och App Service

  • Dataresurser som Azure SQL Database och Azure Storage

  • Azure-tjänstlager

Den här funktionen ger dig insyn i kontoavvikelser i enskilda resurser.

Ansvar: Kund

LT-3: Aktivera loggning av nätverksaktiviteter i Azure

Vägledning: Aktivera dessa loggar:

  • Resursloggar för nätverkssäkerhetsgrupp (NSG)
  • NSG flödesloggar
  • Azure Firewall loggar
  • Web Application Firewall-loggar (WAF)

Samla in loggarna för säkerhetsanalys. Använd dem för att stödja incidentundersökningar, hotjakt och generering av säkerhetsaviseringar. Du kan skicka flödesloggarna till en Azure Monitor Log Analytics-arbetsyta och sedan använda Trafikanalys för att ge insikter.

IoT Hub skapar eller bearbetar inte DNS-frågeloggar.

Ansvar: Kund

LT-4: Aktivera loggning för Azure-resurser

Vägledning: Aktivitetsloggar är tillgängliga automatiskt. Loggarna innehåller alla PUT-, POST- och DELETE-åtgärder, men inte GET,-åtgärder för VPN Gateway resurser. Du kan använda aktivitetsloggar för att hitta fel vid felsökning eller för att övervaka hur användare ändrade resurser.

Aktivera Azure-resursloggar för VPN Gateway. Du kan använda Microsoft Defender för molnet och Azure Policy för att aktivera resursloggar och insamling av loggdata. Dessa loggar kan vara viktiga för att undersöka säkerhetsincidenter och för kriminaltekniska övningar.

Ansvar: Kund

Övervakning av Microsoft Defender för molnet: Azure Security Benchmark är standardprincipinitiativet för Microsoft Defender för molnet och utgör grunden för rekommendationerna från Microsoft Defender för molnet. De Azure Policy definitioner som är relaterade till den här kontrollen aktiveras automatiskt av Microsoft Defender för molnet. Aviseringar relaterade till den här kontrollen kan kräva en Microsoft Defender-plan för de relaterade tjänsterna.

Azure Policy inbyggda definitioner – Microsoft.Devices:

Namn
(Azure Portal)
Description Effekter Version
(GitHub)
Resursloggar i IoT Hub ska vara aktiverade Granska aktivering av resursloggar. På så sätt kan du återskapa aktivitetsloggar som ska användas i undersökningssyfte. när en säkerhetsincident inträffar eller när nätverket komprometteras AuditIfNotExists, inaktiverad 3.0.1

LT-6: Konfigurera kvarhållning av loggar

Vägledning: För lagringskonton eller Log Analytics-arbetsytor som lagrar IoT Hub loggar anger du en kvarhållningsperiod för loggar som uppfyller organisationens efterlevnadsregler.

Ansvar: Kund

LT-7: Använd godkända tidssynkroniseringskällor

Vägledning: Ej tillämpligt. IoT Hub stöder inte konfiguration av dina egna tidssynkroniseringskällor.

IoT Hub-tjänsten förlitar sig på Microsofts tidssynkroniseringskällor och exponeras inte för kunder för konfiguration.

Ansvar: Microsoft

Hantering av säkerhetsposition och säkerhetsrisker

Mer information finns i Azure Security Benchmark: Hantering av säkerhetsposition och säkerhetsrisker.

PV-1: Upprätta säkra konfigurationer för Azure-tjänster

Vägledning: Du kan använda Azure Blueprints för att automatisera distribution och konfiguration av tjänster och programmiljöer i en enda skissdefinition. Miljöer för:

  • Azure Resources Manager-mallar
  • Azure RBAC-kontroller och principer

Microsoft Defender för IoT är en enhetlig säkerhetslösning för att identifiera IoT/OT-enheter, sårbarheter och hot. Det gör att du kan skydda hela IoT/OT-miljön, oavsett om du behöver skydda befintliga IoT/OT-enheter eller bygga in säkerhet i nya IoT-innovationer.

Ansvar: Kund

PV-2: Underhåll säkra konfigurationer för Azure-tjänster

Vägledning: Använd Microsoft Defender för molnet för att övervaka din konfigurationsbaslinje. Använd Azure Policy [neka] och [distribuera om det inte finns] för att framtvinga säker konfiguration över Azure-beräkningsresurser, inklusive virtuella datorer, containrar och andra.

Ansvar: Kund

PV-3: Upprätta säkra konfigurationer för beräkningsresurser

Vägledning: Använd Microsoft Defender för molnet och Azure Policy för att upprätta säkra konfigurationer för alla beräkningsresurser, inklusive virtuella datorer, containrar med mera.

Ansvar: Kund

PV-6: Utföra sårbarhetsbedömningar för programvara

Vägledning: Ej tillämpligt. Microsoft utför sårbarhetshantering på de underliggande system som stöder IoT Hub.

Ansvar: Microsoft

PV-7: Åtgärda sårbarheter för programvara snabbt och automatiskt

Vägledning: Ej tillämpligt. För partnerprogramvara använder du en lösning för hantering av partnerkorrigeringar eller System Center Uppdateringar Publisher för Configuration Manager.

IoT Hub inte använder eller kräver programvara från tredje part.

Ansvar: Microsoft

PV-8: Utför regelbundna angreppssimuleringar

Vägledning: Utför intrångstester eller red team-aktiviteter på dina Azure-resurser efter behov. Se till att åtgärda alla viktiga säkerhetsresultat.

Följ Microsoft Cloud Penetration Testing Rules of Engagement för att se till att dina intrångstester inte bryter mot Microsofts principer. Använd Microsofts red teamindelningsstrategi och körning. Utför intrångstester på livewebbplatser mot Microsoft-hanterad molninfrastruktur, tjänster och program.

Ansvar: Delad

Säkerhetskopiering och återställning

Mer information finns i Azure Security Benchmark: Säkerhetskopiering och återställning.

BR-3: Validera all säkerhetskopiering med kundhanterade nycklar

Vägledning: Kontrollera regelbundet att du kan återställa säkerhetskopierade kundhanterade nycklar.

Ansvar: Kund

BR-4: Minska risken för förlorade nycklar

Vägledning: Se till att du har åtgärder för att förhindra och återställa från förlust av nycklar. Aktivera mjuk borttagning och rensningsskydd i Azure Key Vault som skydd mot oavsiktlig eller skadlig borttagning.

Ansvar: Delad

Nästa steg