Güvenlik standartları Azure IoT Edge

  • Makale
  • Okumak için 4 dakika

Uygulama hedefi: Evet simgesi IoT Edge 1,1 evet IoT Edge 1,2

Azure IoT Edge ve analizlerinizi akıllı edge'e taşımanın neden olduğu riskleri de karşılar. Bu IoT Edge standartları, farklı dağıtım senaryoları için esnekliği tüm Azure hizmetlerinden beklediğiniz korumayla dengeler.

IoT Edge donanım modellerinde çalışır, çeşitli işletim sistemlerini destekler ve çeşitli dağıtım senaryoları için geçerlidir. Belirli senaryolar için somut çözümler sunan IoT Edge, ölçek için tasarlanmış iyi temel alınan ilkeleri temel alan genişletilebilir bir güvenlik çerçevesidir. Dağıtım senaryosunun riski aşağıdakiler gibi birçok faktöre bağlıdır:

  • Çözüm sahipliği
  • Dağıtım coğrafyası
  • Veri duyarlılığı
  • Gizlilik
  • Uygulama dikey
  • Mevzuat gereksinimleri

Bu makalede, IoT Edge güvenlik çerçevesine genel bir bakış sağlar. Daha fazla bilgi için bkz. Akıllı uç güvenliğini sağlama.

Standartlar

Standartlar, irdelenin kolaylığını ve uygulama kolaylığını teşvik eder; her ikisi de güvenliğin işaretidir. Bir güvenlik çözümü, güven oluşturmak için değerlendirme kapsamında irdelemektedir ve dağıtıma engel olmayacaktır. Güvenliği sağlamak için çerçevenin tasarımı Azure IoT Edge tanıma ve yeniden kullanım için zaman test edilmiş ve sektörde kanıtlanmış güvenlik protokollerini temel almaktadır.

Kimlik Doğrulaması

Bir IoT çözümü dağıtıyorken çözümünüze yalnızca güvenilen aktörlerin, cihazların ve modüllerin erişe olduğunu bilebilirsiniz. Sertifika tabanlı kimlik doğrulaması, Azure IoT Edge platformu için birincil kimlik doğrulaması mekanizmasıdır. Bu mekanizma, İnternet Mühendislik Görev Gücü (IETF) tarafından Ortak Anahtar Altyapısını (PKiX) yöneten bir standartlar kümesinden türetildi.

Bu cihazla etkileşimde bulunan tüm cihazlar, modüller ve Azure IoT Edge benzersiz sertifika kimlikleri olmalıdır. Bu kılavuz etkileşimlerin fiziksel veya ağ bağlantısı üzerinden olup olmadığını gösterir. Her senaryo veya bileşen sertifika tabanlı kimlik doğrulamasına uygun değildir, bu nedenle güvenlik çerçevesinin genişletilebilirliği güvenli alternatifler sunar.

Daha fazla bilgi için bkz. Azure IoT Edge kullanımı.

Yetkilendirme

En düşük ayrıcalık ilkesi, bir sistemdeki kullanıcıların ve bileşenlerin yalnızca rollerini gerçekleştirmek için gereken minimum kaynak ve veri kümesine erişmesi gerektiğini ifade eder. Cihazlar, modüller ve aktörler yalnızca izin kapsamları içindeki kaynaklara ve verilere ve yalnızca mimari açıdan izin verilebilir olduğunda erişmeli. Bazı izinler yeterli ayrıcalıklarla yapılandırılabilir ve diğerleri mimari olarak zorunlu kılınabilir. Örneğin, bazı modüllerin Azure IoT Hub. Ancak, bir modülde yer alan bir modülün başka bir IoT Edge cihazında bir modülün ikizine erişmesi IoT Edge yoktur.

Diğer yetkilendirme düzenleri arasında sertifika imzalama hakları ve rol tabanlı erişim denetimi (RBAC) yer alır.

Kanıtlama

Doğrulama, yazılım bitlerinin bütünlüğünü sağlar ve bu, kötü amaçlı yazılımları algılamak ve önlemek için önemlidir. Güvenlik Azure IoT Edge çerçevesi, onayını üç ana kategori altında sınıflandırabilir:

  • Statikstation
  • Çalışma zamanıstation
  • Yazılıma karşı koruma

Statikstation

Statik kimlik doğrula, işletim sistemi, tüm çalışma zamanları ve yapılandırma bilgileri dahil olmak üzere, güç kaynağı sırasında bir cihaza ilişkin tüm yazılımların bütünlüğünü doğrular. Statik kimlik doğruma, güç sağlama sırasında oluştuğu için genellikle güvenli önyükleme olarak adlandırılır. Cihazlar için güvenlik IoT Edge, üreticilere genişletilen ve statik cihaz sağlama işlemlerini güvence altına alan güvenli donanım özellikleri içerir. Bu işlemler güvenli önyükleme ve güvenli üretici yazılımı yükseltmesini içerir. Silikon satıcıları ile yakın işbirliği içinde çalışmak gereksiz bellenim katmanlarını ortadan kaldırarak tehdit yüzeyini en aza indirmektedir.

Çalışma zamanıstation

Bir sistem güvenli önyükleme işlemini tamamlandıktan sonra, iyi tasarlanmış sistemler kötü amaçlı yazılım ekleme girişimlerini algılamalı ve uygun karşı önlemler alsalar. Kötü amaçlı yazılım saldırıları sistemin bağlantı noktalarını ve arabirimlerini hedef alıyor olabilir. Kötü amaçlı aktörler bir cihaza fiziksel erişime sahipse, cihazın kendisiyle oynayabilirsiniz veya erişim elde etmek için yan kanal saldırıları kullanabilirler. Kötü amaçlı yazılım veya yetkisiz yapılandırma değişiklikleri gibi tutarsızlıklar, statik onay tarafından algılanamaz çünkü önyükleme işleminin ardından bu uygulamanın eklemesi gerekir. Cihaz donanımı tarafından sunulan veya zorlanan önlemler, bu tür tehditlerin karşıtlıklarını kapatmaya yardımcı olur. Çalışma zamanı tehditlerini IoT Edge uzantılar için açıkça çağrılar yapmak için güvenlik çerçevesi.

Yazılıma karşı koruma

Akıllı uç sistemleri de dahil olmak üzere tüm iyi sistemlerde düzeltme ekleri ve yükseltmeler gerekir. Güvenlik, güncelleştirme işlemleri için önemlidir, aksi takdirde olası tehdit vektörleri olabilir. IoT Edge için güvenlik çerçevesi, paketlerin bütünlüğünü sağlamak ve bu paketlerin kaynağının kimliğini doğrulamak için ölçülen ve imzalı paketler aracılığıyla güncelleştirmeleri arar. Bu standart tüm işletim sistemleri ve uygulama yazılım bitleri için geçerlidir.

Donanım güven kökü

Özellikle olası kötü amaçlı aktörler tarafından fiziksel olarak erişilebilen birçok akıllı uç cihazı için donanım güvenliği, koruma için son savunmadır. Kurcalamaya dayanıklı donanım, bu tür dağıtımlar için çok önemlidir. Azure IoT Edge, güvenli silikon donanım satıcılarının çeşitli risk profilleri ve dağıtım senaryolarına uyum sağlamak için farklı donanım güveni özellikleri sunmalarını teşvik ediyor. Donanım güveni, Güvenilir Platform Modülü (ISO/IEC 11889) ve Trusted Computing Group'nin Cihaz Tanımlayıcısı Oluşturma Altyapısı (DICE) gibi yaygın güvenlik protokolü standartlarından gelebilir. TrustZones ve Software Guard Extensions (SGX) gibi güvenli enclave teknolojileri de donanım güveni sağlar.

Sertifikasyon

Müşterilerin dağıtımları için cihaz temini sırasında bilinçli Azure IoT Edge yardımcı olmak için, IoT Edge çerçevesi sertifikasyon gereksinimlerini içerir. Bu gereksinimlerin temeli, güvenlik uygulamasının doğrulanmasıyla ilgili güvenlik taleplerine ve sertifikalara ilişkin sertifikalardır. Örneğin, bir güvenlik talebi sertifikasyonu, IoT Edge önyükleme saldırılarına karşı dayanıklı olarak bilinen güvenli donanım kullandığı anlamına gelir. Doğrulama sertifikası, güvenli donanımın cihazda bu değeri sunmak için düzgün şekilde uygulandığını gösterir. Çerçeve, basitlik ilkesine göre sertifikasyon yükünü en düşük düzeyde tutmaya çalışır.

Genişletilebilirlik

IoT teknolojisi farklı iş dönüşümleri türüne yol alasa da güvenlik, yeni ortaya çıkan senaryoları ele alan paralel bir şekilde gelişmeye devam edecektir. Bu Azure IoT Edge çerçevesi, genişletilebilirlik içinde farklı boyutlara ek olarak şunları içerecek şekilde sağlam bir temelle başlar:

  • Hizmet için Cihaz Sağlama Hizmeti gibi birinci taraf güvenlik Azure IoT Hub.
  • Farklı uygulama dikeyleri (endüstriyel veya sağlık hizmetleri gibi) için yönetilen güvenlik hizmetleri veya zengin bir iş ortağı ağı aracılığıyla teknoloji odağı (örgü ağlarında güvenlik izleme veya silikon donanım taaydı hizmetleri gibi) gibi üçüncü taraf hizmetler.
  • Kimlik doğrulaması ve kimlik yönetimi için sertifikalar dışında güvenli teknoloji kullanma gibi alternatif güvenlik stratejileriyle geriye dönük geriye dönük yapılandırmayı içerecek eski sistemler.
  • Yeni gelişen güvenli donanım teknolojilerinin ve silikon iş ortağı katkılarının benimsenmesi için güvenli donanım.

Sonunda, akıllı kenarın güvenliğini sağlamak için IoT'nin güvenliğini sağlama konusunda ortak ilginin yönlendir olduğu açık bir topluluğun işbirliğine dayalı katkılarına ihtiyaç vardır. Bu katkılar güvenli teknolojiler veya hizmetler şeklinde olabilir. Azure IoT Edge güvenlik çerçevesi, Azure bulutuyla aynı güven ve bütünlük düzeyini sunmak için maksimum kapsamın genişletilebilir olduğu sağlam bir güvenlik temeli sunar.

Sonraki adımlar

Azure IoT Edge edge'in güvenliğini sağlama hakkında daha fazla bilgi okuyun.