Sichern Ihrer IoT-Lösungen

Das folgende Diagramm zeigt eine allgemeine Ansicht der Komponenten in einer typischen edgegebundenen IoT-Lösung. Dieser Artikel konzentriert sich auf die Sicherheit einer edgegebundenen IoT-Lösung:

In einer Edge-verbundenen IoT-Lösung können Sie die Sicherheit in die folgenden vier Bereiche unterteilen:

• Ressourcensicherheit: Sichern Sie die IoT-Ressource, während sie lokal bereitgestellt wird.

• Verbindungssicherheit: Stellen Sie sicher, dass alle Daten während der Übertragung zwischen der Ressource, dem Edge und den Clouddiensten vertraulich und manipulationssicher sind.

• Edge-Sicherheit: Schützen Sie Ihre Daten während der Verschiebung und Speicherung am Edge.

• Cloudsicherheit: Sichern Sie Ihre Daten, während sie durch die Cloud übertragen werden und dort gespeichert sind.

Microsoft Defender für IoT und Container

Microsoft Defender for IoT ist eine einheitliche Sicherheitslösung, die speziell zur Identifizierung von IoT- und Betriebstechnologiegeräten, Sicherheitsrisiken und Bedrohungen entwickelt wurde. Microsoft Defender für Container ist eine cloudeigene Lösung, um die Sicherheit Ihrer containerisierten Ressourcen zu verbessern, zu überwachen und zu verwalten (Kubernetes-Cluster, Kubernetes-Knoten, Kubernetes-Workloads, Containerregistrierungen, Containerimages und mehr) und deren Anwendungen über mehrere Cloud- und lokale Umgebungen hinweg.

Sowohl Defender für IoT als auch Defender für Container können einige der in diesem Artikel enthaltenen Empfehlungen automatisch überwachen. Defender für IoT und Defender für Container sollten die erste Verteidigungslinie sein, um Ihre Edge-verbundene Lösung zu schützen. Weitere Informationen finden Sie unter:

• Microsoft Defender für Container – Übersicht
• Microsoft Defender for IoT für Organisationen – Übersicht.

Anlagensicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Ressourcen, z. B. Industrielle Geräte, Sensoren und andere Geräte, die Teil Ihrer IoT-Lösung sind. Die Sicherheit des Vermögens ist entscheidend, um die Integrität und Vertraulichkeit der von ihr generierten und übertragenen Daten sicherzustellen.

• Verwenden Sie Azure Key Vault und die Secret Store-Erweiterung: Verwenden Sie Azure Key Vault, um sensible Informationen von Vermögenswerten wie Schlüssel, Passwörter, Zertifikate und Geheimnisse zu speichern und zu verwalten. Azure IoT Einsatz verwendet Azure Key Vault als verwaltete Tresorlösung in der Cloud und verwendet Azure Key Vault Secret Store-Erweiterung für Kubernetes, um die geheimen Schlüssel aus der Cloud zu synchronisieren und sie als Kubernetes-Geheimnisse am Rand zu speichern. Weitere Informationen finden Sie unter Geheimnisse für Ihre Azure IoT-Betriebseinsätze verwalten.

• Einrichten der sicheren Zertifikatverwaltung: Die Verwaltung von Zertifikaten ist entscheidend für die sichere Kommunikation zwischen Ressourcen und Ihrer Edge-Laufzeitumgebung. Azure IoT Einsatz bietet Tools zum Verwalten von Zertifikaten, einschließlich Ausstellen, Erneuern und Widerrufen von Zertifikaten. Weitere Informationen finden Sie unter Zertifikatsverwaltung für die interne Kommunikation der Azure-IoT-Operationen.

• Wählen Sie manipulationssichere Hardware aus: Wählen Sie Asset-Hardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, z. B. das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.

• Ermöglichen von sicheren Updates für die Ressourcenfirmware: Verwenden Sie Dienste, die Over-The-Air-Updates für Ihre Ressourcen ermöglichen. Entwickeln Sie Ressourcen mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um die Ressourcen während und nach Updates zu schützen.

• Sicheres Bereitstellen von Ressourcenhardware: Stellen Sie sicher, dass die Bereitstellung von Ressourcenhardware möglichst weitgehend gegen Manipulation geschützt ist, insbesondere an unsicheren Orten wie öffentlichen Räumen oder nicht überwachten Gebietsschemas. Aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren, z. B. sichere Abdeckung von USB-Anschlüssen, wenn sie nicht benötigt werden.

• Befolgen Sie bewährte Methoden für Die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Sicherheits- und Bereitstellungsleitfaden bereitstellt, befolgen Sie diese Anleitung zusammen mit den allgemeinen Anleitungen in diesem Artikel.

Verbindungssicherheit

Dieser Abschnitt enthält Anleitungen zum Absichern der Verbindungen zwischen Ihren Assets, der Edge-Laufzeitumgebung und den Clouddiensten. Die Sicherheit der Verbindungen ist entscheidend, um die Integrität und Vertraulichkeit der übertragenen Daten sicherzustellen.

• Use Transport Layer Security (TLS) zum Sichern von Verbindungen von Objekten: Die gesamte Kommunikation innerhalb Azure IoT Einsatz wird mit TLS verschlüsselt. Um eine sichere standardmäßige Erfahrung bereitzustellen, die die unbeabsichtigte Gefährdung Ihrer Edge-verbundenen Lösung gegenüber Angreifern minimiert, wird Azure IoT Einsatz mit einem standardmäßigen Root-CA und einem Aussteller für TLS-Serverzertifikate bereitgestellt. Für eine Produktionsbereitstellung empfehlen wir die Verwendung Ihres eigenen ZS-Ausstellers und einer Unternehmens-PKI-Lösung.

• Bringen Sie Ihre eigene Zertifizierungsstelle für die Produktion mit: Ersetzen Sie für Produktionsbereitstellungen die standardmäßige selbstsignierte Stammzertifizierungsstelle durch Ihren eigenen Zertifizierungsstellenherausgeber und integrieren Sie sie in eine Unternehmens-PKI, um Vertrauen und Compliance sicherzustellen. Weitere Informationen finden Sie unter Zertifikatsverwaltung für die interne Kommunikation von Azure IoT Einsatz.

• Erwägen Sie die Verwendung von Unternehmensfirewalls oder Proxys, um den ausgehenden Datenverkehr zu verwalten: Wenn Sie Unternehmensfirewalls oder Proxys verwenden, fügen Sie die Azure IoT Einsatz-Endpunkte zu Ihrer Zulassungsliste hinzu.

• Verschlüsseln des internen Datenverkehrs des Nachrichtenbrokers: Die Gewährleistung der Sicherheit der internen Kommunikation innerhalb Ihrer Infrastruktur ist wichtig für die Aufrechterhaltung der Datenintegrität und -vertraulichkeit. Sie sollten den MQTT-Broker so konfigurieren dass interner Datenverkehr zwischen den Front-End- und Back-End-Pods des MQTT-Brokers verschlüsselt wird. Weitere Informationen finden Sie unter Konfigurieren der Verschlüsselung des internen Brokerdatenverkehrs und interner Zertifikate.

• Configure TLS mit automatischer Zertifikatverwaltung für Listener in Ihrem MQTT-Broker: Azure IoT Einsatz bietet die automatische Zertifikatverwaltung für Listener in Ihrem MQTT-Broker. Diese Funktion reduziert den verwaltungstechnischen Aufwand bei der manuellen Verwaltung von Zertifikaten, stellt zeitnahe Erneuerungen sicher und hilft bei der Einhaltung von Sicherheitsrichtlinien. Weitere Informationen finden Sie unter Schützen der MQTT-Broker-Kommunikation mit BrokerListener.

• Einrichten einer sicheren Verbindung mit dem OPC UA-Server: Beim Herstellen einer Verbindung mit einem OPC UA-Server sollten Sie bestimmen, mit welchen OPC UA-Servern Sie sicher eine Sitzung herstellen können. Weitere Informationen finden Sie unter Konfigurieren der OPC UA-Zertifikatinfrastruktur für den Anschluss für OPC UA.

• Isolieren und Segmentieren von Netzwerken: Verwenden Sie Netzwerksegmentierung und Firewalls, um IoT Operations-Cluster und Edgegeräte von anderen Netzwerkressourcen zu isolieren. Fügen Sie ihrer Zulassungsliste erforderliche Endpunkte hinzu, wenn Sie Unternehmensfirewalls oder Proxys verwenden. Weitere Informationen finden Sie in den Richtlinien für die Produktionsbereitstellung – Netzwerk.

Edgesicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Edge-Laufzeitumgebung, bei der es sich um die Software handelt, die auf Ihrer Edgeplattform ausgeführt wird. Diese Software verarbeitet Ihre Bestandsdaten und verwaltet die Kommunikation zwischen Ihren Ressourcen und Clouddiensten. Die Sicherheit der Edge-Laufzeitumgebung ist entscheidend, um die Integrität und Vertraulichkeit der verarbeiteten und übertragenen Daten sicherzustellen.

• Halten Sie die Edge-Laufzeitumgebung auf dem neuesten Stand: Halten Sie Ihren Cluster und die Azure IoT Einsatz-Bereitstellung mit den neuesten Patches und Nebenversionen auf dem Laufenden, um alle verfügbaren Sicherheits- und Fehlerkorrekturen zu erhalten. Für Produktionsbereitstellungen deaktivieren Sie autoupgrade für Azure Arc, um die vollständige Kontrolle darüber zu haben, wann neue Updates auf Ihr Cluster angewendet werden. Aktualisieren Sie stattdessen die Agents nach Bedarf manuell.

• Überprüfen Sie die Integrität von Container- und Helm-Images: Bevor Sie ein Image in Ihrem Cluster bereitstellen, vergewissern Sie sich, dass das Image von Microsoft signiert ist. Weitere Informationen finden Sie unter Überprüfen der Signierung von Images.

• Ausschließliches Verwenden von X.509-Zertifikaten oder Kubernetes-Dienstkontotoken für die Authentifizierung mit Ihrem MQTT-Broker: Ein MQTT-Broker unterstützt mehrere Authentifizierungsmethoden für Clients. Sie können jeden Listenerport so konfigurieren, dass er über eigene Authentifizierungseinstellungen mit einer BrokerAuthentication-Ressource verfügt. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerauthentifizierung.

• Bereitstellen der geringsten erforderlichen Rechte für die Themenressource in Ihrem MQTT-Broker: Mithilfe von Autorisierungsrichtlinien wird bestimmt, welche Aktionen die Clients mit dem Broker ausführen können, wie etwa Verbinden, Veröffentlichen oder Abonnieren von Themen. Konfigurieren Sie den MQTT-Broker für die Verwendung einer oder mehrerer Autorisierungsrichtlinien mithilfe der BrokerAuthorization-Ressource. Weitere Informationen finden Sie unter Konfigurieren der MQTT-Brokerautorisierung.

Cloudsicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Clouddienste, bei denen es sich um die Dienste handelt, die Ihre Bestandsdaten verarbeiten und speichern. Die Sicherheit der Clouddienste ist entscheidend, um die Integrität und Vertraulichkeit Ihrer Daten sicherzustellen.

• Verwenden von benutzerseitig zugewiesenen verwalteten Identitäten für Cloudverbindungen: Verwenden Sie immer die Authentifizierung mit verwalteter Identität. Verwenden Sie nach Möglichkeit die benutzerseitig zugewiesene verwaltete Identität in Datenflussendpunkten, um Flexibilität und Überwachbarkeit zu gewährleisten. Weitere Informationen finden Sie unter Enable secure settings in Azure IoT Einsatz.

• Deploy observability resources and set up logs: Observability bietet Einblicke in jede Ebene Ihrer Azure IoT Einsatz Konfiguration. Sie erhalten Einblicke in das tatsächliche Verhalten von Problemen, wodurch die Effektivität des Zuverlässigkeits-Engineerings von Standorten erhöht wird. Azure IoT Einsatz bietet Überwachbarkeit durch maßgeschneiderte, vorkonfigurierte Grafana-Dashboards, die in Azure gehostet werden. Diese Dashboards werden von Azure Monitor verwalteten Dienst für Prometheus und von Container Insights unterstützt. Bereitstellen von Observability-Ressourcen in Ihrem Cluster, bevor Sie Azure IoT Einsatz bereitstellen.

• Sicherer Zugriff auf Assets und Assetendpunkte mit Azure RBAC: Assets und Assetendpunkte in Azure IoT Einsatz verfügen über Darstellungen sowohl im Kubernetes-Cluster als auch im Azure-Portal. Verwenden Sie Azure RBAC, um den Zugriff auf diese Ressourcen zu sichern. Azure RBAC ist ein Autorisierungssystem, mit dem Sie den Zugriff auf Azure Ressourcen verwalten können. Verwenden Sie Azure RBAC, um Benutzern, Gruppen und Anwendungen Berechtigungen zu einem bestimmten Bereich zu gewähren. Weitere Informationen finden Sie unter Sicherer Zugriff auf Objekte und Objektendpunkte.

Das folgende Diagramm zeigt eine allgemeine Ansicht der Komponenten in einer typischen cloudgebundenen IoT-Lösung. Dieser Artikel konzentriert sich auf sicherheit in einer cloudgebundenen IoT-Lösung:

In einer mit der Cloud verbundenen IoT-Lösung können Sie die Sicherheit in die folgenden drei Bereiche unterteilen:

• Gerätesicherheit: Sichern Sie das IoT-Gerät, während es lokal bereitgestellt wird.

• Verbindungssicherheit: Stellen Sie sicher, dass alle Daten, die zwischen dem IoT-Gerät und den IoT-Clouddiensten übertragen werden, vertraulich und fälschungssicher sind.

• Cloudsicherheit: Sichern Sie Ihre Daten, während sie durch die Cloud übertragen werden und dort gespeichert sind.

Die Empfehlungen in diesem Artikel helfen Ihnen, die im Modell der gemeinsamen Verantwortung beschriebenen Sicherheitsverpflichtungen zu erfüllen.

Microsoft Defender for IoT

Microsoft Defender for IoT überwacht automatisch einige der Empfehlungen in diesem Artikel. Microsoft Defender for IoT analysiert regelmäßig den Sicherheitsstatus Ihrer Azure Ressourcen, um potenzielle Sicherheitsrisiken zu identifizieren, und bietet dann Empfehlungen zur Behebung dieser Sicherheitsrisiken. Weitere Informationen finden Sie unter:

• Was ist Microsoft Defender für IoT für Organisationen?
• Was ist Microsoft Defender für IoT für Gerätehersteller?
• Verbessern des Sicherheitsstatus mit Sicherheitsempfehlungen.

Gerätesicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer IoT-Geräte, bei denen es sich um die Hardwarekomponenten handelt, die Daten sammeln und übertragen. Die Sicherheit des Geräts ist entscheidend, um die Integrität und Vertraulichkeit der von ihr generierten und übertragenen Daten sicherzustellen.

• Einhalten der Mindestanforderungen für Hardware: Wählen Sie Ihre Gerätehardware so aus, dass sie lediglich die für ihren Betrieb erforderlichen Features enthält. Beziehen Sie beispielsweise nur USB-Anschlüsse ein, wenn sie für den Betrieb des Geräts in Ihrer Lösung erforderlich sind. Zusätzliche Features können das Gerät gegenüber unerwünschten Angriffsvektoren offenlegen.

• Wählen Sie manipulationssichere Hardware aus: Wählen Sie Gerätehardware mit integrierten Mechanismen aus, um physische Manipulationen zu erkennen, z. B. das Öffnen der Geräteabdeckung oder das Entfernen eines Teils des Geräts. Diese Manipulationssignale können Teil des in die Cloud hochgeladenen Datenstroms sein, der die Operatoren über solche Ereignisse benachrichtigt.

• Wählen Sie sichere Hardware aus: Wählen Sie nach Möglichkeit Gerätehardware aus, die Sicherheitsfeatures wie sichere und verschlüsselte Speicher- und Startfunktionen basierend auf einem Trusted Platform Module enthält. Diese Features verbessern die Sicherheit der Geräte und tragen zum Schutz der gesamten IoT-Infrastruktur bei.

• ** Aktivieren Sie sichere Updates: Verwenden Sie Dienste wie Device Update für IoT Hub für drahtlose Updates Ihrer IoT-Geräte. Entwickeln Sie Geräte mit sicheren Pfaden für Updates und eine kryptografische Sicherung der Firmwareversionen, um Geräte während und nach Updates zu schützen.

• Befolgen einer sicheren Softwareentwicklungsmethodik: Sichere Software kann nur entwickelt werden, wenn Fragen der Sicherheit von Anfang an und in allen Phasen bedacht werden – zu Beginn des Projekts über die Implementierung und die Tests genauso wie bei der Bereitstellung. Der Microsoft Security Development Lifecycle bietet einen schrittweisen Ansatz zum Erstellen sicherer Software.

• Geräte-SDKs verwenden, wenn möglich: Geräte-SDKs implementieren verschiedene Sicherheitsfeatures, wie Verschlüsselung und Authentifizierung, die Ihnen bei der Entwicklung robuster und sicherer Geräteanwendungen helfen. Weitere Informationen finden Sie unter Azure IoT SDKs.

• Open Source-Software mit Bedacht wählen: Open Source-Software ermöglicht eine schnelle Lösungsentwicklung. Berücksichtigen Sie bei der Auswahl von Open-Source-Software die Aktivitätsebene der Community für jede Open-Source-Komponente. Eine aktive Community stellt sicher, dass die Software ausreichend unterstützt wird und dass Probleme erkannt und behoben werden. Ein verdecktes und inaktives Open-Source-Softwareprojekt wird möglicherweise nicht unterstützt, und Probleme werden wahrscheinlich nicht erkannt.

• Sichere Bereitstellung von Hardware: IoT-Bereitstellungen erfordern möglicherweise die Bereitstellung von Hardware an unsicheren Standorten, z. B. in öffentlichen Räumen oder unbeaufsichtigten Orten. Machen Sie in diesen Situationen die Hardwarebereitstellung so manipulationssicher wie möglich, und aktivieren Sie nur die erforderlichen Features, um den physischen Angriffsbedarf zu minimieren.

• Speichern Von Anmeldeinformationen in Hardwaresicherheitsmodulen (HARDWARE Security Modules, HSMs): Verwenden Sie HSMs, um geheime Geräteschlüssel wie private Schlüssel und Zertifikate sicher zu speichern, um vor Extraktion und Manipulation zu schützen. Weitere Informationen finden Sie unter IoT Hub X.509-Authentifizierung, DPS HSM-Anleitung und IoT Edge Security Manager.

• Erneuern Sie Geräteschlüssel und Zertifikate regelmäßig: Aktualisieren Sie regelmäßig Zugangsdaten, insbesondere nach einer Sicherheitsverletzung oder einem Ablaufdatum, um das Risiko eines unbefugten Zugriffs zu minimieren. Weitere Informationen finden Sie unter Wie Zertifikate in DPS verwaltet werden und IoT Central X.509-Zertifikateverwaltung.

• Update und Patch: Halten Sie alle Laufzeiten, SDKs und Betriebssystemkomponenten mit den neuesten Sicherheitspatches und -updates auf dem neuesten Stand. Weitere Informationen finden Sie unter IoT Edge Updateanleitung.

• Schutz vor schädlichen Aktivitäten: Wenn es das Betriebssystem zulässt, sollten Sie die neueste Antivirus- und Antischadsoftware auf jedem Gerätebetriebssystem installieren.

• Häufig überwachen: Überwachen Sie die IoT-Infrastruktur auf Sicherheitsprobleme, damit Sie auf Sicherheitsvorfälle reagieren können. Die meisten Betriebssysteme bieten integrierte Ereignisprotokollierung. Überprüfen Sie häufig Protokolle, um auf Sicherheitsverletzungen zu überprüfen. Ein Gerät kann Überwachungsinformationen als separater Datenstrom an den Clouddienst senden, in dem Sie sie analysieren können.

• Befolgen Sie bewährte Methoden für Die Sicherheit und Bereitstellung des Geräteherstellers: Wenn der Gerätehersteller Sicherheits- und Bereitstellungsleitfaden bereitstellt, befolgen Sie diese Anleitung zusammen mit den allgemeinen Anleitungen in diesem Artikel.

• Verwenden eines Feldgateways, um Sicherheitsdienste für ältere oder eingeschränkte Geräte bereitzustellen: Veraltete und eingeschränkte Geräte verfügen möglicherweise nicht über die Möglichkeit, Daten zu verschlüsseln, eine Verbindung mit dem Internet herzustellen oder erweiterte Überwachung bereitzustellen. In diesen Fällen kann ein modernes und sicheres Feldgateway Daten von älteren Geräten aggregieren und die Sicherheit bereitstellen, die erforderlich ist, um diese Geräte über das Internet zu verbinden. Ein IoT Edge-Gerät kann als Gateway verwendet und sichere Authentifizierung, Aushandlung verschlüsselter Sitzungen, Empfang von Befehlen aus der Cloud und viele andere Sicherheitsfeatures bereitgestellt werden. Azure Sphere kann als Schutzmodul fungieren, um andere Geräte zu schützen, einschließlich vorhandener legacy-Systeme, die nicht für vertrauenswürdige Konnektivität ausgelegt sind.

• Daten im Ruhezustand verschlüsseln: Verwenden Sie Verschlüsselung auf Betriebssystemebene, z. B. BitLocker für Windows, für Geräte- und Edge-Speicher zum Schutz von Daten, wenn Geräte verloren gehen oder gestohlen werden. Weitere Informationen finden Sie unter IoT Edge Security.

Verbindungssicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern der Verbindungen zwischen Ihren IoT-Geräten und Clouddiensten. Die Sicherheit der Verbindungen ist entscheidend, um die Integrität und Vertraulichkeit der übertragenen Daten sicherzustellen.

• Verwenden Sie X.509-Zertifikate, um Ihre Geräte am IoT Hub oder IoT Central zu authentifizieren: IoT Hub und IoT Central unterstützen X509-Zertifikate zur Geräteauthentifizierung. Verwenden Sie die X509-basierte Authentifizierung in Produktionsumgebungen, da sie mehr Sicherheit bietet als symmetrische Schlüssel. Weitere Informationen finden Sie unter Authenticating a device to IoT Hub and Device authentication concepts in IoT Central.

• Vermeiden Sie gemeinsam genutzte symmetrische Schlüssel: Wenn Sie symmetrische Schlüssel verwenden, teilen Sie keine symmetrischen Schlüssel auf allen Geräten. Jedes Gerät benötigt eindeutige Anmeldeinformationen, um eine weit verbreitete Kompromittierung zu verhindern, wenn ein Schlüssel verloren geht. Weitere Informationen finden Sie unter "Sicherheitspraktiken für Gerätehersteller".

• Verwenden Sie Transport Layer Security (TLS) 1.2, um Verbindungen von Geräten abzusichern: IoT Hub und IoT Central nutzen TLS, um Verbindungen von IoT-Geräten und -Diensten abzusichern. Derzeit werden drei Versionen des TLS-Protokolls unterstützt: 1.0, 1.1 und 1.2. TLS 1.0 und 1.1 gelten als Legacy. Weitere Informationen finden Sie unter Transport Layer Security (TLS)-Unterstützung in IoT Hub und TLS-Unterstützung in Azure IoT Hub Device Provisioning Service (DPS).

• Verwenden Sie starke Chiffriersammlungen und halten Sie Stammzertifikate auf dem neuesten Stand: Aktualisieren Sie regelmäßig Chiffriersammlungen und vertrauenswürdige Stammzertifikate, um sichere Verbindungen aufrechtzuerhalten. Weitere Informationen finden Sie unter IoT Hub TLS-Unterstützung.

• Stellen Sie sicher, dass Sie eine Möglichkeit haben, das TLS-Stammzertifikat auf Ihren Geräten zu aktualisieren: TLS-Stammzertifikate dauern lange, können aber ablaufen oder widerrufen werden. Wenn Sie das Zertifikat auf dem Gerät nicht aktualisieren können, kann das Gerät möglicherweise keine Verbindung mit IoT Hub, IoT Central oder einem anderen Clouddienst zu einem späteren Zeitpunkt herstellen. Weitere Informationen finden Sie unter Rollen von X.509-Gerätezertifikaten.

• Erwägen Sie, Azure Private Link zu verwenden: Mit Azure Private Link können Sie Ihre Geräte mit einem privaten Endpunkt in Ihrem virtuellen Netzwerk verbinden, sodass Sie den Zugriff auf die öffentlichen, gerätezugänglichen Endpunkte Ihres IoT-Hubs blockieren können. Weitere Informationen finden Sie unter Ingress-Konnektivität zu IoT Hub mit Azure Private Link und Netzwerksicherheit für IoT Central mit privaten Endpunkten.

• Einschränken des Netzwerkzugriffs: Verwenden Sie DIE IP-Filterung, um den Zugriff auf vertrauenswürdige Quellen und Netzwerke einzuschränken. Weitere Informationen finden Sie unter IoT Hub IP-Filterung, IoT Central private Endpunkte und DPS IP-Filterung.

• Deaktivieren Sie den öffentlichen Netzwerkzugriff, falls nicht erforderlich: Verhindern Sie die Gefährdung des öffentlichen Internets, indem Sie öffentliche Endpunkte deaktivieren, wenn Sie dies erreichen können. Weitere Informationen finden Sie unter IoT Hub Zugriff auf öffentliche Netzwerke und DPS.

• Isolieren Von Edgegeräten und Diensten in sicheren Netzwerksegmenten: Verwenden Sie netzwerksegmentierung und Firewalls, um IoT Edge Geräte und Dienste von anderen Netzwerkressourcen zu isolieren. Weitere Informationen finden Sie unter IoT Edge für Linux unter Windows Sicherheit.

Cloudsicherheit

Dieser Abschnitt enthält Anleitungen zum Sichern Ihrer Clouddienste, bei denen es sich um die Dienste handelt, die Ihre IoT-Gerätedaten verarbeiten und speichern. Die Sicherheit der Clouddienste ist entscheidend, um die Integrität und Vertraulichkeit Ihrer Daten sicherzustellen.

• Befolgen einer sicheren Softwareentwicklungsmethodik: Sichere Software kann nur entwickelt werden, wenn Fragen der Sicherheit von Anfang an und in allen Phasen bedacht werden – zu Beginn des Projekts über die Implementierung und die Tests genauso wie bei der Bereitstellung. Der Microsoft Security Development Lifecycle bietet einen schrittweisen Ansatz zum Erstellen sicherer Software.

• Open Source-Software mit Bedacht wählen: Open Source-Software ermöglicht eine schnelle Lösungsentwicklung. Beim Auswählen von Open Source-Software sollten Sie jedoch berücksichtigen, wie aktiv die Community für die jeweilige Open Source-Komponente ist. Eine aktive Community stellt sicher, dass die Software ausreichend unterstützt wird und dass Probleme erkannt und behoben werden. Ein wenig bekanntes Open Source-Softwareprojekt, zu dem es keine aktive Community gibt, wird unter Umständen nicht unterstützt, und Probleme werden wahrscheinlich nicht entdeckt.

• Sorgfältiges Integrieren: Viele Software-Sicherheitsschwachstellen befinden sich an der Grenze zwischen Bibliotheken und APIs. Funktionen, die für die aktuelle Bereitstellung nicht erforderlich sind, sind möglicherweise noch über eine API-Ebene verfügbar. Um die Gesamtsicherheit zu gewährleisten, überprüfen Sie alle Schnittstellen integrierter Komponenten auf Sicherheitsfehler.

• Schützen von Cloudanmeldeinformationen: Ein Angreifer kann die Anmeldeinformationen für die Cloudauthentifizierung verwenden, die Sie verwenden, um Ihre IoT-Bereitstellung zu konfigurieren und zu betreiben, um Zugriff auf Ihr IoT-System zu erhalten und zu kompromittieren. Schützen Sie die Anmeldeinformationen, indem Sie das Kennwort häufig ändern und diese Anmeldeinformationen nicht auf öffentlichen Computern verwenden.

• Use Microsoft Entra ID and RBAC with IoT Hub: Verwenden Sie Microsoft Entra ID und Azure RBAC für den Zugriff auf Dienst- und Verwaltungs-APIs, um eine granulare, auf Identität basierende Zugriffskontrolle zu ermöglichen. Weitere Informationen finden Sie unter IoT Hub Entra ID authentication und DPS Entra ID authentication.

• Deaktivieren Sie bei Bedarf freigegebene Zugriffsrichtlinien: Reduzieren Sie die Angriffsfläche, indem Sie freigegebene Zugriffsrichtlinien und Token deaktivieren, wenn Sie sie nicht benötigen. Weitere Informationen finden Sie unter IoT Hub Shared Access Policies.

• Definieren von Zugriffssteuerelementen für Ihre IoT Central-Anwendung: Verstehen und Definieren des Zugriffstyps, den Sie für Ihre IoT Central-Anwendung aktivieren. Weitere Informationen finden Sie unter:

  • Verwalten von Benutzern und Rollen in Ihrer IoT Central-Anwendung
  • Verwalten von IoT Central-Organisationen
  • Verwenden Sie Überwachungsprotokolle zum Nachverfolgen von Aktivitäten in Ihrer IoT Central-Anwendung
  • Authentifizieren und Autorisieren von IoT Central-REST-API-Aufrufen

• Define-Zugriffssteuerungen für Back-End-Dienste: Andere Azure Dienste können die Daten nutzen, die Ihre IoT-Hub- oder IoT Central-Anwendung von Ihren Geräten erfasst. Sie können Nachrichten von Ihren Geräten an andere Azure Dienste weiterleiten. Verstehen und Konfigurieren geeigneter Zugriffsberechtigungen für IoT Hub oder IoT Central zum Herstellen einer Verbindung mit diesen Diensten. Weitere Informationen finden Sie unter:

  • Lesen Sie Nachrichten von Gerät-zu-Cloud aus dem integrierten Endpunkt des IoT-Hubs
  • Verwenden Sie die Nachrichtenweiterleitung des IoT-Hubs, um Nachrichten von Geräten zu unterschiedlichen Endpunkten in der Cloud zu senden
  • Exportieren von IoT Central-Daten
  • Exportieren von IoT Central-Daten an ein sicheres Ziel auf einem Azure Virtual Network

• Erteilen Sie nur die erforderlichen Mindestberechtigungen: Wenden Sie das Prinzip der geringsten Berechtigungen an, wenn Sie Benutzern, Apps und Geräten Rollen und Berechtigungen zuweisen. Weitere Informationen finden Sie unter "Bewährte Methoden zur Identitätsverwaltung".

• Monitoren Sie Ihre IoT-Lösung aus der Cloud: Überwachen Sie den Gesamtzustand Ihrer IoT-Lösung mithilfe IoT Hub Metriken in Azure Monitor oder Monitor IoT Central application health.

• Diagnose einrichten: Überwachen Sie Ihre Vorgänge, indem Sie Ereignisse in Ihrer Lösung protokollieren und dann die Diagnoseprotokolle an Azure Monitor senden. Weitere Informationen finden Sie unter Überwachen und Diagnostizieren von Problemen in Ihrem IoT-Hub.