IoT 解决方案的安全性最佳做法

下图显示了典型基于边缘的 IoT 解决方案中组件的高级别视图。 本文重点介绍基于边缘的 IoT 解决方案的安全性：

你可以将基于边缘的解决方案的安全工作分为以下三个领域：

• 资产安全：确保需要管理、监视并从中收集数据的高价值实物或虚拟物品的安全。

• 连接安全：确保资产、边缘和云服务之间传输的所有数据受到严格保密并且不受篡改。

• 边缘安全：确保数据在云中移动或存储到云中时得到安全保护。

• 云安全：在数据移动期间及存储在云中时保护数据。

通常，在基于边缘的解决方案中，你希望使用 Azure 安全功能来保护端到端操作。 Azure IoT 操作具有内置的安全功能，例如在支持 Azure Arc 的 Kubernetes 群集上的机密管理、证书管理和安全设置。 当 Kubernetes 群集连接到 Azure 时，会发起到 Azure 的出站连接，并采用行业标准 SSL 来保护传输中的数据，同时会启用其他几个安全功能，例如：

• 使用适用于容器的 Azure Monitor 来查看和监视群集。
• 使用 Microsoft Defender for Cloud 强制实施威胁防护
• 通过使用 Azure Policy for Kubernetes 应用策略来确保治理。
• 授予访问权限并从任意位置连接到 Kubernetes 群集，在群集上使用 Azure 基于角色的访问控制 (RBAC) 来管理访问权限。

Microsoft Defender for IoT 和 for Containers

Microsoft Defender for IoT 是一种统一的安全解决方案，专门为识别 IoT 和 OT 设备、漏洞和威胁而构建。 Microsoft Defender for Containers 是一款原生云解决方案，用于跨多云和本地环境改进、监视和维护容器化资产（Kubernetes 群集、Kubernetes 节点、Kubernetes 工作负载、容器注册表、容器映像等）及其应用程序的安全性。

Microsoft Defender for IoT 和 Defender for Containers 均可以自动监视本文中包含的一些建议。 Defender for IoT 和 Defender for Containers 应该作为一线防御手段，保护基于边缘的解决方案。 若要了解更多信息，请参阅以下文章：

• Microsoft Defender for Containers - 概述
• 适用于组织的 Microsoft Defender for IoT - 概述.

资产安全

• 机密管理：使用 Azure Key Vault 保存并管理资产中的敏感信息，例如密钥、密码、证书和机密。 Azure IoT 操作使用 Azure Key Vault 作为云端的托管保管库解决方案，同时使用 Kubernetes 的 Azure Key Vault 机密存储扩展将机密从云端同步下来并将其作为 Kubernetes 机密存储在边缘。 若要了解详细信息，请参阅管理 Azure IoT 操作部署的机密。

• 证书管理：管理证书对于确保资产与边缘运行时环境之间的安全通信至关重要。 Azure IoT 操作可以提供证书管理工具，包括颁发、续订和撤销证书。 更多内容，请参阅 Azure IoT 操作内部通信的证书管理。

• 选择适用于资产的防篡改硬件：选择具有内置机制的资产硬件来检测物理篡改，例如打开设备盖或移除设备的一部分。 这些篡改信号可以是上传到云的数据流的一部分，提醒操作员这些事件。

• 为资产固件启用安全更新：使用为资产启用无线更新的服务。 构建具有安全更新路径和固件版本加密保证的资产，以保护设备在更新期间和更新之后的安全性。

• 安全部署资产硬件：确保资产硬件部署尽可能实现防篡改，尤其是在不安全的位置（如公共空间或不受监管的地点）。 仅启用必要的功能，以最大程度地减少物理攻击的占用情况，例如，在不需要使用 USB 端口时，安全地屏蔽这些端口。

• 遵循设备制造商安全和部署最佳做法：如果设备制造商提供了安全和部署指南，除了本文中列出的通用指南之外，还请遵循该指南。

连接安全性

• 使用传输层安全性（TLS）保护来自资产的连接：Azure IoT 操作中的所有通信均使用 TLS 进行加密。 为了提供默认的安全体验，以最大程度地防止在无意中将基于边缘的解决方案暴露给攻击者，Azure IoT 操作使用 TLS 服务器证书的默认根 CA 证书和颁发者进行部署。 对于生产部署，我们建议使用自己的 CA 颁发者和企业 PKI 解决方案。

• 考虑使用企业防火墙或代理来管理出站流量：如果你使用企业防火墙或代理，请将 Azure IoT 操作终结点添加到允许列表。

• 加密消息代理的内部流量：确保边缘基础结构内部通信的安全性对于维护数据完整性和保密性非常重要。 你应当配置 MQTT 代理以加密在 MQTT 代理前端和后端 Pod 之间传输的内部流量。 更多内容，请参阅配置代理内部流量加密和内部证书。

• 为 MQTT 代理中的侦听器配置带自动证书管理的 TLS：Azure IoT 操作可为 MQTT 代理中的侦听器提供自动证书管理。 这样可减少手动管理证书的管理开销，确保及时续订，并帮助维护安全策略的合规性。 更多内容，请参阅使用 BrokerListener 保证 MQTT 代理通信。

• 设置与 OPC UA 服务器的安全连接：连接到 OPC UA 服务器时，应确定要安全建立会话的受信任 OPC UA 服务器。 要了解详细信息，请参阅为 OPC UA 连接器配置 OPC UA 证书基础结构。

边缘安全

• 确实边缘运行时环境得到及时更新：使用最新的修补程序和次要版本获取所有可用的安全和 bug 修复，使群集和 Azure IoT 操作部署保持最新状态。 对于生产环境部署，关闭 Azure Arc 的自动升级，以完全控制何时将新更新应用到群集。 改为根据需要手动升级代理。

• 验证 Docker 和 Helm 映像的完整性：在将任何映像部署到群集之前，请验证映像是否已由 Microsoft 签名。 更多内容，请参阅验证映像签名。

• 始终使用 X.509 证书或 Kubernetes 服务帐户令牌通过 MQTT 代理进行身份验证：MQTT 代理支持客户端的多种身份验证方法。 可以使用 BrokerAuthentication 资源将每个侦听器端口配置为具有其自己的身份验证设置。 更多内容，请参阅配置 MQTT 代理身份验证。

• 提供 MQTT 代理中的主题资产所需的最低权限：授权策略确定客户端可以在代理上执行的操作，例如连接、发布或订阅主题。 将 MQTT 代理配置为将一个或多个授权策略与 BrokerAuthorization 资源配合使用。 更多内容，请参阅配置 MQTT 代理授权。

• 使用 Azure IoT 分层网络管理（预览）服务配置隔离网络环境：Azure IoT 分层网络管理（预览版）服务是一个组件，可以简化 Azure 与隔离网络环境中的群集之间的连接。 在工业场景下，隔离网络采用 ISA-95/Purdue 网络体系结构。 更多内容，请参阅什么是 Azure IoT 分层网络管理（预览版）？。

云安全性

• 使用用户分配的托管标识进行云连接：始终使用托管标识身份验证。 如果可能，在数据流终结点中使用用户分配的托管标识，以实现灵活性和可审核性。

• 部署可观测性资源并设置日志：可观测性提供对 Azure IoT 操作配置的每一层的可见性。 它让你深入了解问题的实际行为，从而提高站点可靠性工程的有效性。 Azure IoT 操作通过托管在 Azure 中的自定义策展 Grafana 仪表板提供可观测性。 这些仪表板由适用于 Prometheus 的 Azure Monitor 托管服务和容器见解提供支持。 在部署 Azure IoT 操作之前，先在群集上部署可观测性资源。

• 通过 Azure RBAC 安全访问资产和资产终结点：Azure IoT 操作中的资产和资产终结点在 Kubernetes 群集和 Azure 门户中都有表示形式。 可以使用 Azure RBAC 来保护对这些资源的访问。 Azure RBAC 是一种授权系统，可用于管理对 Azure 资源的访问。 可以使用 Azure RBAC 向特定范围的用户、组和应用程序授予权限。 更多内容，请参阅保护对资产和资产终结点的访问。

下图显示了典型基于云的 IoT 解决方案中组件的高级别视图。 本文重点介绍基于云的 IoT 解决方案的安全性：

你可以将基于云的解决方案的安全工作分为以下三个领域：

• 设备安全：将 IoT 设备部署到实际应用环境中时确保设备的安全性。

• 连接安全：确保 IoT 设备和 IoT 云服务之间传输的所有数据保持机密且不被篡改。

• 云安全：在数据移动期间及存储在云中时保护数据。

实施本文中的建议有助于履行共担责任模型中所述的安全义务。

Microsoft Defender for IoT

Microsoft Defender for IoT 可以自动监视本文中包含的一些建议。 Microsoft Defender for IoT 应该是保护基于云的解决方案的第一道防线。 Microsoft Defender for Cloud 会定期分析 Azure 资源的安全状态以识别潜在安全漏洞。 然后向你提供有关如何解决这些安全漏洞的建议。 若要了解更多信息，请参阅以下文章：

• 借助安全建议改善安全态势。
• 什么是适用于组织的 Microsoft Defender for IoT？。
• 什么是适用于设备生成器的 Microsoft Defender for IoT？。

设备安全性

• 设置符合最低要求硬件范围的限：选择设备硬件时仅包含其运行所需的最少功能，仅此而已。 例如，仅当解决方案中的设备运行需要时才包含 USB 端口。 额外的功能可能会使设备遭受不必要的攻击。

• 选择防篡改硬件：选择具有内置机制的设备硬件来检测物理篡改，例如打开设备盖或移除设备的一部分。 这些篡改信号可以是上传到云的数据流的一部分，可提醒操作员这些事件。

• 选择安全硬件：如果可能，请选择包含安全功能的设备硬件，例如基于受信任平台模块的安全加密存储和引导功能。 这些功能将使设备更安全，有助于保护 IoT 总体基础结构。

• 启用服务更新：使用 Device Update for IoT Hub 等服务为 IoT 设备部署无线更新。 构建具有安全更新路径和固件版本加密保证的设备，以保护设备在更新期间和更新之后的安全性。

• 遵循安全软件开发方法：开发安全软件需要在项目开端到项目实施、测试和部署过程中考量安全相关事项。 Microsoft 安全开发生命周期提供构建安全软件的分步方法。

• 尽可能使用设备 SDK：设备 SDK 实施各种安全功能，例如加密和身份验证，以帮助开发强大且安全的设备应用程序。 若要了解详细信息，请参阅 Azure IoT SDK。

• 谨慎选择开源软件：开源软件有时可以加速解决方案的开发。 选择开源软件时，请考虑每个开源组件的社区活跃程度。 活跃的社区可确保软件受支持，问题得以发现和解决。 不知名或不活跃的开源软件项目可能不会受到支持，且问题也可能不会得以发现。

• 安全部署硬件：IoT 部署可能需要将硬件部署在不安全的位置，例如公共场所或不受监督的区域。 在这种情况下，请确保硬件部署尽可能防篡改，并且仅启用必要的功能以最大程度地减少物理攻击占用。 例如，如果硬件具有 USB 端口，请确保它们被安全覆盖。

• 保持身份验证密钥处于安全状态：在部署期间，每个设备需要使用云服务生成的设备 ID 和关联的身份验证密钥。 确保这些密钥的物理安全并使用可续订登录信息。 恶意设备可以使用任何泄露的密钥伪装成现有设备。

• 使系统保持最新状态：确保设备的操作系统和所有设备驱动程序都已升级到最新版本。 使操作系统保持最新有助于确保它们也能免于恶意攻击。

• 防御恶意活动：如果操作系统允许，请在每个设备操作系统上安装最新的防病毒和反恶意软件功能。

• 经常审核：响应安全事件时，针对安全相关问题审核 IoT 基础结构是关键所在。 大多数操作系统都提供内置事件日志记录，应经常进行审查这些日志以确保未出现安全违规。 设备可将审核信息作为单独的遥测流发送到云服务，并在云中进行分析。

• 遵循设备制造商安全和部署最佳做法：如果设备制造商提供了安全和部署指南，除了本文中列出的通用指南之外，还请遵循该指南。

• 使用现场网关为旧设备或受限设备提供安全服务：旧设备和受限设备可能缺乏加密数据、连接互联网或提供高级审核的功能。 在这种情况下，安全的新式现场网关可聚合旧式设备中的数据，并提供通过 Internet 连接这些设备所必需的安全性。 IoT 边缘设备可以用作网关并提供安全身份验证、加密会话协商、云命令接收，以及其他许多安全功能。 Azure Sphere 可用作保护其他设备的守护模块，包括为并非为受信任连接设计的现有旧系统。

连接安全性

• 使用 X.509 证书向 IoT 中心或 IoT Central 对设备进行身份验证：IoT 中心和 IoT Central 支持基于 X509 证书的身份验证和安全令牌作为设备进行身份验证的方法。 如果可能，请在生产环境中使用基于 X509 的身份验证，因为它可以提供更高的安全性。 要了解详细信息，请参阅对 IoT 中心的设备进行身份验证和 IoT Central 中的设备身份验证概念。

• 使用传输层安全性 (TLS) 1.2 来保护来自设备的连接：IoT 中心和 IoT Central 使用 TLS 来保护来自 IoT 设备和服务的连接。 目前支持三个版本的 TLS 协议：1.0、1.1 和 1.2。 TLS 1.0 和 1.1 被视为旧版。 有关详细信息，请参阅 IoT 中心中的传输层安全性 (TLS) 支持和 Azure IoT 中心 设备预配服务 (DPS) 中的 TLS 支持。

• 确保能够更新设备上的 TLS 根证书：TLS 根证书的有效期很长，但它们仍然可能会过期或被撤销。 如果无法更新设备上的证书，设备以后可能无法连接到 IoT 中心、IoT Central 或任何其他云服务。 更多内容，请参阅如何滚动更新 X.509 设备证书。

• 考虑使用 Azure 专用链接：Azure 专用链接可将设备连接到虚拟网络上的专用终结点，从而使你能够阻止对 IoT 中心面向设备的公共终结点的访问。 若要了解详细信息，请参阅使用 Azure 专用链接与 IoT 中心的入口连接和使用专用终结点的 IoT Central 网络安全。

云安全性

• 遵循安全软件开发方法：开发安全软件需要在项目开端到项目实施、测试和部署过程中考量安全相关事项。 Microsoft 安全开发生命周期提供构建安全软件的分步方法。

• 谨慎选择开源软件：开源软件有时可以加速解决方案的开发。 选择开源软件时，请考虑每个开源组件的社区活跃程度。 活跃的社区可确保软件受支持，问题得以发现和解决。 不知名或不活跃的开源软件项目可能不会受到支持，且问题也可能不会得以发现。

• 谨慎集成：库和 API 的边界上存在许多软件安全漏洞。 当前部署中不需要的功能仍然可能会通过 API 层得到使用。 若要确保总体安全性，请务必检查正针对安全缺陷进行集成的组件的所有接口。

• 保护云凭据：攻击者可以使用用于配置和操作 IoT 部署的云身份验证凭据来访问和入侵 IoT 系统。 经常更改密码并避免在公用计算机上使用凭据可保护这些凭据。

• 定义 IoT 中心的访问控制：根据所需的功能了解并定义 IoT 中心解决方案中每个组件所需的访问类型。 可以通过两种方式授予服务 API 连接到 IoT 中心的权限：Microsoft Entra ID 或共享访问签名。 如果可能，请在生产环境中使用 Microsoft Entra ID，因为它可提供更高的安全性。

• 定义 IoT Central 应用程序的访问控制：了解并定义为 IoT Central 应用程序启用的访问类型。 若要了解更多信息，请参阅以下文章：

  • 管理 IoT Central 应用程序中的用户和角色
  • 管理 IoT Central 组织
  • 使用审核日志跟踪 IoT Central 应用程序中的活动
  • 如何对 IoT Central REST API 调用进行身份验证和授权

• 定义后端服务的访问控制：其他 Azure 服务可以使用 IoT 中心或 IoT Central 应用程序从设备引入的数据。 可以将消息从设备路由到其他 Azure 服务。 了解并配置 IoT 中心或 IoT Central 的适当访问权限以连接到这些服务。 若要了解更多信息，请参阅以下文章：

  • 从 IoT 中心内置终结点读取设备到云消息
  • 使用 IoT 中心消息路由将设备到云的消息发送到不同的终结点
  • 导出 IoT Central 数据
  • 将 IoT Central 数据导出到 Azure 虚拟网络上的安全目标

• 从云监视 IoT 解决方案：使用 Azure Monitor 中的 IoT 中心指标或监视 IoT Central 应用程序运行状况来监视 IoT 解决方案的整体运行状况。

• 设置诊断：通过在解决方案中记录事件，然后将诊断日志发送到 Azure Monitor 来监视操作。 若要了解详细信息，请参阅监视 IoT 中心并诊断其中的问题。