Azure IoT - 良好的安全实践

背景

企业面临着物联网独有的安全、隐私和合规性挑战。物联网解决方案的安全包括确保设备安全地配置、设备与云之间的安全连接，以及在云端处理和存储期间的安全数据保护。需要深入的安全策略来保护物联网 (IoT) 基础设施。

保护物联网基础设施

所有参与物联网设备和基础设施的制造、开发和部署的参与者都需要参与有效安全策略的制定和执行。

物联网硬件制造商/集成商

这包括硬件制造商和集成商。物联网硬件制造商和集成商的最佳安全实践包括：

• 将硬件范围限定为最低要求：额外的功能可能会使设备容易受到攻击，因此只包含硬件运行所需的最低功能。例如，只有在 USB 端口对设备至关重要时才包含它们。
• 使硬件防篡改：设备应包括内置的机制，可以检测对设备的物理篡改。篡改信号可以上传到云端并经常检查。
• 围绕安全硬件构建：如果可能，应包含安全和加密存储等安全功能，或基于可信平台模块 (TPM) 的启动功能。
• 使升级安全：设备应具有安全的升级路径，以帮助确保设备在升级前后保持安全。

物联网解决方案开发人员

这是开发物联网解决方案的人员。开发人员可以是内部人员，也可以是专门从事开发物联网解决方案的系统集成商。物联网解决方案的组件可以从头开始开发，包括开源组件或使用解决方案加速器。以下是物联网解决方案开发人员的最佳实践：

• 遵循安全软件开发方法：安全问题会影响平台、语言和工具的选择，因此在物联网项目开始之初就考虑并包含安全问题至关重要
• 谨慎选择开源软件：开源软件拥有活跃的社区，这意味着该软件得到支持，并且任何问题都会被发现并处理。
• 谨慎集成：确保检查被集成组件的所有接口是否存在安全漏洞。

物联网解决方案部署人员

这涉及在现场部署硬件、确保设备互连以及在硬件设备或云中部署解决方案。物联网解决方案部署人员的最佳实践包括：

• 安全地部署硬件：设备可能需要在不安全的位置部署。因此，确保硬件部署尽可能防篡改非常重要；例如，安全地覆盖 USB 或其他端口。
• 保持身份验证密钥安全：需要确保每个设备的身份验证密钥和设备 ID 的安全。密钥被盗用可能导致恶意设备冒充现有设备。

物联网解决方案运营人员

这包括执行长期运营、监控、升级和维护以及检查系统是否正常运行的团队。以下是物联网解决方案运营人员的最佳实践：

• 保持系统最新：所有设备操作系统、设备驱动程序和操作系统都需要保持最新，以便为物联网设备提供安全的操作系统。
• 防止恶意活动：如果可能，在每个设备的操作系统上安装最新的防病毒和恶意软件功能。
• 经常审计：经常审计与安全相关的问题。还应经常审查事件日志以检查安全漏洞。
• 物理保护物联网基础设施：对设备的物理访问通常是最严重安全攻击的来源，因此保护 USB 端口和其他对设备的物理访问非常重要。也可以记录物理访问。
• 保护云凭证：访问物联网系统最容易通过使用云身份验证凭证完成。因此，需要保护这些凭证；例如，通过经常更改密码，并且不在不安全设备上使用这些凭证。

设备功能

物联网设备的功能可以从计算机到安全摄像头，差异很大。因此，安全最佳实践只能在不同程度上使用。制造商通常会包含安全和部署最佳实践信息，也应遵循这些信息。

旧设备

许多正在使用的设备可能无法加密数据、连接互联网或提供审计。为了解决这些问题，可以使用安全现场网关从旧设备和受限设备收集数据，并提供许多安全功能，如安全的身份验证和从云端接收命令。

历史

• 2018年10月12日： 版本 1