Безопасность В Интернете Вещей: Azure Iot Suite Для Тех, Кто Начинает С Нуля

Представляем перевод серии статей, посвященных безопасности в IoT. Первый материал посвящен обзору возможностей Microsoft Azure IoT Suite.

Цикл статей «Безопасность в IoT»

2. Комплексная стратегия защиты .

3. Архитектура безопасности .

4. Обеспечение безопасности развертываний Интернета вещей .

Примечание: дальнейшее повествование будет вестись от имени автора.

Пакет Azure для Интернета вещей представляет собой комплексное решение со встроенными средствами безопасности, обеспечивающими защиту на всех уровнях.

В Microsoft безопасность программного обеспечения является неотъемлемой частью процесса разработки в соответствии с устоявшимися десятилетиями принципами проектирования надежного и безопасного программного обеспечения.

Это делается с использованием безопасного жизненного цикла разработки приложений (SDL), базовой методологии разработки программного обеспечения в сочетании с набором служб безопасности на уровне инфраструктуры (обеспечение операционной безопасности (OSA), а также подразделением Microsoft по борьбе с цифровыми преступлениями, Центром реагирования на безопасность Microsoft, и Центр защиты от вредоносных программ Microsoft).

программы).

Azure IoT Suite предоставляет уникальные функции, которые делают подготовку, подключение и хранение данных с устройств IoT простыми, интуитивно понятными и, самое главное, безопасными.

В этой статье мы рассмотрим компоненты безопасности и стратегии развертывания Azure IoT Suite, которые обеспечивают надежную безопасность, конфиденциальность и соответствие требованиям.

Введение

Однако многие компании не решаются активно внедрять технологии Интернета вещей из-за опасений по поводу безопасности, конфиденциальности и соответствия требованиям.

Наибольшее беспокойство вызывает уникальная инфраструктура Интернета вещей, которая объединяет цифровой мир с физическим.

При этом, конечно, возрастают и риски, характерные для обоих миров.

Безопасность инфраструктуры Интернета вещей зависит от целостности кода, выполняемого на устройствах.

Этот код служит для проверки подлинности устройства и пользователей, определения принадлежности устройства (и данных, которые оно генерирует), а также защиты от сетевых и физических атак злоумышленников.

Наконец, существует проблема конфиденциальности.

Компании требуют прозрачности при обмене данными.

Им необходимо понимать, какие данные собираются и почему, кто может их просматривать, кто контролирует доступ и так далее.

Не менее важны общие вопросы, связанные с безопасностью оборудования и безопасностью оператора при эксплуатации, а также вопросы соответствия отраслевым стандартам.

Учитывая многочисленные требования, касающиеся безопасности, конфиденциальности, прозрачности и соответствия требованиям, выбор поставщика решений IoT становится очень сложной задачей.

Когда отдельные приложения и сервисы IoT от разных поставщиков объединяются в единое решение, неизбежны уязвимости безопасности, конфиденциальности и соответствия требованиям.

Зачастую их невероятно сложно даже обнаружить, не говоря уже об устранении.

Надежный поставщик программного обеспечения и услуг IoT должен иметь большой опыт разработки таких сервисов, охватывающих несколько уровней инфраструктуры, учитывающих географическое положение, а также предоставляющих инструменты для безопасного и прозрачного горизонтального масштабирования.

Большим преимуществом для выбранного поставщика также станет многолетний опыт разработки безопасного программного обеспечения, установленного на миллиардах компьютеров по всему миру, а также возможность быстро и профессионально оценивать и устранять угрозы, связанные с внедрением Интернета вещей.

технологии.

Безопасная инфраструктура с нуля

Наш богатый многолетний опыт разработки корпоративного программного обеспечения и поддержки крупнейших в мире сетевых сервисов позволяет нам обеспечивать уровень безопасности, конфиденциальности, соответствия требованиям и управления рисками, которого большинству клиентов было бы трудно достичь самостоятельно.

Безопасный жизненный цикл разработки приложений ( СДЛ ) Microsoft позволяет вовлечь все уровни компании в процесс разработки, целью которого является внедрение компонентов безопасности на протяжении всего жизненного цикла программного обеспечения.

Чтобы гарантировать, что наша деятельность соответствует всем требованиям безопасности, мы используем строгие политики безопасности, разработанные в рамках процесса обеспечения операционной безопасности (OSA).

Мы работаем со сторонними поставщиками услуг аудита для проверки соблюдения всех требований и правил.

Мы также принимаем соответствующие меры безопасности при создании центров компетенции (отдел по борьбе с цифровыми преступлениями Microsoft, центр реагирования Microsoft на безопасность и центр Microsoft по борьбе с вредоносным ПО).

Microsoft Azure — надежная и безопасная IoT-инфраструктура для компании любого профиля.

Наш стратегия Ожидания взлома реализуются «красной командой» экспертов по безопасности программного обеспечения.

Имитируя атаки, они проверяют способность Azure обнаруживать возникающие угрозы и обеспечивать эффективную защиту и восстановление данных.

Наши специалисты глобальное реагирование на инциденты работайте круглосуточно и без выходных, помогая пользователям предотвращать атаки и вредоносные действия.

Наши специалисты придерживаются установленных процедур управления инцидентами, информирования пользователей и устранения последствий атаки, взаимодействуя по максимально прозрачным и предсказуемым каналам с партнерами как внутри, так и за пределами организации.

Наши системы постоянно обнаруживают и предотвращают вторжения, блокируют атаки на сервисы, регулярно проводят тесты на проникновение и широко используют аналитические инструменты, которые помогают своевременно выявлять и устранять угрозы.

Многофакторная аутентификация обеспечивает дополнительный уровень безопасности при доступе конечных пользователей к сети.

Поставщикам приложений и удаленного доступа мы предлагаем инструменты полного контроля доступа, мониторинга и антивирусного сканирования уязвимостей, а также инструменты внесения исправлений и настройки.

Microsoft Azure IoT Suite содержит встроенные компоненты безопасности и конфиденциальности платформы Azure, а также процессы SDL и OSA, которые используются для безопасной разработки и эксплуатации программного обеспечения Microsoft. Эти процедуры обеспечивают защиту инфраструктуры и сети, а также функции идентификации и управления, которые являются ключевыми для обеспечения безопасности в рамках любого решения.

Компонент Центр Интернета вещей Azure как часть Интернет вещей — это полностью управляемая служба, обеспечивающая надежную защиту двусторонней связи между устройствами Интернета вещей и службами Azure (например, Машинное обучение Azure И Azure Stream Analytics ) за счет использования индивидуальных учетных данных для каждого конкретного устройства и контроля доступа к нему.

Чтобы полностью представить встроенные компоненты безопасности и конфиденциальности Azure IoT Suite, мы рассмотрим программный пакет в контексте трех основных областей безопасности:

Безопасная подготовка и аутентификация устройств

Для этого каждое устройство настраивается с использованием уникального идентификационного ключа, который инфраструктура использует для связи с работающим устройством.

Настройка данной процедуры не сложна и не занимает много времени.

На основе ключа с указанным пользователем идентификатором устройства создается токен, который в дальнейшем используется во всех сеансах передачи данных между устройством и службой Azure IoT Hub. Вы можете связать идентификаторы с устройствами на этапе производства (то есть добавить их в доверенную модель оборудования) или использовать существующие фиксированные идентификаторы (например, серийный номер ЦП) в качестве прокси.

Изменить эти идентификаторы устройств непросто, но также важно использовать логические идентификаторы.

Таким образом, даже если основные аппаратные характеристики устройства изменятся, его логические характеристики останутся прежними.

В некоторых случаях сопоставление идентификаторов устройств можно выполнить на этапе развертывания (то есть технический специалист физически настраивает новое устройство во время взаимодействия с серверной частью решения IoT).

Реестр Azure IoT Hub предназначен для безопасного хранения идентификаторов устройств, а также ключей безопасности решений.

Добавляя в белый или черный список отдельные идентификаторы устройств или группы идентификаторов, вы можете полностью контролировать доступ к устройствам.

С помощью политик контроля доступа к облаку, реализованных в Azure IoT Hub, вы можете включить или отключить любую идентификацию устройства и при необходимости отменить связь устройства с вашим развертыванием IoT. Сопоставление и отключение устройств выполняются с использованием идентификаторов каждого конкретного устройства.

Дополнительно вы можете использовать следующие функции безопасности устройства:

• Устройства не принимают нежелательные входящие соединения.

  Можно настроить только исходящие соединения и маршруты.

  Для получения команд от сервера устройство должно само инициировать соединение и проверять наличие команд, ожидающих обработки.

  После установки безопасного соединения между устройством и службой Центра Интернета вещей шифрование не требуется для обмена сообщениями между облаком и устройством или между различными устройствами.

• Устройства могут подключаться и устанавливать маршруты только к известным доверенным службам того же уровня, что и они (например, Azure IoT Hub).

• Идентификаторы устройств используются для авторизации и аутентификации на уровне системы, что позволяет практически мгновенно отзывать учетные данные и разрешения на доступ.

Безопасное соединение

Непрерывная доставка команд и получение данных от устройства особенно важны, учитывая, что устройства IoT подключаются через Интернет или другие подобные сети, и такие соединения могут быть ненадежными.

Используя систему отправки подтверждений полученных сообщений, Azure IoT Hub обеспечивает необходимую устойчивость обмена данными между облаком и устройством.

Кэширование сообщений в службе Центра Интернета вещей повышает устойчивость сообщений.

Кэшированные сообщения хранятся семь (телеметрия) или два дня (команды).

Крайне важно обеспечить эффективность при сохранении ресурсов и работе в средах с ограниченными ресурсами.

HTTPS (HTTP Secure) — это отраслевой стандарт, безопасная версия популярного протокола HTTP. В Azure IoT Hub HTTPS обеспечивает максимально эффективный обмен данными.

Протоколы AMQP и MQTT, которые также поддерживаются службой Azure IoT Hub, не только обеспечивают эффективность с точки зрения потребления ресурсов, но и обеспечивают надежную доставку сообщений.

Масштабирование требует безопасной совместимости на широком спектре устройств.

Azure IoT Hub обеспечивает безопасное подключение к IP- и не-IP-устройствам.

Устройства с поддержкой IP могут напрямую подключаться к сервису IoT Hub и обмениваться с ним данными через безопасное соединение.

Устройства, не поддерживающие IP, используют ограниченные ресурсы и могут обмениваться данными только с использованием протоколов связи ближнего действия (Z-Wave, ZigBee и Bluetooth).

Для агрегирования этих устройств и трансляции протокола используется полевой шлюз, обеспечивающий безопасный двусторонний обмен данными с облаком.

Дополнительно вы можете использовать следующие функции безопасности соединения:

• Связь между устройствами и/или шлюзами и службой Azure IoT Hub защищена с помощью стандартного протокола TLS. Аутентификация Azure IoT Hub выполняется с использованием протокола X.509.
• Чтобы защитить устройства от нежелательных входящих подключений, служба Azure IoT Hub блокирует все запросы на подключение к этому устройству.

  Устройство всегда инициирует соединения самостоятельно.

• Azure IoT Hub сохраняет сообщения, адресованные устройствам, в безопасном хранилище и ожидает, пока устройство инициирует подключение.

  Команды хранятся в течение двух дней, что позволяет устройствам время от времени устанавливать соединение для получения команд, если этого требуют потребности в питании или подключении.

  Служба Azure IoT Hub также создает отдельную очередь для каждого устройства.

Безопасная обработка и хранение в облаке

Услуга обеспечивает необходимую гибкость и адаптируемость, позволяя использовать дополнительные методы шифрования ключей безопасности и расширенные функции управления ключами.

Azure IoT Hub использует Azure Active Directory (AAD) для аутентификации и авторизации пользователей.

Azure IoT Suite предоставляет модель авторизации облачных данных на основе политик, которая упрощает контроль доступа и предоставляет возможности проверки и аудита.

Он позволяет практически мгновенно отзывать разрешения на доступ к данным в облаке и блокировать устройства, подключенные к Azure IoT Suite. Данные, передаваемые в облако, могут обрабатываться и храниться в любом рабочем процессе, определяемом пользователем.

Azure Active Directory контролирует доступ к различным разделам данных в зависимости от используемой службы хранения.

Все ключи, используемые инфраструктурой Интернета вещей, хранятся в безопасном облачном хранилище.

Их можно изменить, если потребуется повторное предоставление.

Данные хранятся в базе данных ДокументБД или в Базы данных SQL , что позволяет определить необходимые уровни безопасности.

Кроме того, в Azure есть эффективные инструменты для мониторинга и аудита доступа к данным, предупреждающие пользователя о вторжениях или несанкционированном доступе.

Заключение

Из того самого, что наиболее важно для современных компаний.

Технология Интернета вещей предоставляет компаниям невероятные преимущества — сокращение затрат, увеличение прибыли и преобразование их бизнеса.

Успех этой трансформации во многом зависит от выбора надежного поставщика программного обеспечения и услуг Интернета вещей.

Другими словами, вам нужно найти поставщика, который не только понимает ваши потребности и может помочь вам разумно преобразовать ваш бизнес, но также предоставляет приложения и услуги, обеспечивающие безопасность, конфиденциальность, прозрачность и соответствие требованиям.

Microsoft Azure IoT Suite предлагает встроенные инструменты безопасности и надежного мониторинга ресурсов.

Эти инструменты позволят вам повысить производительность и операционную эффективность, стимулировать инновации и использовать расширенный анализ данных для преобразования вашего бизнеса.

Многоуровневый подход к безопасности Azure IoT Suite, компоненты безопасности и шаблоны архитектуры помогут вам развернуть инфраструктуру, которая поможет вам преобразовать ваш бизнес.

Дополнительная информация

• Центр Интернета вещей Azure .

  Шлюз, через который устанавливается соединение между облаком и «вещами».

  Вы можете масштабировать свою инфраструктуру с помощью миллионов подключений на концентратор и обрабатывать огромные объемы данных с помощью аутентификации на всех устройствах, которая обеспечивает безопасность и защиту всего решения.

• Azure ДокументБД .

  Масштабируемая, полностью индексированная служба базы данных, используемая для хранения полуструктурированных данных.

  Он управляет метаданными устройств (атрибутами, конфигурацией и параметрами безопасности) при их подготовке к использованию.

  DocumentDB обеспечивает высокую производительность и пропускную способность обработки данных, а также независимое от схемы индексирование и улучшенный интерфейс для создания SQL-запросов.

• Azure Stream Analytics .

  Благодаря потоковой обработке в облаке в режиме реального времени вы можете быстро разрабатывать и развертывать недорогие аналитические решения, чтобы получать в реальном времени данные от устройств, датчиков, инфраструктуры и приложений.

  Данные, полученные из этой полностью управляемой службы, можно масштабировать без ограничений, сохраняя при этом высокую пропускную способность, отказоустойчивость и низкую задержку.

• Службы приложений Azure .

  Облачная платформа для разработки мощных веб- и мобильных приложений, которые могут подключаться к данным как в облаке, так и локально.

  Разработка привлекательных мобильных приложений для платформ iOS, Android и Windows. Встроенная возможность подключения к десяткам облачных сервисов и корпоративных приложений обеспечивает интеграцию с SaaS-приложениями и корпоративным программным обеспечением.

  Благодаря возможности писать код на предпочитаемом вами языке и IDE (.

  NET, NodeJS, PHP, Python или Java) вы можете создавать веб-приложения и API еще быстрее.

• Логические приложения .

  Функция Logic Apps в Службе приложений Azure позволяет интегрировать решение Интернета вещей в существующие бизнес-системы и эффективно автоматизировать рабочие процессы.

  Разработчики могут использовать приложения логики для создания триггерных рабочих процессов, выполняющих последовательности действий (правил и операций), которые используют мощные соединители для интеграции с существующими бизнес-процессами компании.

  Приложения Logic также обеспечивают встроенное подключение к экосистеме SaaS, облаку и локальным приложениям.

• Хранилище BLOB-объектов .

  Надежное и экономичное облачное хранилище для данных, передаваемых устройствами в облако.

Полезные материалы

• Обзор функций профилактического обслуживания в предварительно сконфигурированных решениях .

• IoT Suite: часто задаваемые вопросы .

Теги: #информационная безопасность #microsoft #iot #Разработка для Интернета вещей #Microsoft Azure #Интернет вещей #облака #облачная инфраструктура #облачные технологии #безопасность #azure #облачное хранилище #облачное хранилище #iot безопасность #безопасность Интернета вещей # безопасность iot #azure iot suite #azure iot suite #azure iot suite #azure iot suite #basic Services #secureинфраструктура

• Почему Ремонт Macbook Необходим Пользователям?

  19 Oct, 24

• Как Работает Фронтенд-Тестирование В Яндекс.маркете И Почему Мы Отказываемся От Еженедельных Релизов

  19 Oct, 24

• Колокейшн, Обычный И Не Очень

  19 Oct, 24

• Революция В Ит-Отделе (Отделе). Это Необходимо?

  19 Oct, 24

• Почему Тень Theranos Все Еще Нависает Над Нами Из-За Неработающей Патентной Системы

  19 Oct, 24

• Марсоход Curiosity Завершил Свою Главную Научную Миссию

  19 Oct, 24

• История Стрелка Блэка

  19 Oct, 24

• Разница В Подходах К Информационной Безопасности Между «Нами» И «Ними» (На Примере Dlp)

  19 Oct, 24

• 8 Июля – День Семьи И Супружеской Верности!

  19 Oct, 24

• Что Нового Для Мобильных Разработчиков В Предварительной Версии Visual Studio 15.6

  19 Oct, 24