Zabezpečení nasazení IoT -

Sady šifer akcelerátorů řešení IoT
Další informace najdete v tématech
Tento článek poskytuje další úroveň podrobností pro zabezpečení infrastruktury založené na Azure IoT Internet of Things (IoT). Odkazuje na úroveň podrobností implementace pro konfiguraci a zavádění jednotlivých komponent. Také poskytuje porovnávání s rozlišením a se nemusíte rozhodovat mezi různé konkurenční metody.
Zabezpečení nasazení Azure IoT je možné rozdělit do těchto tří zabezpečení oblastí:
Zabezpečení zařízení: zabezpečení zařízení IoT, když je nasazena v reálném světě.
Zabezpečení připojení: zajištění všechna data přenášená mezi zařízení IoT a centrem IoT je důvěrný a odolný proti manipulaci.
Cloud Security: poskytnout způsob jejich zabezpečení dat prochází přes, a je uložen v cloudu.

Zabezpečené zřizování zařízení a ověřování
Akcelerátory řešení IoT zabezpečit zařízení IoT tím, že těchto dvou metod:
Zadáním klíče jedinečné identity (tokeny zabezpečení) pro každé zařízení, která umožňuje zařízením komunikovat s centrem IoT.
Na zařízení pomocí certifikát X.509 a privátního klíče jako prostředek k ověření zařízení do služby IoT Hub. Tato metoda ověřování zajišťuje, že privátní klíč v zařízení není znám mimo zařízení v okamžiku, poskytuje vyšší úroveň zabezpečení.
Případě metody token zabezpečení poskytuje ověřování pro každé volání prováděných zařízení do služby IoT Hub tím, že přidružíte ke každému volání symetrický klíč. Ověřování založené na X.509 umožňuje ověřování zařízení IoT ve fyzické vrstvě jako součást navazování připojení protokolu TLS. Metodu založenou na bezpečnostní token, je možné bez ověřování X.509, což je méně bezpečné vzor. Volba mezi těmito dvěma metodami je primárně určený zabezpečené zařízení ověřování musí být a dostupnost služby Zabezpečené úložiště v zařízení (bezpečně uložit privátní klíč).
Tokeny zabezpečení IoT Hub
IoT Hub používá tokeny zabezpečení k ověření zařízení a služeb se odesílání klíče v síti. Kromě toho mají omezenou dobu platnosti a rozsahu tokenů zabezpečení. Sady Azure IoT SDK automaticky generovat tokeny nevyžaduje žádnou zvláštní konfiguraci. Některé scénáře však vyžadují uživateli generovat a používat přímo tokeny zabezpečení. Mezi tyto scénáře patří přímému použití povrchy protokol MQTT, AMQP nebo HTTP, nebo k implementaci modelu služby tokenů.
Další informace o struktuře tokenu zabezpečení a jejich využití najdete v následujících článcích:
Struktura tokenu zabezpečení
Použití tokenů SAS jako zařízení
Každé centrum IoT má registr identit , který slouží k vytváření prostředků na zařízení ve službě, jako jsou fronty, která obsahuje neukládají žádné zprávy typu cloud zařízení a povolit přístup k Koncové body přístupem k zařízení. Registr identit služby IoT Hub poskytuje zabezpečené úložiště identit zařízení a zabezpečení klíčů pro řešení. Osoby nebo skupiny identit zařízení můžete přidat na seznam povolených nebo blokovaných webů, umožňuje úplnou kontrolu přístupu zařízení. Následující články poskytují další informace o struktuře registru identit a podporované operace.
IoT Hub podporuje protokoly, například MQTT, AMQP a HTTP. Každá z těchto protokolů jinak používá tokeny zabezpečení IoT zařízení do služby IoT Hub:
AMQP: SASL prostý a založené na deklaracích AMQP zabezpečení ({policyName}@sas.root.{iothubName} s IoT hub úrovně tokeny; {deviceId} s rozsahem zařízení tokeny).
MQTT: Připojení používá paketů {deviceId} jako {ClientId}, {IoThubhostname}/{deviceId} v uživatelské jméno pole a SAS token v heslo pole.
HTTP: Je platný token v hlavičce autorizace požadavku.
Registr identit služby IoT Hub je možné konfigurovat jednotlivá zařízení zabezpečovacích přihlašovacích údajů a řízení přístupu. Nicméně pokud je řešení IoT už významnou investici schéma registru a/nebo ověření identity vlastní zařízení, je možné integrovat do existující infrastruktury pomocí služby IoT Hub Po vytvoření služby tokenů.
Ověřování pomocí certifikátu zařízení X.509
Použití na základě zařízení certifikát X.509 a jeho přidružený privátní a veřejné pár klíčů umožňuje dodatečné ověření ve fyzické vrstvě. Privátní klíč je bezpečně uložen v zařízení a není mimo zařízení zjistitelné. Certifikát X.509 obsahuje informace o zařízení, jako je například ID zařízení a další údaje o organizaci. Podpis certifikátu je generována pomocí privátního klíče.
Toku zřizování zařízení vysoké úrovně:
Přidružte identifikátor na fyzické zařízení – identitu zařízení a/nebo certifikát X.509, které jsou přidružené k zařízení během výrobního nebo uvedení do provozu na zařízení.
Vytvořte položku odpovídající identitu ve službě IoT Hub – identitu zařízení a informace o přidružené zařízení v registru identit služby IoT Hub.
Bezpečné ukládání kryptografický otisk certifikátu X.509 v registru identit služby IoT Hub.
Kořenový certifikát na zařízení
Při navazování zabezpečeného připojení TLS službou IoT Hub, IoT zařízení ověřuje pomocí kořenového certifikátu, který je součástí sady SDK pro zařízení služby IoT Hub. C klientskou sadou SDK, certifikát se nachází ve složce "\c\certifikáty" v kořenovém adresáři úložiště. I když jsou dlouhodobé kořenové certifikáty, jsou stále může vypršet jejich platnost nebo odvolat. Pokud neexistuje žádný způsob aktualizace certifikátu na zařízení, zařízení nemusí být následně připojit k službě IoT Hub (nebo jiné cloudové služby). S prostředky aktualizovat kořenový certifikát po zařízení IoT nasazení efektivně zmírňuje rizika.
Zabezpečení připojení
Připojení k Internetu mezi zařízení IoT a centrem IoT je zabezpečený pomocí standardu zabezpečení TLS (Transport Layer). Azure IoT podporuje TLS 1.2, TLS 1.1 a TLS 1.0, v uvedeném pořadí. Podpora protokolu TLS 1.0 se poskytuje pouze z důvodů zpětné kompatibility. Použití protokolu TLS 1.2, pokud je to možné, protože poskytuje nejvyšší zabezpečení.
Zabezpečení cloudu
Azure IoT Hub umožňuje definici zásad řízení přístupu pro každý klíč zabezpečení. Používá následující sadu oprávnění pro udělení přístupu k jednotlivým koncové body IoT Hubu. Oprávnění omezují přístup do služby IoT Hub, v závislosti na funkcích.
RegistryRead. Uděluje přístup pro čtení k registru identit. Další informace najdete v tématu registr identit.
RegistryReadWrite. Uděluje přístup čtení a zápis do registru identit. Další informace najdete v tématu registr identit.
ServiceConnect. Uděluje přístup ke cloudovým komunikace a monitorování koncových bodů služby přístupem. Například uděluje oprávnění k back endové cloudové služby pro příjem zpráv typu zařízení cloud, odesílat zprávy typu cloud zařízení a načtení odpovídajícího doručení potvrzení.
DeviceConnect. Uděluje přístup ke koncovým bodům přístupem k zařízení. Například uděluje oprávnění k odesílání zpráv typu zařízení cloud a příjem zpráv typu cloud zařízení. Toto oprávnění se používají zařízení.
Existují dva způsoby, jak získat DeviceConnect oprávnění službou IoT Hub s tokeny zabezpečení: klíč identity zařízení nebo sdílený přístupový klíč. Kromě toho je důležité si uvědomit, že všechny funkce, které jsou přístupné ze zařízení je zveřejněna rozhraním návrhu na koncové body s předponou /devices/{deviceId}.
Součásti služby můžou jenom generovat tokeny zabezpečení pomocí sdílené zásady přístupu k udělení příslušných oprávnění.
Azure IoT Hub a dalším službám, které mohou být součástí řešení povolit správu uživatelů pomocí Azure Active Directory.
Dat přijatý službou Azure IoT Hub můžete využívat širokou škálu služeb, jako je Azure Stream Analytics a Azure blob storage. Tyto služby umožňují přístup ke správě. Další informace o těchto služeb a dostupných možností:
Azure Cosmos DB: škálovatelná, plně indexované databázovou službu pro částečně strukturovaná data, která spravuje metadat pro zařízení si zřídíte, jako jsou atributy, konfigurace a vlastnosti zabezpečení. Azure Cosmos DB nabízí vysoce výkonné a vysoce propustné zpracování, schématu nezávislé indexování dat a také bohaté rozhraní příkazů jazyka SQL.
Azure Stream Analytics: v reálném čase v cloudu, která umožňuje rychlý vývoj a nasazení nízkonákladového analytického řešení pro odhalení informací v reálném čase ze zařízení, senzorů, infrastruktury, pro zpracování datových proudů a aplikace. Data z této plně spravované služby můžete škálovat pro jakýkoli svazek, zatímco stále dosahuje vysoké propustnosti, nízké latence a odolnost proti chybám.
Služba Azure App Services: cloudovou platformou můžete tvořit výkonné webové a mobilní aplikace, které se připojují k datům bez ohledu na; v cloudu nebo místně. Vytvářejte poutavé mobilní aplikace pro iOS, Android a Windows. Integrate váš Software jako služba (SaaS) a podnikové aplikace s out-of-the-box připojení k desítkám cloudových služeb a podnikových aplikací. Kódování v oblíbeném jazyce a integrovaném vývojovém prostředí (.NET, Node.js, PHP, Python nebo Java) k vytváření webových aplikací a rozhraní API rychleji než kdy dřív.
Logic Apps: funkci Logic Apps služby Azure App Service pomáhá vašemu řešení IoT umožní vaše stávající systémy z podnikové integrace a automatizace pracovních postupů. Logic Apps umožňuje vývojářům navrhovat pracovní postupy, které začínají spouštěčem událostí a provádějí sérii kroků, pravidla a akce, které používají výkonné konektory pro integraci s obchodními procesy. Logic Apps nabízí out-of-the-box připojení k rozsáhlému ekosystému aplikací SaaS, cloudové a místní aplikace.
Úložiště objektů blob v Azure: spolehlivé, úsporné cloudové úložiště pro data, která vaše zařízení odesílají do cloudu.
Závěr
Tento článek poskytuje přehled implementace úroveň podrobností pro navrhování a nasazení infrastruktury IoT pomocí Azure IoT. Konfigurace jednotlivých komponent zabezpečení je klíč při zabezpečení celkovou infrastrukturu IoT. Volby návrhu k dispozici ve službě Azure IoT poskytovat určitou úroveň Flexibilita a možnost volby; každou volbu však může mít vliv na zabezpečení. Doporučuje se, že každý z těchto možností vyhodnocen prostřednictvím posuzování rizik a náklady.
Sady šifer akcelerátorů řešení IoT
Akcelerátory řešení IoT se podporují následující šifrovací sada, v uvedeném pořadí.
Šifrovací sada Délka
Protokol TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 secp384r1 ECDH (0xc028) (ekvalizéru Služba FS 7680 bits RSA) 256
Protokol TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1 (ekvalizéru Služba FS 3072 bits RSA) 128
Protokol TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH secp384r1 (ekvalizéru Služba FS 7680 bits RSA) 256
Protokol TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH secp256r1 (ekvalizéru Služba FS 3072 bits RSA) 128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) 256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) 128
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) 128
Protokol TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) 112