Integrierte Azure Policy-Definitionen für Azure IoT Hub
IoT Hub-Beispielcode, der die Implementierung gängiger IoT-Szenarien zeigt, finden Sie in den IoT Hub -Schnellstarts. Es gibt Schnellstarts für mehrere Programmiersprachen, darunter C, Node.js und Python.
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure IoT Hub. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure IoT Hub
Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
---|---|---|---|
[Vorschau]: Azure IoT Hub muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln von ruhenden Daten verwenden | Durch die Verschlüsselung ruhender IoT Hub-Daten mithilfe eines kundenseitig verwalteten Schlüssels wird zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine weitere Verschlüsselungsebene bereitgestellt. Der Kunde erhält die Kontrolle über die Schlüssel, kann benutzerdefinierte Richtlinien für die Rotation festlegen und durch eine Schlüsselzugriffskontrolle den Zugriff auf die Daten steuern. Kundenseitig verwaltete Schlüssel müssen während der Erstellung des IoT-Hubs konfiguriert werden. Weitere Informationen zum Konfigurieren kundenseitig verwalteter Schlüssel finden Sie unter https://aka.ms/iotcmk. | Audit, Deny, Disabled | 1.0.0-preview |
[Vorschau]: Daten des IoT Hub-Gerätebereitstellungsdiensts müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
Für Azure IoT Hub sollten die lokalen Authentifizierungsmethoden für Dienst-APIs deaktiviert sein. | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Azure IoT Hub ausschließlich Azure Active Directory-Identitäten für die Dienst-API-Authentifizierung anfordert. Weitere Informationen finden Sie unter https://aka.ms/iothubdisablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
Azure IoT Hub zum Deaktivieren der lokalen Authentifizierung konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Azure IoT Hub ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordert. Weitere Informationen finden Sie unter https://aka.ms/iothubdisablelocalauth. | Modify, Disabled | 1.0.0 |
IoT Hub Device Provisioning-Instanz zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre IoT Hub Device Provisioning-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. | Modify, Disabled | 1.0.0 |
IoT Hub Device Provisioning Service-Instanzen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
Bereitstellen: Azure IoT Hub mit privaten Endpunkten konfigurieren | Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre IoT Hub-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks IoT Hub erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von IoT Hub gesendet werden muss. | DeployIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an einen Event Hub für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Protokollanalyse | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an einen Protokollanalysearbeitsbereich für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriengruppe bereit, um Protokolle an ein Speicherkonto für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für Microsoft.devices/provisioningservices für Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für microsoft.devices/provisioningservices weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für microsoft.devices/provisioningservices in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für microsoft.devices/provisioningservices weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Aktivieren der Protokollierung nach Kategoriegruppe für Microsoft.devices/provisioningservices in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für microsoft.devices/provisioningservices weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
IoT Hub Device Provisioning Service-Instanzen müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass die IoT Hub Device Provisioning Service-Instanz nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung der IoT Hub Device Provisioning Service-Instanz einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Deny, Disabled | 1.0.0 |
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
Ändern: Azure IoT Hub zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf IoT Hub-Ressourcen deaktiviert. | Modify, Disabled | 1.0.0 |
Für IoT Hub muss ein privater Endpunkt aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem private Konnektivität mit IoT Hub ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | Audit, Disabled | 1.0.0 |
Für Azure IoT Hub muss der Zugriff über öffentliche Netzwerke deaktiviert sein | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. | Audit, Deny, Disabled | 1.0.0 |
In IoT Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 3.1.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.