IoT çözümleri için en iyi güvenlik uygulamaları

Bu genel bakış, tipik bir Azure IoT çözümünün güvenliğini sağlamayla ilgili temel kavramları tanıtır. Her bölüm, daha fazla ayrıntı ve rehberlik sağlayan içeriğe bağlantılar içerir.

Aşağıdaki diyagramda, tipik bir IoT çözümündeki bileşenlerin üst düzey görünümü gösterilmektedir. Bu makale, bir IoT çözümünün güvenliğine odaklanır.

Güvenliği vurgulayan üst düzey IoT çözümü mimarisini gösteren diyagram.

IoT çözümündeki güvenliği aşağıdaki üç alana bölebilirsiniz:

  • Cihaz güvenliği: IoT cihazının vahşi ortamda dağıtılırken güvenliğini sağlayın.

  • Bağlantı güvenliği: IoT cihazı ile IoT bulut hizmetleri arasında iletilen tüm verilerin gizli ve kurcalamaya karşı dayanıklı olduğundan emin olun.

  • Bulut güvenliği: Verilerinizin geçiş yaparken ve bulutta depolandığında güvenliğini sağlayın.

Bu makaledeki önerileri uygulamak, paylaşılan sorumluluk modelinde açıklanan güvenlik yükümlülüklerini yerine getirmenize yardımcı olur.

IoT için Microsoft Defender

IoT için Microsoft Defender, bu makalede yer alan bazı önerileri otomatik olarak izleyebilir. IoT için Microsoft Defender, Azure'daki kaynaklarınızı korumak için savunmanın ön hattı olmalıdır. IoT için Microsoft Defender, olası güvenlik açıklarını belirlemek için Azure kaynaklarınızın güvenlik durumunu düzenli aralıklarla analiz eder. Daha sonra bunları ele almak için size öneriler sağlar. Daha fazla bilgi edinmek için şu makalelere bakın:

Cihaz güvenliği

  • Kapsam donanımından en düşük gereksinimlere: Cihaz donanımınızı, işletimi için gereken en düşük özellikleri içerecek şekilde seçin ve başka bir şey değil. Örneğin, yalnızca çözümünüzde cihazın çalıştırılması için gerekli olan USB bağlantı noktalarını ekleyin. Ek özellikler, cihazı istenmeyen saldırı vektörlerine maruz bırakabilir.

  • Kurcalama kanıtı donanımını seçin: Cihaz kapağının açılması veya cihazın bir bölümünün kaldırılması gibi fiziksel kurcalama algılamak için yerleşik mekanizmalara sahip cihaz donanımını seçin. Bu kurcalama sinyalleri buluta yüklenen veri akışının bir parçası olabilir ve bu da işleçleri bu olaylara karşı uyarabilir.

  • Güvenli donanım seçin: Mümkünse, Güvenilir Platform Modülüne dayalı güvenli ve şifrelenmiş depolama ve önyükleme işlevi gibi güvenlik özelliklerini içeren cihaz donanımını seçin. Bu özellikler cihazları daha güvenli hale getirir ve genel IoT altyapısının korunmasına yardımcı olur.

  • Güvenli yükseltmeleri etkinleştirme: Cihazın kullanım ömrü boyunca üretici yazılımı yükseltmeleri kaçınılmazdır. Yükseltmeler için güvenli yollar ve yükseltmeler sırasında ve sonrasında cihazlarınızın güvenliğini sağlamak için üretici yazılımı sürümlerinin şifreleme güvencesiyle cihazları derleyin.

  • Güvenli yazılım geliştirme metodolojisini izleyin: Güvenli yazılım geliştirme, projenin başlangıcından itibaren uygulama, test ve dağıtım boyunca güvenliği göz önünde bulundurmanızı gerektirir. Microsoft Güvenlik Geliştirme Yaşam Döngüsü, güvenli yazılım oluşturmaya yönelik adım adım bir yaklaşım sağlar.

  • Mümkün olduğunda cihaz SDK'larını kullanın: Cihaz SDK'ları, güçlü ve güvenli cihaz uygulamaları geliştirmenize yardımcı olan şifreleme ve kimlik doğrulaması gibi çeşitli güvenlik özelliklerini uygular. Daha fazla bilgi edinmek için bkz . Azure IoT SDK'ları.

  • Dikkatli bir şekilde açık kaynak yazılımı seçin: Açık kaynak yazılım, hızlı bir şekilde çözüm geliştirme fırsatı sunar. Açık kaynak yazılımı seçerken, her açık kaynak bileşeni için topluluğun etkinlik düzeyini göz önünde bulundurun. Etkin bir topluluk, yazılımın desteklendiğinden ve sorunların bulunup giderildiğinden emin olur. Belirsiz ve etkin olmayan bir açık kaynak yazılım projesi desteklenmeyebilir ve sorunlar büyük olasılıkla bulunamayabilir.

  • Donanımı güvenli bir şekilde dağıtma: IoT dağıtımları, genel alanlar veya denetimsiz yerel ayarlar gibi güvenli olmayan konumlarda donanım dağıtmanızı gerektirebilir. Böyle durumlarda, donanım dağıtımının mümkün olduğunca kurcalamaya karşı dayanıklı olduğundan emin olun. Örneğin, donanımda USB bağlantı noktaları varsa bunların güvenli bir şekilde kapsandığından emin olun.

  • Kimlik doğrulama anahtarlarını güvenli tutun: Dağıtım sırasında her cihaz için cihaz kimlikleri ve bulut hizmeti tarafından oluşturulan ilişkili kimlik doğrulama anahtarları gerekir. Dağıtımdan sonra bile bu anahtarları fiziksel olarak güvende tutun. Kötü amaçlı bir cihaz, güvenliği ihlal edilmiş herhangi bir anahtarı kullanarak mevcut bir cihaz olarak maskeleyebilir.

  • Sistemi güncel tutun: Cihaz işletim sistemlerinin ve tüm cihaz sürücülerinin en son sürümlere yükseltildiğinden emin olun. İşletim sistemlerinin güncel tutulması, kötü amaçlı saldırılara karşı korunduğundan emin olmalarına yardımcı olur.

  • Kötü amaçlı etkinliklere karşı koruma: İşletim sistemi izin verirse, her cihaz işletim sistemine en son virüsten koruma ve kötü amaçlı yazılımdan koruma özelliklerini yükleyin.

  • Sık sık denetleme: Güvenlik olaylarına yanıt verirken IoT altyapısını güvenlikle ilgili sorunlar için denetlemek önemlidir. Çoğu işletim sistemi, güvenlik ihlali olmadığından emin olmak için sık sık gözden geçirmeniz gereken yerleşik olay günlüğü sağlar. Bir cihaz, denetim bilgilerini analiz edilebileceği bulut hizmetine ayrı bir telemetri akışı olarak gönderebilir.

  • Cihaz üreticisinin en iyi güvenlik ve dağıtım yöntemlerini izleyin: Cihaz üreticisi güvenlik ve dağıtım kılavuzu sağlıyorsa, bu makalede listelenen genel yönergelere ek olarak bu kılavuzu izleyin.

  • Eski veya kısıtlanmış cihazlar için güvenlik hizmetleri sağlamak için bir alan ağ geçidi kullanın: Eski ve kısıtlanmış cihazlar verileri şifreleme, İnternet'e bağlanma veya gelişmiş denetim sağlama özelliğine sahip olmayabilir. Bu gibi durumlarda, modern ve güvenli bir alan ağ geçidi eski cihazlardan verileri toplayabilir ve bu cihazları İnternet üzerinden bağlamak için gereken güvenliği sağlayabilir. Alan ağ geçitleri güvenli kimlik doğrulaması, şifrelenmiş oturumların anlaşması, buluttan komutların alınması ve diğer birçok güvenlik özelliği sağlayabilir.

Bağlantı güvenliği

  • IoT Hub veya IoT Central'da cihazlarınızın kimliğini doğrulamak için X.509 sertifikalarını kullanın: IoT Hub ve IoT Central, bir cihazın kimlik doğrulama yöntemi olarak hem X509 sertifika tabanlı kimlik doğrulamasını hem de güvenlik belirteçlerini destekler. Mümkünse, daha fazla güvenlik sağladığı için üretim ortamlarında X509 tabanlı kimlik doğrulamayı kullanın. Daha fazla bilgi edinmek için bkz . IoT Hub'da bir cihazın kimliğini doğrulama ve IoT Central'da cihaz kimlik doğrulaması kavramları.

  • Cihazlardan bağlantıların güvenliğini sağlamak için Aktarım Katmanı Güvenliği (TLS) 1.2 kullanın: IoT Hub ve IoT Central, IoT cihazlarından ve hizmetlerinden gelen bağlantıların güvenliğini sağlamak için TLS kullanır. ŞU anda TLS protokolünün üç sürümü desteklenmektedir: 1.0, 1.1 ve 1.2. TLS 1.0 ve 1.1 eski olarak kabul edilir. Daha fazla bilgi edinmek için bkz . Kimlik doğrulaması ve yetkilendirme.

  • Cihazlarınızda TLS kök sertifikasını güncelleştirmenin bir yolunu kullandığınızdan emin olun: TLS kök sertifikaları uzun sürelidir, ancak yine de süresi dolabilir veya iptal edilebilir. Cihazda sertifikayı güncelleştirmenin bir yolu yoksa cihaz daha sonraki bir tarihte IoT Hub'a, IoT Central'a veya başka bir bulut hizmetine bağlanamayabilir.

  • Azure Özel Bağlantı kullanmayı göz önünde bulundurun: Azure Özel Bağlantı, cihazlarınızı sanal ağınızdaki özel bir uç noktaya bağlayarak IoT hub'ınızın genel cihaza yönelik uç noktalarına erişimi engellemenizi sağlar. Daha fazla bilgi edinmek için bkz. Azure Özel Bağlantı kullanarak IoT Hub'a giriş bağlantısı ve özel uç noktaları kullanarak IoT Central için ağ güvenliği.

Bulut güvenliği

Sonraki adımlar

IoT güvenliği hakkında daha fazla bilgi edinmek için bkz: