Protección de las soluciones de IoT

En el diagrama siguiente se muestra una vista general de los componentes en una solución de IoT típica basada en el edge. Este artículo se centra en la seguridad de una solución de IoT basada en el borde:

En una solución de IoT basada en el borde, puede dividir la seguridad en las cuatro áreas siguientes:

• Seguridad de los recursos: proteja el recurso de IoT mientras se implementa en el entorno local.

• Seguridad de conexión: asegúrese de que todos los datos en tránsito entre el recurso, el borde y los servicios en la nube son confidenciales y a prueba de alteraciones.

• Seguridad en los bordes: Proteja sus datos mientras se trasladan y se almacenan en los bordes.

• Seguridad en la nube: proteja los datos a medida que se mueve y se almacena en la nube.

Microsoft Defender para IoT y para contenedores

Microsoft Defender para IoT es una solución de seguridad unificada creada específicamente para identificar dispositivos IoT y tecnología de operaciones (OT), vulnerabilidades y amenazas. Microsoft Defender para contenedores es una solución nativa de nube para mejorar, supervisar y mantener la seguridad de los recursos contenedorizados (clústeres de Kubernetes, nodos de Kubernetes, cargas de trabajo de Kubernetes, registros de contenedor, imágenes de contenedor y mucho más) y sus aplicaciones, en entornos multinube y locales.

Tanto Defender para IoT como Defender para contenedores pueden supervisar automáticamente algunas de las recomendaciones incluidas en este artículo. Defender para IoT y Defender para contenedores deben ser la primera línea de defensa para proteger la solución basada en el borde. Para obtener más información, consulte:

• Microsoft Defender para contenedores - Introducción
• Microsoft Defender para IoT para organizaciones - Introducción.

Seguridad de recursos

En esta sección se proporcionan instrucciones sobre cómo proteger los recursos, como equipos industriales, sensores y otros dispositivos que forman parte de la solución de IoT. La seguridad del recurso es fundamental para garantizar la integridad y confidencialidad de los datos que genera y transmite.

• Use Azure Key Vault y la extensión del almacén de secretos: UsoAzure Key Vault para almacenar y administrar la información confidencial del recurso, como claves, contraseñas, certificados y secretos. Operaciones de IoT de Azure utiliza Azure Key Vault como solución de almacén administrado en la nube y emplea la extensión Almacén de secretos de Azure Key Vault para Kubernetes para sincronizar los secretos desde la nube y almacenarlos en el borde como secretos de Kubernetes. Para más información, consulte Administración de secretos para la implementación de Operaciones de IoT de Azure.

• Configuración de la administración segura de certificados: la administración de certificados es fundamental para garantizar la comunicación segura entre los recursos y el entorno de tiempo de ejecución perimetral. Operaciones de IoT de Azure proporciona herramientas para administrar certificados, como la emisión, renovación y revocación de certificados. Para más información, consulte Administración de certificados para la comunicación interna de Operaciones de IoT de Azure.

• Seleccionar hardware de prueba de alteraciones: elija hardware de recursos con mecanismos integrados para detectar alteraciones físicas, como la apertura de la cubierta del dispositivo o la eliminación de una parte del dispositivo. Estas señales de manipulación pueden formar parte del flujo de datos cargado en la nube, lo que alerta a los operadores de estos eventos.

• Habilitar actualizaciones seguras para el firmware del recurso: use servicios que habilitan actualizaciones inalámbricas para los recursos. Cree recursos con rutas de acceso seguras para actualizaciones y garantía criptográfica de las versiones de firmware para proteger los recursos durante y después de las actualizaciones.

• Desplegar hardware de activos de manera segura: Asegúrese de que el despliegue de hardware de activos sea lo más resistente a la manipulación posible, especialmente en ubicaciones no seguras como espacios públicos o lugares no supervisados. Solo habilite las características necesarias para minimizar la superficie de ataque físico, como cubrir de forma segura los puertos USB si no son necesarios.

• Siga los procedimientos recomendados de seguridad e implementación del fabricante de dispositivos: si el fabricante del dispositivo proporciona instrucciones de seguridad e implementación, siga esa guía junto con las instrucciones generales de este artículo.

Seguridad de conexión

En esta sección se proporcionan instrucciones sobre cómo proteger las conexiones entre los recursos, el entorno de tiempo de ejecución perimetral y los servicios en la nube. La seguridad de las conexiones es fundamental para garantizar la integridad y confidencialidad de los datos transmitidos.

• Usar la Seguridad de la capa de transporte (TLS) para proteger las conexiones de los recursos: toda la comunicación dentro de las Operaciones de IoT de Azure se cifra mediante TLS. Para proporcionar una experiencia segura de forma predeterminada que minimiza la exposición involuntaria de la solución basada en el borde a los atacantes, Operaciones de IoT de Azure se implementa con una entidad de certificación raíz predeterminada y un emisor para los certificados de servidor TLS. Para una implementación de producción, se recomienda usar su propio emisor de entidad de certificación y una solución PKI empresarial.

• Utilice su propia autoridad de certificación para producción: en el caso de las implementaciones de producción, reemplace la CA raíz autofirmada predeterminada, por su propio emisor de CA e integre con una PKI empresarial para garantizar la confianza y el cumplimiento. Para más información, consulte Administración de certificados para la comunicación interna de Operaciones de IoT de Azure.

• Considere la posibilidad de usar firewalls de empresa o servidores proxy para administrar el tráfico saliente: si usa firewalls de empresa o servidores proxy, agregue los puntos de conexión de Operaciones de IoT de Azure a la lista de permitidos.

• Cifrar el tráfico interno del agente de mensajes: garantizar la seguridad de las comunicaciones internas dentro de la infraestructura de borde es importante para mantener la integridad y la confidencialidad de los datos. Debe configurar el corredor MQTT para cifrar el tráfico interno y los datos en tránsito entre el front-end del corredor MQTT y los pods de back-end. Para obtener más información, consulte Configuración del cifrado del tráfico interno del corredor y certificados internos.

• Configurar TLS con administración automática de certificados para agentes de escucha en el corredor MQTT: Operaciones de IoT de Azure proporciona administración automática de certificados para agentes de escucha en el corredor MQTT. Esta funcionalidad reduce la sobrecarga administrativa de administrar manualmente los certificados, garantiza renovaciones oportunas y ayuda a mantener el cumplimiento de las directivas de seguridad. Para obtener más información, consulte Comunicación de corredor MQTT seguro mediante BrokerListener.

• Configurar una conexión segura con el servidor OPC UA: al conectarse a un servidor OPC UA, debe determinar con qué servidores de OPC UA confía para establecer de forma segura una sesión. Para obtener más información, consulte Configurar la infraestructura de los certificados de OPC UA para el conector para OPC UA.

• Aislar y segmentar redes: use la segmentación de red y los firewalls para aislar los clústeres de IoT Operations y los dispositivos perimetrales de otros recursos de red. Agregue los puntos de conexión necesarios a la lista de permitidos si usa firewalls de empresa o servidores proxy. Para más información, consulte Directrices de implementación de producción: redes.

Seguridad de borde

En esta sección se proporcionan instrucciones sobre cómo proteger el entorno de tiempo de ejecución perimetral, que es el software que se ejecuta en la plataforma perimetral. Este software procesa los datos de los recursos y administra la comunicación entre los recursos y los servicios en la nube. La seguridad del entorno de tiempo de ejecución perimetral es fundamental para garantizar la integridad y confidencialidad de los datos procesados y transmitidos.

• Mantener actualizado el entorno de ejecución en el borde: Mantenga actualizado el clúster y la implementación de Operaciones de IoT de Azure con las últimas revisiones y versiones secundarias para obtener todas las correcciones de errores y seguridad disponibles. En el caso de las implementaciones de producción, desactive la actualización automática de Azure Arc para tener control total sobre cuándo se aplican nuevas actualizaciones al clúster. En su lugar, actualice manualmente los agentes según sea necesario.

• Compruebe la integridad del contenedor y las imágenes de Helm: Antes de implementar cualquier imagen en el clúster, compruebe que la imagen esté firmada por Microsoft. Para obtener más información, consulte Validar firma de imágenes.

• Use siempre certificados X.509 o tokens de cuenta de servicio de Kubernetes para la autenticación con el corredor MQTT: un corredor MQTT admite varios métodos de autenticación para los clientes. Puede configurar cada puerto de agente de escucha para tener sus propias opciones de autenticación con un recurso BrokerAuthentication. Para obtener más información, consulte Configuración de la autenticación de corredor MQTT.

• Proporcione los privilegios mínimos necesarios para el recurso de tema en el corredor MQTT: las directivas de autorización determinan qué acciones pueden realizar los clientes en el agente, como conectarse, publicar o suscribirse a temas. Configure el corredor MQTT para usar una o varias directivas de autorización con el recurso de BrokerAuthorization. Para obtener más información, consulte Configuración de la autorización del corredor MQTT.

Seguridad en la nube

En esta sección se proporcionan instrucciones sobre cómo proteger los servicios en la nube, que son los servicios que procesan y almacenan los datos de los recursos. La seguridad de los servicios en la nube es fundamental para garantizar la integridad y confidencialidad de los datos.

• Usar identidades administradas asignadas por el usuario para conexiones en la nube: use siempre la autenticación de identidad administrada. Cuando sea posible, use la identidad administrada asignada por el usuario en los puntos de conexión de flujo de datos para lograr flexibilidad y auditabilidad. Para más información, consulte Habilitación de la configuración segura en operaciones de Azure IoT.

• Implementar recursos de observabilidad y configuración de registros: la observabilidad proporciona visibilidad sobre cada capa de la configuración de Operaciones de IoT de Azure. Proporciona información sobre el comportamiento real de los problemas, lo que aumenta la eficacia de la ingeniería de fiabilidad del sitio. Operaciones de IoT de Azure ofrece observabilidad mediante paneles de Grafana mantenidos personalizados que se hospedan en Azure. Estos paneles se basan en la tecnología del servicio administrado para Prometheus de Azure Monitor y en la de Container Insights. Implemente recursos de observabilidad en el clúster antes de implementar Operaciones de IoT de Azure.

• Acceso seguro a recursos y puntos de conexión de recursos con Azure RBAC: los recursos y los puntos de conexión de recursos de Operaciones de IoT de Azure tienen representaciones tanto en el clúster de Kubernetes como en Azure Portal. Use RBAC de Azure para proteger el acceso a estos recursos. RBAC de Azure es un sistema de autorización que permite administrar el acceso a los recursos de Azure. Use Azure RBAC para conceder permisos a usuarios, grupos y aplicaciones en un ámbito determinado. Para más información, consulte Acceso seguro a recursos y puntos de conexión de recursos.

En el diagrama siguiente se muestra una vista general de los componentes en una solución típica de IoT basada en la nube. Este artículo se centra en la seguridad en una solución de IoT basada en la nube:

En una solución de IoT basada en la nube, puede dividir la seguridad en las tres áreas siguientes:

• Seguridad del dispositivo: proteja el dispositivo IoT mientras se implementa en el entorno local.

• Seguridad de la conexión: asegurar que todos los datos transmitidos entre el dispositivo IoT y los servicios en la nube de IoT sean confidenciales y a prueba de manipulaciones.

• Seguridad en la nube: proteja los datos a medida que se mueve y se almacena en la nube.

Las recomendaciones de este artículo le ayudarán a cumplir las obligaciones de seguridad descritas en el modelo de responsabilidad compartida.

Microsoft Defender para IoT

Microsoft Defender para IoT supervisa automáticamente algunas de las recomendaciones de este artículo. Microsoft Defender para IoT analiza periódicamente el estado de seguridad de los recursos de Azure para identificar posibles vulnerabilidades de seguridad y, a continuación, ofrece recomendaciones sobre cómo abordarlos. Para obtener más información, consulte:

• ¿Qué es Microsoft Defender para IoT para organizaciones?.
• ¿Qué es Microsoft Defender para IoT para los generadores de dispositivos?.
• Mejorar la posición de seguridad con recomendaciones de seguridad.

Seguridad del dispositivo

En esta sección se proporcionan instrucciones sobre cómo proteger los dispositivos IoT, que son los componentes de hardware que recopilan y transmiten datos. La seguridad del dispositivo es fundamental para garantizar la integridad y confidencialidad de los datos que genera y transmite.

• Hardware de ámbito a requisitos mínimos: seleccione el hardware del dispositivo para incluir las características mínimas necesarias para su funcionamiento y nada más. Por ejemplo, solo incluya puertos USB si son necesarios para el funcionamiento del dispositivo en la solución. Las características adicionales pueden exponer el dispositivo a vectores de ataque no deseados.

• Seleccionar hardware de prueba de alteraciones: seleccione hardware de dispositivo con mecanismos integrados para detectar alteraciones físicas, como la apertura de la cubierta del dispositivo o la eliminación de una parte del dispositivo. Estas señales de manipulación pueden formar parte del flujo de datos cargado en la nube, lo que puede alertar a los operadores de estos eventos.

• Seleccionar hardware seguro: si es posible, elija hardware de dispositivo que incluya características de seguridad como almacenamiento seguro y cifrado y funcionalidad de arranque basada en un módulo de plataforma segura. Estas características crean dispositivos más seguros y ayudan a proteger la infraestructura de IoT general.

• Habilitar actualizaciones seguras: Use servicios como Device Update para IoT Hub para llevar a cabo actualizaciones inalámbricas en sus dispositivos IoT. Cree dispositivos con rutas de acceso seguras para las actualizaciones y la garantía criptográfica de las versiones de firmware para proteger los dispositivos durante y después de las actualizaciones.

• Siga una metodología de desarrollo de software segura: el desarrollo de software seguro requiere que tenga en cuenta la seguridad desde el inicio del proyecto hasta la implantación, las pruebas y la implementación. El Ciclo de vida de desarrollo de seguridad de Microsoft proporciona un enfoque paso a paso para la creación de software seguro.

• Usar SDK de dispositivo siempre que sea posible: los SDK de dispositivo implementan diversas características de seguridad, como el cifrado y la autenticación que le ayudan a desarrollar aplicaciones de dispositivo sólidas y seguras. Para más información, consulte SDK de Azure IoT.

• Elegir software de código abierto con cuidado: el software de código abierto brinda la oportunidad de desarrollar soluciones con rapidez. Al elegir software de código abierto, considere el nivel de actividad de la comunidad para cada componente de código abierto. Una comunidad activa garantiza la compatibilidad con el software; se detectarán problemas, a los que se hará frente. Es posible que no se admita un proyecto de software de código abierto oculto e inactivo, y es probable que no se detecten problemas.

• Implementar hardware de forma segura: es posible que las implementaciones de IoT requieran implementar hardware en ubicaciones no seguras, como en espacios públicos o configuraciones regionales no supervisadas. En estas situaciones, haga que el despliegue de hardware sea lo más a prueba de manipulación posible y habilite solo las funciones necesarias para minimizar la superficie de ataque físico.

• Almacenar credenciales en módulos de seguridad de hardware (HSMs): usen HSMs para almacenar de forma segura secretos de dispositivo, como claves privadas y certificados, para proteger contra la extracción y manipulación. Para más información, consulte Autenticación X.509 de IoT Hub, guía de DPS HSM y Administrador de seguridad de IoT Edge.

• Rotar las claves de dispositivo y los certificados con regularidad: rota periódicamente las credenciales, especialmente después de una infracción o expiración, para minimizar el riesgo de acceso no autorizado. Para más información, consulte Cómo implementar certificados en DPS y Administración de certificados X.509 de IoT Central.

• Actualización y revisión: mantenga actualizados todos los entornos de ejecución, los SDK y los componentes del sistema operativo con las actualizaciones y revisiones de seguridad más recientes. Para más información, consulte Guía de actualización de IoT Edge.

• Proteger contra la actividad malintencionada: si el sistema operativo lo permite, instale las funcionalidades antivirus y antimalware más recientes en el sistema operativo de todos y cada uno de los dispositivos.

• Auditar con frecuencia: audite la infraestructura de IoT en busca de problemas de seguridad para permitirle responder a incidentes de seguridad. La mayoría de los sistemas operativos proporcionan registro de eventos integrado. Revise los registros con frecuencia para comprobar si hay infracciones de seguridad. Un dispositivo puede enviar información de auditoría como un flujo de datos independiente al servicio en la nube, donde puede analizarla.

• Siga los procedimientos recomendados de seguridad e implementación del fabricante de dispositivos: si el fabricante del dispositivo proporciona instrucciones de seguridad e implementación, siga esa guía junto con las instrucciones generales de este artículo.

• Usar una puerta de enlace de campo para proporcionar servicios de seguridad para dispositivos heredados o restringidos: los dispositivos heredados y restringidos pueden carecer de la capacidad de cifrar datos, conectarse a Internet o proporcionar auditoría avanzada. En estos casos, una puerta de enlace de campo moderna y segura puede agregar datos de dispositivos heredados y proporcionar la seguridad necesaria para conectar estos dispositivos a través de Internet. Un dispositivo de IoT Edge se puede usar como puerta de enlace y proporcionar autenticación segura, negociación de sesiones cifradas, recepción de comandos de la nube y muchas otras características de seguridad. Azure Sphere puede actuar como módulo guardián para proteger otros dispositivos, incluidos los sistemas heredados existentes que no están diseñados para la conectividad de confianza.

• Cifrar datos en reposo: use el cifrado de nivel de sistema operativo, como BitLocker para Windows, para el almacenamiento perimetral y del dispositivo para proteger los datos si los dispositivos se pierden o se roban. Para más información, consulte Seguridad de IoT Edge.

Seguridad de conexión

En esta sección se proporcionan instrucciones sobre cómo proteger las conexiones entre los dispositivos IoT y los servicios en la nube. La seguridad de las conexiones es fundamental para garantizar la integridad y confidencialidad de los datos transmitidos.

• Use certificados X.509 para autenticar los dispositivos en IoT Hub o IoT Central: IoT Hub y IoT Central admiten certificados X509 para la autenticación de dispositivos. Use la autenticación basada en X509 en entornos de producción, ya que proporciona mayor seguridad que las claves simétricas. Para más información, consulte Autenticación de un dispositivo en IoT Hub y conceptos de autenticación de dispositivos en IoT Central.

• Evitar claves simétricas compartidas: si usa claves simétricas, no comparta claves simétricas entre dispositivos. Cada dispositivo necesita credenciales únicas para evitar un riesgo generalizado si se filtra una clave. Para más información, consulte Prácticas de seguridad para fabricantes de dispositivos.

• Usar la Seguridad de la capa de transporte (TLS) 1.2 para proteger las conexiones desde dispositivos: IoT Hub e IoT Central usan TLS para proteger las conexiones desde dispositivos y servicios de IoT. Actualmente se admiten tres versiones del protocolo TLS: 1.0, 1.1 y 1.2. TLS 1.0 y 1.1 se consideran heredados. Para obtener más información, consulte Compatibilidad con seguridad de la capa de transporte (TLS) en IoT Hub y Compatibilidad con TLS en Azure IoT Hub Device Provisioning Service (DPS).

• Utilice conjuntos de cifrado seguros y mantenga actualizados los certificados de CA raíz: actualice regularmente los conjuntos de cifrado y los certificados de CA raíz para mantener conexiones seguras. Para más información, consulte Compatibilidad con TLS de IoT Hub.

• Asegúrese de que tiene una manera de actualizar el certificado raíz TLS en los dispositivos: los certificados raíz tls duran mucho tiempo, pero pueden expirar o revocarse. Si no puede actualizar el certificado en el dispositivo, es posible que el dispositivo no pueda conectarse a IoT Hub, IoT Central ni a ningún otro servicio en la nube más adelante. Para obtener más información, consulte Cómo implementar certificados de dispositivo X.509.

• Considere la posibilidad de usar Azure Private Link: Azure Private Link le permite conectar los dispositivos a un punto de conexión privado en la red virtual, lo que le permite bloquear el acceso a los puntos de conexión públicos de dispositivo de IoT Hub. Para más información, consulte Conectividad de entrada a IoT Hub mediante Azure Private Link y seguridad de red para IoT Central mediante puntos de conexión privados.

• Restringir el acceso a la red: use el filtrado IP para limitar el acceso a redes y orígenes de confianza. Para más información, consulte Filtrado de IP de IoT Hub, puntos de conexión privados de IoT Central y filtrado de IP de DPS.

• Deshabilite el acceso a la red pública si no es necesario: evite la exposición a la red pública de Internet deshabilitando los puntos de conexión públicos cuando pueda. Para más información, consulte Acceso a la red pública de IoT Hub y acceso a la red pública de DPS.

• Aislar los dispositivos perimetrales y los servicios en segmentos de red seguros: use la segmentación de red y los firewalls para aislar los dispositivos y servicios de IoT Edge de otros recursos de red. Para más información, consulte IoT Edge para Linux en seguridad de Windows.

Seguridad en la nube

En esta sección se proporcionan instrucciones sobre cómo proteger los servicios en la nube, que son los servicios que procesan y almacenan los datos del dispositivo IoT. La seguridad de los servicios en la nube es fundamental para garantizar la integridad y confidencialidad de los datos.

• Siga una metodología de desarrollo de software segura: el desarrollo de software seguro requiere que tenga en cuenta la seguridad desde el inicio del proyecto hasta la implantación, las pruebas y la implementación. El Ciclo de vida de desarrollo de seguridad de Microsoft proporciona un enfoque paso a paso para la creación de software seguro.

• Elegir software de código abierto con cuidado: el software de código abierto brinda la oportunidad de desarrollar soluciones con rapidez. Al elegir software de código abierto, tenga en cuenta el nivel de actividad de la comunidad para cada componente de código abierto. Una comunidad activa garantiza la compatibilidad con el software; se detectarán problemas, a los que se hará frente. Es posible que no se admita un proyecto de software de código abierto oculto e inactivo y que no se detecten problemas.

• Integrar con cuidado: muchas de las brechas de seguridad del software aparecen en el límite de las bibliotecas y las API. Es posible que la funcionalidad que no sea necesaria para la implementación actual esté disponible a través de una capa de API. Para garantizar la seguridad general, compruebe todas las interfaces de los componentes integrados para detectar errores de seguridad.

• Proteger las credenciales en la nube: un atacante puede usar las credenciales de autenticación en la nube que usa para configurar y operar la implementación de IoT para obtener acceso y poner en peligro el sistema IoT. Proteja las credenciales cambiando la contraseña a menudo y no use estas credenciales en las máquinas públicas.

• Utilice Microsoft Entra ID y RBAC con IoT Hub: utilice Microsoft Entra ID y Azure RBAC para el acceso a las API de servicios y de gestión, y habilite un control de acceso granular basado en identidades. Para obtener más información, consulte Autenticación de ID de Entra de IoT Hub y Autenticación de ID de Entra de DPS.

• Deshabilite las directivas de acceso compartido si no es necesario: reduzca la superficie expuesta a ataques deshabilitando las directivas de acceso compartido y los tokens cuando no los necesite. Para más información, consulte Directivas de acceso compartido de IoT Hub.

• Definir controles de acceso para la aplicación de IoT Central: comprenda y defina el tipo de acceso que habilite para la aplicación de IoT Central. Para obtener más información, consulte:

  • Administrar usuarios y roles en la aplicación de IoT Central
  • Administración de organizaciones de IoT Central
  • Uso de registros de auditoría para realizar un seguimiento de la actividad en la aplicación de IoT Central
  • Autenticación y autorización de llamadas API de REST en IoT Central

• Definir controles de acceso para los servicios de back-end: otros servicios de Azure pueden consumir los datos que ingiere la aplicación ioT Hub o IoT Central desde los dispositivos. Puede enrutar mensajes desde sus dispositivos hacia otros servicios de Azure. Comprenda y configure los permisos de acceso adecuados para IoT Hub o IoT Central para conectarse a estos servicios. Para obtener más información, consulte:

  • Leer mensajes de dispositivo a nube desde el punto de conexión integrado de IoT Hub
  • Uso del enrutamiento de mensajes de IoT Hub para enviar mensajes del dispositivo a la nube a distintos puntos de conexión
  • Exportar datos de IoT Central
  • Exportación de datos de IoT Central a un destino seguro en una instancia de Azure Virtual Network

• Conceda solo los permisos mínimos necesarios: aplique el principio de privilegios mínimos al asignar roles y permisos a usuarios, aplicaciones y dispositivos. Para más información, consulte Procedimientos recomendados de administración de identidades.

• Supervisión de la solución de IoT desde la nube: supervise el estado general de la solución de IoT mediante métricas de IoT Hub en Azure Monitor o Supervisión del estado de la aplicación de IoT Central.

• Configurar diagnósticos: supervise las operaciones registrando eventos en la solución y, a continuación, envíe los registros de diagnóstico a Azure Monitor. Para más información, consulte Supervisión y diagnóstico de problemas en ioT Hub.