Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
IoT Edge 1.5
Viktigt!
IoT Edge 1.5 LTS är den version som stöds. IoT Edge 1.4 LTS upphör från och med den 12 november 2024. Om du har en tidigare version läser du Uppdatera IoT Edge.
Azure IoT Edge för Linux i Windows använder alla säkerhetsfunktioner i en Windows-klient eller servervärd och ser till att alla extra komponenter följer samma säkerhetsprinciper. Den här artikeln beskriver de olika säkerhetsprinciper som är aktiverade som standard och några valfria principer som du kan aktivera.
Säkerhet för virtuella datorer
Den kuraterade virtuella datorn IoT Edge för Linux (EFLOW) baseras på Microsoft Azure Linux. Azure Linux är en intern Linux-distribution för Microsofts molninfrastruktur, gränsprodukter och tjänster. Azure Linux tillhandahåller en konsekvent plattform för dessa enheter och tjänster och hjälper Microsoft att hålla sig uppdaterad om Linux-uppdateringar. Mer information finns i Azure Linux-säkerhet.
Den virtuella EFLOW-datorn använder en fyrapunkts omfattande säkerhetsplattform:
- Underhållsuppdateringar
- Skrivskyddat rotfilsystem
- Brandväggslåsning
- DM-Verity
Underhållsuppdateringar
När säkerhetsrisker uppstår tillhandahåller Azure Linux de senaste säkerhetskorrigeringarna och korrigeringarna via månatliga EFLOW-uppdateringar. Den virtuella datorn har ingen pakethanterare, så du kan inte ladda ned eller installera RPM-paket manuellt. EFLOW installerar alla uppdateringar på den virtuella datorn med hjälp av A/B-uppdateringsmekanismen. Mer information om EFLOW-uppdateringar finns i Uppdatera IoT Edge för Linux i Windows.
Skrivskyddat rotfilsystem
Den virtuella EFLOW-datorn har två huvudpartitioner: rootfs och data. RootFS-A- eller rootFS-B-partitionerna är utbytbara och en är monterad som ett skrivskyddat filsystem på /, så du kan inte ändra filer i den här partitionen.
Datapartitionen, monterad under /var, är läsbar och skrivbar, så att du kan ändra dess innehåll. Uppdateringsprocessen ändrar inte de data som lagras i den här partitionen, så de ändras inte mellan uppdateringar.
Eftersom du kan behöva skrivåtkomst till /etc, /home, /rootoch /var för specifika användningsfall lägger EFLOW över dessa kataloger på datapartitionen vid /var/.eflow/overlays för att ge skrivåtkomst. Med den här konfigurationen kan du skriva till dessa kataloger. Mer information om överlägg finns i överlägg.
| Avdelning | Storlek | beskrivning |
|---|---|---|
| BootEFIA | 8 MB | Partition A för inbyggd programvara för framtida GRUBless-start |
| BootA | 192 MB | Innehåller startladdaren för en partition |
| RootFS A | 4 GB | En av två aktiva/passiva partitioner som innehåller rotfilsystemet |
| BootEFIB | 8 MB | Partition B för inbyggd programvara för framtida GRUBless-start |
| BootB | 192 MB | Innehåller startladdaren för B-partitionen |
| RootFS B | 4 GB | En av två aktiva/passiva partitioner som innehåller rotfilsystemet |
| Loggas | 1 GB eller 6 GB | Loggar specifik partition monterad under /logs |
| Uppgifter | 2 GB till 2 TB | Tillståndskänslig partition för lagring av beständiga data mellan uppdateringar. Kan expanderas enligt distributionskonfigurationen. |
Kommentar
Partitionslayouten representerar den logiska diskstorleken och anger inte det fysiska utrymme som den virtuella datorn använder på värdoperativsystemets disk.
Brandvägg
Som standard använder den virtuella EFLOW-datorn verktyget iptables för brandväggskonfigurationer. Iptables konfigurerar , underhåller och inspekterar tabellerna med IP-paketfilterregler i Linux-kerneln. Standardimplementeringen tillåter inkommande trafik på port 22 (SSH-tjänsten) och blockerar annan trafik. Kontrollera konfigurationen av iptables med följande steg:
Öppna en upphöjd PowerShell-session
Ansluta till den virtuella EFLOW-datorn
Connect-EflowVmVisa en lista över alla iptables-regler
sudo iptables -L
Verifierad start
Den virtuella EFLOW-datorn stöder verifierad start via den inkluderade kernelfunktionen device-mapper-verity (dm-verity), vilket ger transparent integritetskontroll av blockenheter. dm-verity hjälper till att förhindra beständiga rootkits som kan hålla fast vid rotprivilegier och kompromettera enheter. Den här funktionen säkerställer att den virtuella datorns basprogramavbildning är densamma och inte ändras. Den virtuella datorn använder funktionen dm-verity för att kontrollera en specifik blockenhet, filsystemets underliggande lagringsnivå, och se om den matchar den förväntade konfigurationen.
Som standard är den här funktionen inaktiverad på den virtuella datorn, men du kan aktivera eller inaktivera den. Mer information finns i dm-verity.
Betrodd plattformsmodul (TPM)
TPM-teknik (Trusted Platform Module) är utformad för att tillhandahålla maskinvarubaserade, säkerhetsrelaterade funktioner. Ett TPM-chip är en säker kryptoprocessor som är utformad för att utföra kryptografiska åtgärder. Chipet innehåller flera fysiska säkerhetsmekanismer för att göra det manipuleringsbeständigt, och skadlig programvara kan inte manipulera säkerhetsfunktionerna i TPM.
Den virtuella EFLOW-datorn stöder inte vTPM. Du kan dock aktivera eller inaktivera funktionen för TPM-genomströmning, vilket gör att den virtuella EFLOW-datorn kan använda Windows-värdsoperativsystemets TPM. På så sätt kan du göra två huvudscenarier:
- Använd TPM-teknik för IoT Edge-enhetsetablering med Device Provision Service (DPS). Mer information finns i Skapa och etablera en IoT Edge för Linux på Windows-enheter i stor skala med hjälp av en TPM.
- Skrivskyddad åtkomst till kryptografiska nycklar som lagras i TPM. Mer information finns i Set-EflowVmFeature för att aktivera TPM-genomströmning.
Säker kommunikation mellan värd och virtuell dator
Med EFLOW kan du interagera med den virtuella datorn med hjälp av en PowerShell-modul. Mer information finns i PowerShell-funktioner för IoT Edge för Linux i Windows. Den här modulen behöver en upphöjd session för att köras och den är signerad med ett Microsoft Corporation-certifikat.
All kommunikation mellan Windows-värdoperativsystemet och den virtuella EFLOW-datorn som PowerShell-cmdletar behöver använder en SSH-kanal. Som standard tillåter inte SSH-tjänsten för den virtuella datorn att du autentiserar med ett användarnamn och lösenord och tillåter endast certifikatautentisering. Certifikatet skapas under EFLOW-distributionsprocessen och är unikt för varje EFLOW-installation. För att förhindra SSH-råstyrkeattacker blockerar den virtuella datorn en IP-adress om den försöker utföra mer än tre anslutningar per minut till SSH-tjänsten.
I versionen av EFLOW Continuous Release (CR) ändras transportkanalen för SSH-anslutningen. Ursprungligen körs SSH-tjänsten på TCP-port 22, som alla externa enheter i samma nätverk kan komma åt med hjälp av en TCP-socket. För säkerhet kör EFLOW CR SSH-tjänsten över Hyper-V socketar i stället för vanliga TCP-socketar. All kommunikation över Hyper-V sockets förblir mellan Windows-värdoperativsystemet och den virtuella EFLOW-datorn, utan att använda nätverk. Den här konfigurationen begränsar SSH-tjänstens åtkomst genom att begränsa anslutningar till endast Windows-värdoperativsystemet. Mer information finns i Hyper-V-socketar.
Nästa steg
Läs mer om Windows IoT-säkerhetslokal
Håll dig uppdaterad med de senaste IoT Edge för Linux på Windows-uppdateringar.