Utiliser les informations d'identification d'authentification sur vos serveurs OPC-UA Utiliser des modes de communication chiffrés pour vos serveurs OPC-UA Maintenez vos composants à jour Chiffrez le système de fichiers de votre passerelle SiteWise Edge Accès sécurisé à votre configuration Edge Accorder aux utilisateurs de SiteWise Monitor les autorisations minimales possibles Ne pas exposer d'informations sensibles Suivez les meilleures pratiques en matière de AWS IoT Greengrass sécurité Consultez aussi

Bonnes pratiques de sécurité pour AWS IoT SiteWise

Cette rubrique présente les meilleures pratiques de sécurité pour AWS IoT SiteWise.

Utiliser les informations d'identification d'authentification sur vos serveurs OPC-UA

Exigez des informations d'identification d'authentification pour vous connecter à vos serveurs OPC-UA. Consultez la documentation de vos serveurs pour le faire. Ensuite, pour permettre à votre passerelle SiteWise Edge de se connecter à vos serveurs OPC-UA, ajoutez des secrets d'authentification du serveur à votre passerelle SiteWise Edge. Pour plus d’informations, consultez Configuration de l'authentification source.

Utiliser des modes de communication chiffrés pour vos serveurs OPC-UA

Choisissez un mode de sécurité des messages chiffrés non obsolète lorsque vous configurez vos sources OPC-UA pour votre passerelle Edge. SiteWise Cela permet de sécuriser vos données industrielles lorsqu'elles sont transférées de vos serveurs OPC-UA vers la passerelle SiteWise Edge. Pour plus d’informations, consultez Données en transit sur le réseau local et Configuration des sources de données.

Maintenez vos composants à jour

Si vous utilisez des passerelles SiteWise Edge pour ingérer des données vers le service, il est de votre responsabilité de configurer et de gérer l'environnement de votre passerelle SiteWise Edge. Cette responsabilité inclut la mise à niveau vers les dernières versions du logiciel système, AWS IoT Greengrass des logiciels et des connecteurs de la passerelle.

Note

Le connecteur AWS IoT SiteWise Edge stocke les secrets sur votre système de fichiers. Ces secrets contrôlent les personnes autorisées à consulter les données mises en cache dans votre passerelle SiteWise Edge. Il est vivement recommandé d'activer le chiffrement du disque ou du système de fichiers pour le système exécutant votre passerelle SiteWise Edge.

Chiffrez le système de fichiers de votre passerelle SiteWise Edge

Chiffrez et sécurisez votre passerelle SiteWise Edge afin que vos données industrielles soient sécurisées lorsqu'elles passent par la passerelle SiteWise Edge. Si votre passerelle SiteWise Edge possède un module de sécurité matériel, vous pouvez le configurer AWS IoT Greengrass pour sécuriser votre passerelle SiteWise Edge. Pour plus d'informations, consultez la section Intégration de la sécurité matérielle dans le Guide du AWS IoT Greengrass Version 1 développeur. Sinon, consultez la documentation de votre système d'exploitation pour savoir comment chiffrer et sécuriser votre système de fichiers.

Accès sécurisé à votre configuration Edge

Ne partagez pas le mot de passe de l'application Edge Console ou celui de l'application SiteWise Monitor. Ne mettez pas ce mot de passe dans un endroit où tout le monde peut le voir. Mettez en œuvre une politique saine de rotation des mots de passe en configurant une date d'expiration appropriée pour votre mot de passe.

Accorder aux utilisateurs de SiteWise Monitor les autorisations minimales possibles

Respectez le principe du moindre privilège en utilisant l'ensemble minimal d'autorisations de politique d'accès pour les utilisateurs de votre portail.

Lorsque vous créez un portail, définissez un rôle qui autorise l'ensemble minimal d'actifs requis pour ce portail. Pour plus d’informations, consultez Utilisation des rôles de service pour AWS IoT SiteWise Monitor.
Lorsque vous et les administrateurs de votre portail créez et partagez des projets, utilisez l'ensemble minimal d'actifs requis pour ce projet.
Lorsqu'une identité n'a plus besoin d'accéder à un portail ou à un projet, supprimez-la de cette ressource. Si cette identité n'est plus applicable à votre organisation, supprimez-la de votre banque d'identités.

La meilleure pratique du moindre principe s'applique également aux rôles IAM. Pour plus d’informations, consultez Bonnes pratiques en matière de politiques.

Ne pas exposer d'informations sensibles

Vous devez empêcher l'enregistrement des informations d'identification et d'autres informations sensibles, telles que les informations personnellement identifiables (PII). Nous vous recommandons de mettre en œuvre les mesures de protection suivantes, même si l'accès aux journaux locaux sur une passerelle SiteWise Edge nécessite des privilèges root et que l'accès aux CloudWatch journaux nécessite des autorisations IAM.

N'utilisez pas d'informations sensibles dans les noms, descriptions ou propriétés de vos ressources ou modèles.
N'utilisez pas d'informations sensibles dans les noms de source ou de passerelle SiteWise Edge.
N'utilisez pas d'informations sensibles dans les noms ou descriptions de vos portails, projets ou tableaux de bord.

Suivez les meilleures pratiques en matière de AWS IoT Greengrass sécurité

Suivez les meilleures pratiques de AWS IoT Greengrass sécurité pour votre passerelle SiteWise Edge. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité dans le guide du AWS IoT Greengrass Version 1 développeur.

Consultez aussi

Bonnes pratiques en matière de sécurité décrites dans le guide du AWS IoT développeur
Dix règles d'or en matière de sécurité pour les solutions IoT industrielles

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création d'une stratégie de point de terminaison de VPC

Journalisation et surveillance