のセキュリティのベストプラクティス AWS IoT SiteWise - AWS IoT SiteWise

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のセキュリティのベストプラクティス AWS IoT SiteWise

このトピックには、 のセキュリティのベストプラクティスが含まれています AWS IoT SiteWise。

OPC UA サーバーで認証情報を使用する

OPC UA サーバーに接続するには、認証情報が必要です。これを行うには、サーバーのドキュメントを参照してください。次に、 SiteWise エッジゲートウェイが OPC UA サーバーに接続できるようにするには、 SiteWise エッジゲートウェイにサーバー認証シークレットを追加します。詳細については、「ソース認証を設定する」を参照してください。

OPC UA サーバーに暗号化された通信モードを使用する

SiteWise Edge ゲートウェイの OPC UA ソースを設定するときは、非推奨で暗号化されたメッセージセキュリティモードを選択します。これにより、OPCUA サーバーから SiteWise Edge ゲートウェイに移動するときに、産業用データが保護されます。詳細については、「ローカルネットワーク経由で転送されるデータ」および「OPC UA データソース」を参照してください。

コンポーネントを最新の状態に保つ。

SiteWise Edge ゲートウェイを使用してサービスにデータを取り込む場合、 SiteWise Edge ゲートウェイの環境を設定および維持するのはユーザーの責任です。これには、ゲートウェイのシステムソフトウェア、 AWS IoT Greengrass ソフトウェアとコネクタの最新バージョンへのアップグレードが含まれます。

注記

AWS IoT SiteWise Edge コネクタは、シークレットをファイルシステムに保存します。これらのシークレットは、 SiteWise エッジゲートウェイ内にキャッシュされたデータを表示できるユーザーを制御します。 SiteWise Edge ゲートウェイを実行しているシステムのディスクまたはファイルシステムの暗号化を有効にすることを強くお勧めします。

SiteWise Edge ゲートウェイのファイルシステムを暗号化する

SiteWise Edge ゲートウェイを暗号化して保護するため、産業データは Edge SiteWise ゲートウェイ内を移動する際に安全です。 SiteWise Edge ゲートウェイにハードウェアセキュリティモジュールがある場合は、 SiteWise エッジゲートウェイを保護する AWS IoT Greengrass ように を設定できます。詳細については、[AWS IoT Greengrass Version 1 Developer Guide] (デベロッパーガイド) の[Hardware security integration] (ハードウェアセキュリティの統合) を参照してください。ハードウェアセキュリティモジュールがない場合は、オペレーティングシステムのドキュメントを参照して、ファイルシステムを暗号化して保護する方法を確認してください。

エッジ設定へのセキュアなアクセス。

エッジコンソールアプリケーションパスワードや SiteWise Monitor アプリケーションパスワードは共有しないでください。このパスワードは、誰でも見られる場所に置かないでください。パスワードに適切な有効期限を設定することで、健全なパスワードローテーションポリシーを実施する。

でのデータの保護 Siemens Industrial Edge Management

AWS IoT SiteWise Edge と共有することを選択するデバイスデータは、Siemens IEM Databus設定トピックで決定されます。 SiteWise Edge と共有するトピックを選択すると、トピックレベルのデータを と共有できます AWS IoT SiteWise。Siemens Industrial Edge Marketplace は、 とは別の独立したマーケットプレイスです AWS。共有データを保護するために、 を利用しない限り、 SiteWise エッジアプリケーションは実行されませんSiemens Secured Storage。詳細については、 Siemensドキュメントの「セキュアストレージ」を参照してください。

最小限のアクセス許可を SiteWise Monitor ユーザーに付与する

最小アクセス許可の原則に従って、ポータルのユーザーのアクセスポリシーのアクセス許可には最小限のものを使用します。

  • ポータルを作成する場合は、そのポータルに必要な最小限のアセットを許可するロールを定義します。詳細については、「のサービスロールを使用する AWS IoT SiteWise Monitor」を参照してください。

  • ポータル管理者がプロジェクトを作成して共有する場合は、そのプロジェクトに必要な最小限のアセットを使用します。

  • ポータルやプロジェクトにアクセスする必要がなくなった ID は、そのリソースから削除する。その ID が組織に適用されなくなった場合は、ID ストアからその ID を削除してください。

最小原則のベストプラクティスはIAMロールにも適用されます。詳細については、「ポリシーのベストプラクティス」を参照してください。

機密情報を公開しない

認証情報や、個人を特定できる情報 () などのその他の機密情報のログ記録を防ぐ必要がありますPII。 SiteWise Edge ゲートウェイのローカルログへのアクセスにはルート権限が必要で、 CloudWatch ログへのアクセスにはIAM権限が必要であっても、次の保護を実装することをお勧めします。

  • アセットやモデルの名前、説明、プロパティに機密情報を使用しない。

  • SiteWise Edge ゲートウェイまたはソース名に機密情報を使用しないでください。

  • ポータル、プロジェクト、ダッシュボードの名前や説明に機密情報を使用しない。

AWS IoT Greengrass セキュリティのベストプラクティスに従う

SiteWise Edge ゲートウェイ AWS IoT Greengrass のセキュリティのベストプラクティスに従ってください。詳細については、[AWS IoT Greengrass Version 1 Developer Guide] (デベロッパーガイド) の [Security best practices] (セキュリティベストプラクティス) を参照してください。

以下も参照してください。