のセキュリティ上のベストプラクティス AWS IoT SiteWise - AWS IoT SiteWise

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のセキュリティ上のベストプラクティス AWS IoT SiteWise

このトピックには、のセキュリティのベストプラクティスが含まれています AWS IoT SiteWise。

OPC-UA サーバーでの認証情報の使用

OPC-UA サーバーへの接続に認証情報を要求するようにします。これを行うには、サーバーのドキュメントを参照してください。次に、 SiteWise Edge ゲートウェイが OPC-UA サーバーに接続できるようにするには、サーバー認証シークレットを SiteWise Edge ゲートウェイに追加します。詳細については、「ソース認証の設定」を参照してください。

OPC-UA サーバーへの暗号化通信モードの使用

Edge ゲートウェイに OPC-UA ソースを設定するときは、非推奨ではない暗号化されたメッセージセキュリティモードを選択してください。 SiteWise これにより、OPC-UA サーバーから Edge ゲートウェイに移動する産業データを保護できます。 SiteWise 詳細については、「ローカルネットワーク経由で転送されるデータ」および「データソースの設定」を参照してください。

コンポーネントを最新の状態に保つ。

SiteWise Edge ゲートウェイを使用してデータをサービスに取り込む場合、Edge ゲートウェイの環境を設定して管理するのはお客様の責任です。 SiteWise これには、ゲートウェイのシステムソフトウェア、 AWS IoT Greengrass ソフトウェアとコネクタの最新バージョンへのアップグレードが含まれます。

注記

AWS IoT SiteWise Edge コネクタはシークレットをファイルシステムに保存します。これらのシークレットは、 SiteWise Edge ゲートウェイ内にキャッシュされたデータを誰が閲覧できるかを制御します。Edge ゲートウェイを実行しているシステムでは、ディスクまたはファイルシステムの暗号化を有効にすることを強くお勧めします。 SiteWise

SiteWise Edge ゲートウェイのファイルシステムを暗号化します。

SiteWise Edge ゲートウェイを暗号化して保護することで、産業データが SiteWise Edge ゲートウェイを通過する際に安全性が確保されます。 SiteWise Edge ゲートウェイにハードウェアセキュリティモジュールが搭載されている場合は、 SiteWise Edge AWS IoT Greengrass ゲートウェイを保護するように設定できます。詳細については、[AWS IoT Greengrass Version 1 Developer Guide] (デベロッパーガイド) の[Hardware security integration] (ハードウェアセキュリティの統合) を参照してください。ハードウェアセキュリティモジュールがない場合は、オペレーティングシステムのドキュメントを参照して、ファイルシステムを暗号化して保護する方法を確認してください。

エッジ設定へのセキュアなアクセス。

Edge コンソールアプリケーションのパスワードや SiteWise Monitor アプリケーションのパスワードは共有しないでください。このパスワードは、誰でも見られる場所に置かないでください。パスワードに適切な有効期限を設定することで、健全なパスワードローテーションポリシーを実施する。

SiteWise Monitor ユーザーには、可能な限り最小限の権限を付与してください。

最小アクセス許可の原則に従って、ポータルのユーザーのアクセスポリシーのアクセス許可には最小限のものを使用します。

  • ポータルを作成する場合は、そのポータルに必要な最小限のアセットを許可するロールを定義します。詳細については、「サービスロールの使用目的 AWS IoT SiteWise Monitor」を参照してください。

  • ポータル管理者がプロジェクトを作成して共有する場合は、そのプロジェクトに必要な最小限のアセットを使用します。

  • ポータルやプロジェクトにアクセスする必要がなくなった ID は、そのリソースから削除する。その ID が組織に適用されなくなった場合は、ID ストアからその ID を削除してください。

最小アクセス許可の原則のベストプラクティスは、IAM ロールにも該当します。詳細については、「ポリシーのベストプラクティス」を参照してください。

機密情報を公開しない

認証情報やその他の機密情報 (個人を特定できる情報 (PII) など) のログへの記録を防止する必要があります。 SiteWise Edge ゲートウェイのローカルログへのアクセスには root 権限が必要で、ログへのアクセスには IAM 権限が必要ですが、以下の保護手段を実装することをお勧めします。 CloudWatch

  • アセットやモデルの名前、説明、プロパティに機密情報を使用しない。

  • SiteWise Edge ゲートウェイやソース名には機密情報を使用しないでください。

  • ポータル、プロジェクト、ダッシュボードの名前や説明に機密情報を使用しない。

AWS IoT Greengrass セキュリティのベストプラクティスに従ってください。

SiteWise Edge AWS IoT Greengrass ゲートウェイのセキュリティに関するベストプラクティスに従ってください。詳細については、[AWS IoT Greengrass Version 1 Developer Guide] (デベロッパーガイド) の [Security best practices] (セキュリティベストプラクティス) を参照してください。

以下も参照してください。