AWS IoT SiteWise 的安全最佳實務 - AWS IoT SiteWise

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS IoT SiteWise 的安全最佳實務

本主題包含 AWS IoT SiteWise 的安全最佳實務。

在 OPC-UA 伺服器上使用身份驗證登入資料

需要身份驗證登入資料才能連線到您的 OPC-UA 伺服器。請參閱伺服器的文件以執行這項操作。然後,若要允許閘道連線至您的 OPC-UA 伺服器,請將伺服器身份驗證秘密新增至您的閘道。如需詳細資訊,請參閱 設定來源身份驗證

為您的 OPC-UA 伺服器使用加密通訊模式

為您的閘道設定 OPC-UA 來源時,請選擇不推薦使用的加密訊息安全模式。這樣可幫助您保護工業資料從 OPC-UA 伺服器移至閘道。如需更多詳細資訊,請參閱 透過區域網路傳輸資料設定資料來源

讓您的組件保持為最新狀態

如果您使用AWS IoT SiteWise閘道將資料提取至服務,則您有責任設定和維護閘道的環境。這項責任包括升級至最新版本的閘道系統軟體,AWS IoT Greengrass軟件和連接器。

注意

所以此AWS IoT SiteWise邊緣連接器將密文存儲在文件系統上。這些機密控制誰可以查看網關內緩存的數據。強烈建議您為運行網關的系統啟用磁盤或文件系統加密。

加密閘道的檔案系統

加密並保護您的閘道,讓您的工業資料在透過閘道傳輸時能保持安全。如果您的閘道有硬體安全模組,您可以設定 AWS IoT Greengrass 來保護您的閘道。如需詳細資訊,請參閱「」硬體安全整合中的AWS IoT Greengrass Version 1開發人員指南。您也可以參閱作業系統的文件,以了解如何加密和保護您的檔案系統。

安全訪問您的邊緣配置

不要共享您的邊緣控制台應用程序密碼或 SiteWise 監控應用程式密碼。不要將此密碼放在任何人都可以看到它們的地方。通過為密碼配置適當的過期時間來實施正常的密碼輪換策略。

授予 SiteWise 監控用户最低的許可

使用門户使用者的最低存取政策許可集,以遵循最低權限的原則。

  • 建立入口網站時,請定義可允許該入口網站所需最低資產集的角色。如需詳細資訊,請參閱 使用適用於 AWS IoT SiteWise Monitor 的服務角色

  • 當您和您的入口網站管理員建立並共用專案時,請使用該專案所需的最低資產集。

  • 如果身份不再需要存取入口網站或項目,請將其從該資源移除。如果該身份不再適用於您的組織,請從您的身分存放區刪除該身份。

最低原則最佳實務也適用於 IAM 角色。如需詳細資訊,請參閱 政策最佳實務

請勿公開敏感資訊

您應該避免記錄登入資料和其他敏感資訊,例如個人識別資訊 (PII)。即使存取閘道上的本機日誌需要根許可和存取權,我們還是建議您實施下列保護措施。 CloudWatch 日誌要求 IAM 許可

  • 請勿在資產或模型的名稱、說明或屬性中使用敏感資訊。

  • 請勿在閘道或來源名稱中使用敏感資訊。

  • 請勿在入口網站、專案或儀表板的名稱或描述中使用敏感資訊。

遵循 AWS IoT Greengrass 安全最佳實務

遵循閘道的 AWS IoT Greengrass 安全最佳實務。如需詳細資訊,請參閱「」安全最佳實務中的AWS IoT Greengrass Version 1開發人員指南

另請參閱