Amazon IoT SiteWise 的安全最佳实践 - Amazon IoT SiteWise
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon IoT SiteWise 的安全最佳实践

本主题包含 Amazon IoT SiteWise 的安全最佳实践。

在 OPC-UA 服务器上使用身份验证凭证

连接到您的 OPC-UA 服务器需要身份验证凭证。要执行此操作,请参考适用于您的服务器的文档。然后,要允许网关连接到 OPC-UA 服务器,请向网关添加服务器身份验证密钥。有关更多信息,请参阅配置源身份验证

为 OPC-UA 服务器使用加密通信模式

在为网关配置 OPC-UA 源时,请选择不推荐使用的加密消息安全模式。当您的工业数据从 OPC-UA 服务器传输到网关时,这有助于保护这些数据。有关更多信息,请参阅 通过本地网络传输的数据配置数据源

将组件保持更新

如果您使用Amazon IoT SiteWise网关向服务摄取数据,则您有责任配置和维护网关的环境。该责任包括升级到网关系统软件、Amazon IoT Greengrass软件和连接器的最新版本。

注意

Amazon IoT SiteWiseEdge 连接器将密钥存储在您的文件系统上。这些机密控制谁可以查看您的网关中缓存的数据。强烈建议您为运行网关的系统开启磁盘或文件系统加密。

加密网关的文件系统

加密并保护您的网关,确保工业数据在通过网关传输时的安全。如果您的网关有硬件安全模块,则可以配置 Amazon IoT Greengrass 以保护网关。有关更多信息,请参阅《Amazon IoT Greengrass Version 1开发人员指南》中的硬件安全集成。否则,请参阅适用于您的操作系统的文档,了解如何加密和保护文件系统。

安全访问您的边缘配置

不要共享您的 Edge 控制台应用程序密码或 Mon SiteWise itor 应用程序密码。不要将此密码放在任何人都能看到的地方。通过为密码配置适当的过期时间来实施健康的密码轮换策略。

向 SiteWise 监控器用户授予最低可能的权限

遵循最低权限原则,为门户用户使用一组最低访问策略权限。

  • 创建门户时,请定义一个角色,允许该门户所需的最小资源集。有关更多信息,请参阅为 Amazon IoT SiteWise Monitor 使用服务角色

  • 当您和门户管理员创建并共享项目时,请使用该项目所需的最小资源集。

  • 当某个身份不再需要访问门户或项目时,将其从该资源中删除。如果该身份不再适用于您的组织,请从您的身份存储中删除该身份。

最低原则最佳实践也适用于 IAM 角色。有关更多信息,请参阅策略最佳实践

不要暴露敏感信息

您应该禁止记录凭证和其他敏感信息,例如个人身份信息 (PII)。即使在网关上访问本地日志需要根权限,访问 CloudWatch 日志需要 IAM 权限,我们也建议您实施以下保护措施。

  • 请勿在资产或模型的名称、描述或属性中使用敏感信息。

  • 请勿在网关或源名称中使用敏感信息。

  • 请勿在门户、项目或控制面板的名称或描述中使用敏感信息。

遵守 Amazon IoT Greengrass 安全最佳实践

遵循网关的 Amazon IoT Greengrass 安全最佳实践。有关更多信息,请参阅《Amazon IoT Greengrass Version 1开发者指南》中的安全最佳实践

另请参阅