Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de sécurité pour AWS IoT SiteWise
Cette rubrique présente les meilleures pratiques de sécurité pour AWS IoT SiteWise.
Utilisez les informations d'authentification sur vos serveurs OPC UA
Exigez des informations d'authentification pour vous connecter à vos serveurs OPC UA. Consultez la documentation de vos serveurs pour le faire. Ensuite, pour permettre à votre passerelle SiteWise Edge de se connecter à vos serveurs OPC UA, ajoutez des secrets d'authentification du serveur à votre passerelle SiteWise Edge. Pour de plus amples informations, veuillez consulter Configuration de l'authentification à la source.
Utilisez des modes de communication cryptés pour vos serveurs OPC UA
Choisissez un mode de sécurité des messages chiffrés et non obsolète lorsque vous configurez vos sources OPC UA pour votre SiteWise passerelle Edge. Cela permet de sécuriser vos données industrielles lorsqu'elles sont transférées de vos serveurs OPC UA vers la passerelle SiteWise Edge. Pour plus d’informations, consultez Données en transit sur le réseau local et OPCSources de données UA.
Maintenez vos composants à jour
Si vous utilisez des passerelles SiteWise Edge pour ingérer des données vers le service, il est de votre responsabilité de configurer et de gérer l'environnement de votre passerelle SiteWise Edge. Cette responsabilité inclut la mise à niveau vers les dernières versions du logiciel système, AWS IoT Greengrass des logiciels et des connecteurs de la passerelle.
Note
Le connecteur AWS IoT SiteWise Edge stocke les secrets sur votre système de fichiers. Ces secrets contrôlent qui peut consulter les données mises en cache dans votre passerelle SiteWise Edge. Il est vivement recommandé d'activer le chiffrement du disque ou du système de fichiers pour le système exécutant votre passerelle SiteWise Edge.
Chiffrez le système de fichiers de votre passerelle SiteWise Edge
Chiffrez et sécurisez votre passerelle SiteWise Edge afin que vos données industrielles soient sécurisées lorsqu'elles passent par la passerelle SiteWise Edge. Si votre passerelle SiteWise Edge possède un module de sécurité matériel, vous pouvez le configurer AWS IoT Greengrass pour sécuriser votre passerelle SiteWise Edge. Pour plus d'informations, consultez la section Intégration de la sécurité matérielle dans le Guide du AWS IoT Greengrass Version 1 développeur. Sinon, consultez la documentation de votre système d'exploitation pour savoir comment chiffrer et sécuriser votre système de fichiers.
Accès sécurisé à votre configuration Edge
Ne partagez pas le mot de passe de l'application Edge Console ou celui de l'application SiteWise Monitor. Ne mettez pas ce mot de passe dans un endroit où tout le monde peut le voir. Mettez en œuvre une politique saine de rotation des mots de passe en configurant une date d'expiration appropriée pour votre mot de passe.
Sécurisation des données sur Siemens Industrial Edge Management
Les données de l'appareil que vous choisissez de partager avec AWS IoT SiteWise Edge sont définies dans vos rubriques Siemens
IEM Databus de configuration. En sélectionnant des sujets à partager avec SiteWise Edge, vous partagez des données thématiques avec. AWS IoT SiteWiseSiemens Industrial Edge MarketplaceIl s'agit d'un marché indépendant, distinct de AWS. Pour protéger vos données partagées, l'application SiteWise Edge ne s'exécutera que si vous l'utilisezSiemens Secured Storage. Pour plus d'informations, consultez la section Stockage sécurisé
Accorder aux utilisateurs de SiteWise Monitor les autorisations minimales possibles
Respectez le principe du moindre privilège en utilisant l'ensemble minimal d'autorisations de politique d'accès pour les utilisateurs de votre portail.
-
Lorsque vous créez un portail, définissez un rôle qui autorise l'ensemble minimal d'actifs requis pour ce portail. Pour de plus amples informations, veuillez consulter Utiliser les rôles de service pour AWS IoT SiteWise Monitor.
-
Lorsque vous et les administrateurs de votre portail créez et partagez des projets, utilisez l'ensemble minimal d'actifs requis pour ce projet.
-
Lorsqu'une identité n'a plus besoin d'accéder à un portail ou à un projet, supprimez-la de cette ressource. Si cette identité n'est plus applicable à votre organisation, supprimez-la de votre banque d'identités.
La meilleure pratique fondée sur le moindre principe s'applique également aux IAM rôles. Pour de plus amples informations, veuillez consulter Bonnes pratiques en matière de politiques.
Ne pas exposer d'informations sensibles
Vous devez empêcher l'enregistrement des informations d'identification et autres informations sensibles, telles que les informations personnelles identifiables (PII). Nous vous recommandons de mettre en œuvre les mesures de protection suivantes, même si l'accès aux journaux locaux sur une passerelle SiteWise Edge nécessite des privilèges root et que l'accès aux CloudWatch journaux nécessite IAM des autorisations.
-
N'utilisez pas d'informations sensibles dans les noms, descriptions ou propriétés de vos ressources ou modèles.
-
N'utilisez pas d'informations sensibles dans les noms de source ou de passerelle SiteWise Edge.
-
N'utilisez pas d'informations sensibles dans les noms ou descriptions de vos portails, projets ou tableaux de bord.
Suivez les meilleures pratiques en matière de AWS IoT Greengrass sécurité
Suivez les meilleures pratiques de AWS IoT Greengrass sécurité pour votre passerelle SiteWise Edge. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité dans le guide du AWS IoT Greengrass Version 1 développeur.
Consultez aussi
-
Bonnes pratiques en matière de sécurité décrites dans le guide du AWS IoT développeur
-
Dix règles d'or en matière de sécurité pour les solutions IoT industrielles
