本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
以下方面的安全最佳实践 AWS IoT SiteWise
本主题包含的安全最佳实践 AWS IoT SiteWise。
在 OPC UA 服务器上使用身份验证凭证
需要身份验证凭据才能连接到 OPC UA 服务器。要执行此操作,请参考适用于您的服务器的文档。然后,要允许您的 SiteWise Edge 网关连接到 OPC UA 服务器,请向 SiteWise Edge 网关添加服务器身份验证密钥。有关更多信息,请参阅 配置源认证。
为 OPC UA 服务器使用加密通信模式
在为 E SiteWise dge 网关配置 OPC UA 源时,请选择未弃用的加密消息安全模式。这有助于在工业数据从 OPC UA 服务器转移到 SiteWise Edge 网关时对其进行保护。有关更多信息,请参阅通过本地网络传输的数据 和OPCUA 数据源。
保持组件更新
如果您使用 SiteWise Edge 网关向服务采集数据,则您有责任配置和维护 SiteWise Edge 网关的环境。此责任包括升级到网关的系统软件、 AWS IoT Greengrass 软件和连接器的最新版本。
注意
AWS IoT SiteWise Edge 连接器在您的文件系统上存储机密。这些密钥控制谁可以查看您的 SiteWise Edge 网关中缓存的数据。强烈建议您为运行 E SiteWise dge 网关的系统开启磁盘或文件系统加密。
加密您的 SiteWise Edge 网关的文件系统
加密和保护您的 SiteWise Edge 网关,因此您的工业数据在通过 SiteWise Edge 网关时是安全的。如果您的 SiteWise Edge 网关具有硬件安全模块,则可以进行配置 AWS IoT Greengrass 以保护您的 SiteWise Edge 网关。有关更多信息,请参阅 AWS IoT Greengrass Version 1 开发人员指南中的硬件安全性集成。否则,请参阅适用于您的操作系统的文档,了解如何加密和保护文件系统。
安全访问您的边缘配置
不要共享您的 Edge 控制台应用程序密码或 Mon SiteWise itor 应用程序密码。请勿将此密码放在任何人都能看到的地方。为密码配置适当的过期时间,实施健康的密码轮换策略。
保护数据安全 Siemens Industrial Edge Management
您选择与 AWS IoT SiteWise Edge 共享的设备数据将在您的Siemens
IEM Databus配置主题中确定。通过选择要与 SiteWise Edge 共享的主题,您就是在与之共享主题级数据。 AWS IoT SiteWiseSiemens Industrial Edge Marketplace是一个独立的市场,与 AWS。为了保护您的共享数据,除非您使用 SiteWise Edge 应用程序,否则不会运行Siemens Secured Storage。有关更多信息,请参阅Siemens文档中的安全存储
向 SiteWise 监控器用户授予可能的最低权限
通过对门户用户使用最小访问策略权限集,遵循最低权限原则。
-
创建门户时,请定义一个角色,允许该门户所需的最小资源集。有关更多信息,请参阅 将服务角色用于 AWS IoT SiteWise Monitor。
-
当您和门户管理员创建并共享项目时,请使用该项目所需的最小资源集。
-
当身份不再需要访问门户或项目时,请将其从该资源中删除。如果该身份不再适用于您的组织,请从您的身份存储中删除该身份。
最基本的最佳实践也适用于IAM角色。有关更多信息,请参阅 策略最佳实践。
不要暴露敏感信息
您应防止记录凭证和其他敏感信息,例如个人身份信息 (PII)。尽管访问 SiteWise Edge 网关上的本地日志需要 root 权限且访问 CloudWatch 日志需要IAM权限,但我们仍建议您实施以下安全措施。
-
请勿在资产或模型的名称、描述或属性中使用敏感信息。
-
请勿在 SiteWise Edge 网关或源名称中使用敏感信息。
-
请勿在门户、项目或控制面板的名称或描述中使用敏感信息。
遵循 AWS IoT Greengrass 安全最佳实践
遵循 SiteWise Edge 网关 AWS IoT Greengrass 的安全最佳实践。有关更多信息,请参阅AWS IoT Greengrass Version 1 开发人员指南中的安全最佳实践。
另请参阅
-
AWS IoT 开发人员指南中的安全最佳实践
