Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows IoT-Betriebssystemunterstützung
Edge Secured-Core erfordert eine Version von Windows IoT, für die zum Zeitpunkt der Zertifizierung noch mindestens fünf Jahre Support von Microsoft im Supportlebenszyklus bestehen, z. B.:
- Windows 10 IoT Enterprise LTSC 2021-Lebenszyklus
- Windows 11 IoT Enterprise-Lebenszyklus
- Windows 11 IoT Enterprise LTSC 2024
Windows IoT-Hardware-/Firmwareanforderungen
Hinweis
Folgendes muss von der Hardware unterstützt und auf ihr aktiviert sein:
- Intel- oder AMD-Virtualisierungserweiterungen
- Trusted Platform Module (TPM) 2.0
- Für Intel-Systeme: Intel Virtualization Technology für Directed I/O (VT-d), Intel Trusted Execution Technology (TXT) und SINIT ACM-Treiberpaket müssen im Windows-Systemimage (für DRTM) enthalten sein
- Für AMD-Systeme: AMD IOMMU- und AMD-V-Virtualisierung und SKINIT-Paket müssen in das Windows-Systemimage (für DRTM) integriert sein.
- Kernel-DMA-Schutz (Direct Memory Access, direkter Speicherzugriff; auch als Speicherzugriffsschutz bezeichnet)
| Name | SecuredCore.Hardware.Identity |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Geräteidentität muss auf Hardware basieren. |
| Zweck | Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit. |
| Abhängigkeiten | Trusted Platform Module (TPM) v2.0-Gerät |
| Name | SecuredCore.Hardware.MemoryProtection |
|---|---|
| Status | Erforderlich |
| Beschreibung | Alle extern zugänglichen Ports, die für direkten Speicherzugriff (DMA) aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden. |
| Zweck | Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen. |
| Abhängigkeiten | Aktivierte und entsprechend konfigurierte Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (IOMMU) oder Systemspeicher-Verwaltungseinheit (SMMU) |
| Name | SecuredCore.Firmware.Protection |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Startsequenz des Geräts muss neben Risikominderungsmaßnahmen des UEFI-Verwaltungsmodus (Unified Extensible Firmware Interface) den dynamischen Vertrauensanker für Messungen (Dynamic Root of Trust for Measurement, DRTM) unterstützen. |
| Zweck | Schützt vor Schwachstellen in der Firmware, nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen. |
| Abhängigkeiten | DRTM + UEFI |
| Ressourcen |
| Name | SecuredCore.Firmware.SecureBoot |
|---|---|
| Status | Erforderlich |
| Beschreibung | „UEFI Secure Boot“ muss aktiviert sein. |
| Zweck | Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten. |
| Abhängigkeiten | UEFI |
| Name | SecuredCore.Firmware.Attestation |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für den Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein. |
| Zweck | Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen. |
| Abhängigkeiten | Microsoft Azure Attestation-Dienst |
| Ressourcen | Microsoft Azure Attestation |
Windows IoT-Konfigurationsanforderungen
| Name | SecuredCore.Encryption.Storage |
|---|---|
| Status | Erforderlich |
| Beschreibung | Vertrauliche und private Daten müssen im Ruhezustand mit BitLocker oder einem ähnlichen Feature mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz verschlüsselt werden. |
| Zweck | Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software. |
| Name | SecuredCore.Encryption.TLS |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und die folgenden Sammlungen von TLS-Verschlüsselungsverfahren müssen verfügbar und aktiviert sein:
|
| Zweck | Stellt sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können. |
| Abhängigkeiten | Windows 10 IoT Enterprise Version 1903 oder höher. Hinweis: Andere Anforderungen erfordern möglicherweise höhere Versionen für andere Dienste. |
| Ressourcen | Sammlungen von TLS-Verschlüsselungsverfahren in Windows |
| Name | SecuredCore.Protection.CodeIntegrity |
|---|---|
| Status | Erforderlich |
| Beschreibung | Für das Betriebssystem müssen virtualisierungsbasierte Codeintegritätsfeatures aktiviert sein: Virtualization-Based Security (VBS) und Hypervisor-Protected Code Integrity (HVCI). |
| Zweck | Schützt vor geändertem/schädlichem Code aus dem Kernel, indem sichergestellt wird, dass nur Code mit überprüfbarer Integrität ausgeführt werden kann. |
| Abhängigkeiten | VBS und HVCI sind auf dem Gerät aktiviert. |
| Ressourcen | Aktivierung von Hypervisor-geschützter Codeintegrität |
| Name | SecuredCore.Protection.NetworkServices |
|---|---|
| Status | Erforderlich |
| Beschreibung | Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden. Für sicherheitsbezogene Dienste können Ausnahmen gelten. |
| Zweck | Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten. |
Windows IoT-Software/-Dienstanforderungen
| Name | SecuredCore.Built-in.Security |
|---|---|
| Status | Erforderlich |
| Beschreibung | Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung wie Microsoft Defender for Endpoint zu senden. |
| Zweck | Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen. |
| Ressourcen | Defender für Endpunkt |
| Name | SecuredCore.Protection.Baselines |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden. |
| Zweck | Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen. |
| Ressourcen | Microsoft-Sicherheitsbaselines Liste der Center for Internet Security (CIS)-Benchmarks |
| Name | SecuredCore.Protection.UpdateResiliency |
|---|---|
| Status | Erforderlich |
| Beschreibung | Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht. |
| Zweck | Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können. |
Windows IoT-Richtlinienanforderungen
| Name | SecuredCore.Policy.Protection.Debug |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern. |
| Zweck | Stellt sicher, dass Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können. |
| Name | SecuredCore.Policy.Manageability.Reset |
|---|---|
| Status | Erforderlich |
| Beschreibung | Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen). |
| Zweck | Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen. |
| Name | SecuredCore.Policy.Updates.Duration |
|---|---|
| Status | Erforderlich |
| Beschreibung | Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden. |
| Zweck | Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher. |
| Name | SecuredCore.Policy.Vuln.Disclosure |
|---|---|
| Status | Erforderlich |
| Beschreibung | Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein. |
| Zweck | Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen. |
| Ressourcen | Microsoft Security Response Center (MSRC)-Portal |
| Name | SecuredCore.Policy.Vuln.Fixes |
|---|---|
| Status | Erforderlich |
| Beschreibung | Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden. |
| Zweck | Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden. |
Linux-Betriebssystemunterstützung
Hinweis
Linux wird noch nicht unterstützt. Im Folgenden sind die erwarteten Anforderungen aufgeführt. Füllen Sie dieses Formular aus, wenn Sie ein Linux-Gerät zertifizieren möchten.
Linux-Hardware-/Firmwareanforderungen
| Name | SecuredCore.Hardware.Identity |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Geräteidentität muss auf Hardware basieren. |
| Zweck | Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit. |
| Abhängigkeiten | Trusted Platform Module (TPM) v2.0 oder *eine andere unterstützte Methode |
| Name | SecuredCore.Hardware.MemoryProtection |
|---|---|
| Status | Erforderlich |
| Beschreibung | Alle extern zugänglichen Ports, die für DMA aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden. |
| Zweck | Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen. |
| Abhängigkeiten | Aktivierte und entsprechend konfigurierte Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (IOMMU) oder Systemspeicher-Verwaltungseinheit (SMMU) |
| Name | SecuredCore.Firmware.Protection |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Startsequenz des Geräts muss eine der folgenden Optionen unterstützen:
|
| Zweck | Schützt vor Schwachstellen in der Firmware, nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen. |
| Ressourcen | Vertrauenswürdige Computergruppe |
| Name | SecuredCore.Firmware.SecureBoot |
|---|---|
| Status | Erforderlich |
| Beschreibung | Entweder:
|
| Zweck | Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten. |
| Name | SecuredCore.Firmware.Attestation |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für den Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein. |
| Zweck | Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen. |
| Abhängigkeiten | Trusted Platform Module (TPM) 2.0 oder *unterstützte OP-TEE-basierte Anwendung, die mit einem Hardwarevertrauensanker (Hardware Root-of-Trust, HWRoT) verkettet ist (Secure Element oder Secure Enclave) |
| Ressourcen | Microsoft Azure Attestation |
| Name | SecuredCore.Hardware.SecureEnclave |
|---|---|
| Status | Optional |
| Beschreibung | Das Gerät muss über eine Secure Enclave verfügen, die Sicherheitsfunktionen ausführen kann. |
| Zweck | Stellt sicher, dass vertrauliche kryptografische Vorgänge (die Vorgänge, die grundlegend für die Geräteidentität und die Vertrauenskette sind) isoliert und vor dem primären Betriebssystem und einigen Formen von Seitenkanalangriffen geschützt sind. |
Linux-Konfigurationsanforderungen
| Name | SecuredCore.Encryption.Storage |
|---|---|
| Status | Erforderlich |
| Beschreibung | Vertrauliche und private Daten müssen im Ruhezustand mit „dm-crypt“ oder einem ähnlichen Feature verschlüsselt werden, das XTX-AES als Standardalgorithmus mit einer Schlüssellänge von mindestens 128 Bits mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz unterstützt. |
| Zweck | Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software. |
| Name | SecuredCore.Encryption.TLS |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und die folgenden Sammlungen von TLS-Verschlüsselungsverfahren müssen verfügbar und aktiviert sein:
|
| Zweck | Stellen Sie sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können. |
| Name | SecuredCore.Protection.CodeIntegrity |
|---|---|
| Status | Erforderlich |
| Beschreibung | Für das Betriebssystem müssen „dm-verity“ und IMA-Codeintegritätsfeatures (Integrity Measurement Architecture, IMA) aktiviert sein, und Code muss mit den geringsten Rechten ausgeführt werden. |
| Zweck | Schützt vor geändertem/schädlichem Code, indem sichergestellt wird, dass nur Code mit überprüfbarer Integrität ausgeführt werden kann. |
| Name | SecuredCore.Protection.NetworkServices |
|---|---|
| Status | Erforderlich |
| Beschreibung | Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden (z. B. SYSTEM oder „root“). Für sicherheitsbezogene Dienste können Ausnahmen gelten. |
| Zweck | Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten. |
Linux-Software/-Dienstanforderungen
| Name | SecuredCore.Built-in.Security |
|---|---|
| Status | Erforderlich |
| Beschreibung | Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung wie Microsoft Defender for Endpoint zu senden. |
| Zweck | Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen. |
| Ressourcen | Defender für Endpunkt |
| Name | SecuredCore.Manageability.Configuration |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das Gerät muss die Überwachung und Festlegung der Systemkonfiguration (und bestimmte Verwaltungsaktionen wie Neustart) über Azure unterstützen. Hinweis: Die Verwendung anderer Systemverwaltungstoolketten (z. B. Ansible) durch Operatoren ist nicht verboten, das Gerät muss jedoch den azure-osconfig-Agent für die Azure-Verwaltung enthalten. |
| Zweck | Ermöglicht die Anwendung von Sicherheitsbaselines als Teil eines standardmäßig sicheren Konfigurationsstatus, wodurch das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen verringert wird. |
| Abhängigkeit | azure-osconfig |
| Name | SecuredCore.Update |
|---|---|
| Status | Audit |
| Beschreibung | Das Gerät muss in der Lage sein, Updates zu empfangen und seine Firmware und Software über Azure Device Update oder andere genehmigte Dienste zu aktualisieren. |
| Zweck | Ermöglicht kontinuierliche Sicherheit und erneuerbare Vertrauensstellungen. |
| Name | SecuredCore.UpdateResiliency |
|---|---|
| Status | Erforderlich |
| Beschreibung | Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht. |
| Zweck | Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können. |
| Name | SecuredCore.Protection.Baselines |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden. |
| Zweck | Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen. |
| Ressourcen |
| Name | SecuredCore.Protection.SignedUpdates |
|---|---|
| Status | Erforderlich |
| Beschreibung | Updates für das Betriebssystem, Treiber, Anwendungssoftware, Bibliotheken, Pakete und Firmware müssen signiert sein. |
| Zweck | Verhindert die Installation von nicht autorisiertem oder schädlichem Code während des Updateprozesses. |
Linux-Richtlinienanforderungen
| Name | SecuredCore.Policy.Protection.Debug |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern. |
| Zweck | Stellt sicher, dass Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können. |
| Name | SecuredCore.Policy.Manageability.Reset |
|---|---|
| Status | Erforderlich |
| Beschreibung | Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen). |
| Zweck | Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen. |
| Name | SecuredCore.Policy.Updates.Duration |
|---|---|
| Status | Erforderlich |
| Beschreibung | Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden. |
| Zweck | Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher. |
| Name | SecuredCore.Policy.Vuln.Disclosure |
|---|---|
| Status | Erforderlich |
| Beschreibung | Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein. |
| Zweck | Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen. |
| Name | SecuredCore.Policy.Vuln.Fixes |
|---|---|
| Status | Erforderlich |
| Beschreibung | Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden. |
| Zweck | Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden. |
Unterstützung der Azure Sphere-Plattform
MediaTek MT3620AN muss in Ihrem Entwurf enthalten sein. Weitere Anleitungen zum Erstellen gesicherter Azure Sphere-Anwendungen finden Sie in den Anwendungshinweisen zu Azure Sphere.
Azure Sphere: Hardware-/Firmwareanforderungen
| Name | SecuredCore.Hardware.Identity |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Geräteidentität muss auf Hardware basieren. |
| Zweck | Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung, da MT3620 den integrierten Pluton-Sicherheitsprozessor enthält. |
| Name | SecuredCore.Hardware.MemoryProtection |
|---|---|
| Status | Erforderlich |
| Beschreibung | Alle extern zugänglichen Ports, die für DMA aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden. |
| Zweck | Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch eine sicher konfigurierbare Peripheriefirewall. |
| Name | SecuredCore.Firmware.Protection |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Gerätestartsequenz muss Schutz vor Sicherheitsbedrohungen durch Firmware bieten. |
| Zweck | Schützt vor Schwachstellen in der Firmware, persistentem nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete, gehärtete und authentifizierte Startkette. |
| Name | SecuredCore.Firmware.SecureBoot |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Startsequenz des Geräts muss authentifiziert sein. |
| Zweck | Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete authentifizierte Startkette. |
| Name | SecuredCore.Firmware.Attestation |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für einen Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein. |
| Zweck | Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung über den Geräteauthentifizierungs- und -nachweisdienst (Device Authentication and Attestation, DAA), der als Teil des Azure Sphere-Sicherheitsdiensts (Azure Sphere Security Service, AS3) bereitgestellt wird. |
| Name | SecuredCore.Hardware.SecureEnclave |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das Gerät muss über eine Secure Enclave verfügen, die Sicherheitsfunktionen ausführen kann. |
| Zweck | Stellt sicher, dass vertrauliche kryptografische Vorgänge (die Vorgänge, die grundlegend für die Geräteidentität und die Vertrauenskette sind) isoliert und vor dem primären Betriebssystem und einigen Formen von Seitenkanalangriffen geschützt sind. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung, da MT3260 den Pluton-Sicherheitsprozessor enthält. |
Azure Sphere: Anforderungen an die Betriebssystemkonfiguration
| Name | SecuredCore.Encryption.Storage |
|---|---|
| Status | Erforderlich |
| Beschreibung | Vertrauliche und private Daten müssen im Ruhezustand mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz verschlüsselt werden. |
| Zweck | Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung mit dem Pluton-Sicherheitsprozessor, dem im Paket enthaltenen nicht flüchtigen Speicher und den für Kunden verfügbar gemachten wolfCrypt-APIs. |
| Name | SecuredCore.Encryption.TLS |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und Sammlungen sicherer TLS-Verschlüsselungsverfahren müssen verfügbar sein. |
| Zweck | Stellt sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete wolfSSL-Bibliothek, die nur Sammlungen sicherer TLS-Verschlüsselungsverfahren verwendet, die von DAA-Zertifikaten unterstützt werden. |
| Name | SecuredCore.Protection.CodeIntegrity |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das Betriebssystem muss die Codeintegrität unterstützen, und Code muss mit den geringsten Rechten ausgeführt werden. |
| Zweck | Schützt vor geändertem/schädlichem Code, indem sichergestellt wird, dass nur Code mit überprüfbarer Integrität ausgeführt werden kann. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch das von Microsoft verwaltete und gehärtete Betriebssystem mit einem schreibgeschützten Dateisystem, das in nicht flüchtigem Speicher im Paket gespeichert ist und mit eingeschränkten Workloads mit den geringsten Rechten in On-Die-RAM ausgeführt wird. |
| Name | SecuredCore.Protection.NetworkServices |
|---|---|
| Status | Erforderlich |
| Beschreibung | Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden (z. B. SYSTEM oder „root“). Für sicherheitsbezogene Dienste können Ausnahmen gelten. |
| Zweck | Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch eingeschränkte Workloads, die mit den geringsten Rechten ausgeführt werden. |
| Name | SecuredCore.Protection.NetworkFirewall |
|---|---|
| Status | Erforderlich |
| Beschreibung | Anwendungen können keine Verbindung mit Endpunkten herstellen, die nicht autorisiert wurden. |
| Zweck | Beschränkt die Ausnutzbarkeit von kompromittierten oder schädlichen Anwendungen für Upstream-Netzwerkdatenverkehr und Remotezugriff/-steuerung. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch eine sicher konfigurierbare Netzwerkfirewall und DAA-Zertifikate. |
Azure Sphere: Anforderungen an Software/Dienste
| Name | SecuredCore.Built-in.Security |
|---|---|
| Status | Erforderlich |
| Beschreibung | Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung zu senden. |
| Zweck | Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch die Integration von Telemetriedaten des Azure Sphere-Sicherheitsdiensts (AS3) in Azure Monitor und die Möglichkeit, Sicherheitsprotokolle und Warnungen über Azure-Dienste zu senden. |
| Ressourcen | Erfassen und Interpretieren von Fehlerdaten: Azure Sphere Konfigurieren von Absturzabbildern: Azure Sphere |
| Name | SecuredCore.Manageability.Configuration |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das Gerät muss die Überwachung und Festlegung der Systemkonfiguration (und bestimmte Verwaltungsaktionen) über Azure unterstützen. |
| Zweck | Ermöglicht die Anwendung von Sicherheitsbaselines als Teil eines standardmäßig sicheren Konfigurationsstatus, wodurch das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen verringert wird. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch sichere Konfigurationsmanifeste für Kundenanwendungen, die von einem von Microsoft verwalteten und gehärteten Betriebssystem unterstützt werden. |
| Name | SecuredCore.Update |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das Gerät muss in der Lage sein, Updates zu empfangen und seine Firmware und Software zu aktualisieren. |
| Zweck | Ermöglicht kontinuierliche Sicherheit und erneuerbare Vertrauensstellungen. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch ein von Microsoft verwaltetes und automatisch aktualisiertes Betriebssystem, wobei Updates für Kundenanwendungen remote über den Azure Sphere-Sicherheitsdienst (AS3) bereitgestellt werden. |
| Name | SecuredCore.Protection.Baselines |
|---|---|
| Status | Erforderlich |
| Beschreibung | Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden. |
| Zweck | Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch ein von Microsoft verwaltetes und gehärtetes Betriebssystem. |
| Name | SecuredCore.Protection.UpdateResiliency |
|---|---|
| Status | Erforderlich |
| Beschreibung | Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht. |
| Zweck | Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung durch einen integrierten Rollbackmechanismus für Updates. |
| Name | SecuredCore.Protection.SignedUpdates |
|---|---|
| Status | Erforderlich |
| Beschreibung | Updates für das Betriebssystem, Treiber, Anwendungssoftware, Bibliotheken, Pakete und Firmware müssen signiert sein. |
| Zweck | Verhindert die Installation von nicht autorisiertem oder schädlichem Code während des Updateprozesses. |
| Abhängigkeiten | Azure Sphere erfüllt diese Anforderung. |
Azure Sphere: Richtlinienanforderungen
| Name | SecuredCore.Policy.Protection.Debug |
|---|---|
| Status | Erforderlich |
| Beschreibung | Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern. |
| Zweck | Stellt sicher, dass die Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können. |
| Abhängigkeiten | Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da die Debugfunktion eine signierte Funktion erfordert, die nur für den Besitzer des OEM-Geräts (Original Equipment Manufacturer) bereitgestellt wird. |
| Name | SecuredCore.Policy.Manageability.Reset |
|---|---|
| Status | Erforderlich |
| Beschreibung | Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen). |
| Zweck | Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen. |
| Abhängigkeiten | Das Azure Sphere-Betriebssystem ermöglicht OEM-Anwendungen die Implementierung einer Funktion zum Zurücksetzen. |
| Name | SecuredCore.Policy.Updates.Duration |
|---|---|
| Status | Erforderlich |
| Beschreibung | Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden. |
| Zweck | Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher. |
| Abhängigkeiten | Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da Microsoft Sicherheitsupdates für das Betriebssystem bereitstellt und der AS3-Dienst es OEMs ermöglicht, Anwendungssoftwareupdates bereitzustellen. |
| Name | SecuredCore.Policy.Vuln.Disclosure |
|---|---|
| Status | Erforderlich |
| Beschreibung | Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein. |
| Zweck | Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen. |
| Abhängigkeiten | Sicherheitsrisiken im Azure Sphere-Betriebssystem können dem Microsoft Security Response Center (MSRC) gemeldet werden und werden über die Azure Sphere-Seite „Neuigkeiten“ sowie die CVE-Datenbank (Common Vulnerabilities and Exposures, allgemeine Sicherheitsrisiken und Schwachstellen) von Mitre veröffentlicht. |
| Ressourcen |
| Name | SecuredCore.Policy.Vuln.Fixes |
|---|---|
| Status | Erforderlich |
| Beschreibung | Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden. |
| Zweck | Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden. |
| Abhängigkeiten | Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da Microsoft Sicherheitsupdates für das Betriebssystem bereitstellt, die den obigen Anforderungen entsprechen. Der AS3-Dienst ermöglicht es OEMs, Anwendungssoftwareupdates bereitzustellen, die diese Anforderung erfüllen. |