Menedżer zabezpieczeń usługi Azure IoT Edge

Dotyczy: IoT Edge 1.1

Menedżer zabezpieczeń usługi Azure IoT Edge jest dobrze zdefiniowanym rdzeniem zabezpieczeń do ochrony urządzenia IoT Edge i wszystkich jego składników, poprzez abstrakcję sprzętu krzemowego zabezpieczającego. Menedżer zabezpieczeń jest centralnym punktem wzmacniania zabezpieczeń i zapewnia punkt integracji technologii producentom oryginalnego sprzętu (OEM).

Menedżer zabezpieczeń upraszcza obsługę zabezpieczeń sprzętu krzemowego na urządzeniu IoT Edge.

Menedżer zabezpieczeń usługi IoT Edge ma na celu obronę integralności urządzenia usługi IoT Edge i wszystkich nieodłącznych operacji oprogramowania. Menedżer zabezpieczeń przenosi zaufanie z bazowego sprzętowego źródła zaufania (jeśli jest dostępne), aby uruchomić środowisko wykonawcze IoT Edge oraz monitorować bieżące operacje. pl-PL: Menedżer zabezpieczeń usługi IoT Edge jest oprogramowaniem współpracującym z bezpiecznym sprzętem krzemowym (tam, gdzie jest dostępny), aby dostarczać najwyższe możliwe gwarancje bezpieczeństwa.

Obowiązki menedżera zabezpieczeń usługi IoT Edge obejmują, ale nie są ograniczone do następujących elementów:

• Inicjalizacja urządzenia Azure IoT Edge.
• Kontroluj dostęp do sprzętowego rdzenia zaufania urządzenia za pośrednictwem usług notarialnych.
• Monitorowanie integralności operacji usługi IoT Edge w czasie wykonywania.
• Odbiera delegowanie zaufania z sprzętowego modułu zabezpieczeń (HSM)
• Ustanów tożsamość urządzenia i zarządzaj przenoszeniem zaufania, jeśli jest to stosowne.
• Hostowanie i ochrona składników urządzeń usług w chmurze, takich jak Device Provisioning Service.
• Wyposażaj moduły IoT Edge w unikatowe tożsamości.

Menedżer zabezpieczeń usługi IoT Edge składa się z trzech składników:

• Demon bezpieczeństwa IoT Edge
• Warstwa abstrakcji platformy sprzętowego modułu zabezpieczeń (HSM PAL)
• Krzemowe źródło sprzętowego zaufania lub moduł HSM (opcjonalne, ale zdecydowanie zalecane)

Demon bezpieczeństwa IoT Edge

Demon zabezpieczeń usługi IoT Edge jest odpowiedzialny za logiczne operacje zabezpieczeń menedżera zabezpieczeń. Reprezentuje znaczną część zaufanej bazy obliczeniowej urządzenia IoT Edge.

Zasady projektowania

Usługa IoT Edge jest zgodna z dwiema podstawowymi zasadami: maksymalizowanie integralności operacyjnej i minimalizowanie rozrostu oraz rotacji.

Maksymalizowanie integralności operacyjnej

Demon zabezpieczeń usługi IoT Edge działa z najwyższą integralnością możliwą w ramach możliwości obrony dowolnego głównego sprzętu zaufania. Dzięki odpowiedniej integracji sprzętowe źródło zaufania mierzy i monitoruje demona zabezpieczeń zarówno statycznie, jak i podczas działania, aby zapobiec manipulacjom. Złośliwy fizyczny dostęp do urządzeń jest zawsze zagrożeniem w usłudze IoT. Sprzętowa zasada zaufania odgrywa ważną rolę w obronie integralności urządzenia IoT Edge. Sprzętowe korzenie zaufania występują w dwóch odmianach:

• Zabezpieczanie elementów ochrony poufnych informacji, takich jak wpisy tajne i klucze kryptograficzne.
• Bezpieczne enklawy do ochrony tajemnic, takich jak klucze, oraz wrażliwych obciążeń roboczych, takich jak poufne modele uczenia maszynowego i operacje monitorowania.

Istnieją dwa rodzaje środowisk wykonawczych służących do używania sprzętowego korzenia zaufania:

• Standardowe lub bogate środowisko wykonawcze (REE), które opiera się na użyciu bezpiecznych elementów do ochrony poufnych informacji.
• Zaufane środowisko wykonawcze (TEE), które opiera się na użyciu bezpiecznej technologii enklawy w celu ochrony poufnych informacji oraz zabezpieczenia wykonywania oprogramowania.

W przypadku urządzeń korzystających z bezpiecznych enklaw jako sprzętowego korzenia zaufania, poufna logika w demonie zabezpieczeń IoT Edge powinna znajdować się wewnątrz enklawy. Niewrażliwe części demona zabezpieczeń mogą znajdować się poza TEE. We wszystkich przypadkach zdecydowanie zalecamy, aby producenci oryginalnego projektu (ODM) i producenci oryginalnego sprzętu (OEM) rozciągali swoje zaufanie ze swojego modułu HSM w celu mierzenia i obrony integralności demona zabezpieczeń IoT Edge podczas rozruchu i w czasie działania.

Minimalizuj nadmiar i zmiany

Kolejną podstawową zasadą demona zabezpieczeń IoT Edge jest zminimalizowanie fluktuacji. W przypadku najwyższego poziomu zaufania demon zabezpieczeń usługi IoT Edge może blisko współpracować ze sprzętowym rdzeniem zaufania urządzenia i działać jako kod natywny. W takich przypadkach często aktualizuje się oprogramowanie IoT Edge poprzez bezpieczne ścieżki aktualizacji sprzętowego źródła zaufania, zamiast mechanizmów aktualizacji systemu operacyjnego, co może być trudne. Odnawianie zabezpieczeń jest zalecane w przypadku urządzeń IoT, ale nadmierne wymagania dotyczące aktualizacji lub duże ładunki aktualizacji mogą rozszerzać obszar zagrożenia na wiele sposobów. Na przykład możesz pominąć niektóre aktualizacje, aby zmaksymalizować dostępność urządzeń. W związku z tym projekt demona zabezpieczeń usługi IoT Edge jest zwięzły, aby zachować dobrze odizolowaną zaufaną podstawę obliczeniową i zachęcić do częstych aktualizacji.

Architektura

Usługa zabezpieczeń IoT Edge korzysta z dostępnej technologii sprzętowego korzenia zaufania w celu wzmocnienia zabezpieczeń. Umożliwia również dzielenie operacji między standardowym/bogatym środowiskiem wykonywania (REE) i zaufanym środowiskiem wykonywania (TEE), gdy technologie sprzętowe oferują zaufane środowiska wykonawcze. Interfejsy specyficzne dla ról umożliwiają głównym składnikom usługi IoT Edge zapewnienie integralności urządzenia usługi IoT Edge i jego operacji.

Interfejs chmury

Interfejs chmury umożliwia dostęp do usług w chmurze, które uzupełniają zabezpieczenia urządzeń. Na przykład ten interfejs umożliwia dostęp do usługi Device Provisioning Service na potrzeby zarządzania cyklem życia tożsamości urządzeń.

Interfejs API do zarządzania

Interfejs API zarządzania jest wywoływany przez agenta usługi IoT Edge podczas tworzenia/uruchamiania/zatrzymywania/usuwania modułu usługi IoT Edge. Demon zabezpieczeń przechowuje "rejestracje" dla wszystkich aktywnych modułów. Te rejestracje mapują tożsamość modułu z niektórymi właściwościami modułu. Na przykład te właściwości modułu obejmują identyfikator procesu (pid) procesu uruchomionego w kontenerze i skrót zawartości kontenera platformy Docker.

Te właściwości są używane przez interfejs API obciążenia (opisany poniżej), aby sprawdzić, czy obiekt wywołujący jest autoryzowany do wykonania akcji.

Interfejs API zarządzania to uprzywilejowany interfejs API, który można wywołać tylko z agenta usługi IoT Edge. Ponieważ demon zabezpieczeń usługi IoT Edge rozpoczyna działanie agenta usługi IoT Edge, sprawdza, czy agent usługi IoT Edge nie został naruszony, a następnie może utworzyć domyślną rejestrację agenta usługi IoT Edge. Ten sam proces uwierzytelniania używany przez interfejs API obciążenia roboczego ogranicza również dostęp do interfejsu API zarządzania wyłącznie dla agenta IoT Edge.

API kontenera

Interfejs API kontenera współdziała z systemem kontenerów używanym do zarządzania modułami, takimi jak Moby lub Docker.

Interfejs API dla obciążenia

Interfejs API zarządzania obciążeniem jest dostępny dla wszystkich modułów. Zapewnia dowód tożsamości, w postaci tokenu podpisanego z użyciem modułu HSM lub certyfikatu X509, oraz odpowiedni pakiet zaufania dla modułu. Pakiet zaufania zawiera certyfikaty urzędu certyfikacji dla wszystkich pozostałych serwerów, którym moduły powinny ufać.

Demon zabezpieczeń usługi IoT Edge używa procesu uwierzytelniania do ochrony tego interfejsu API. Gdy moduł wywołuje ten interfejs API, demon zabezpieczeń próbuje znaleźć rejestrację tożsamości. Jeśli operacja zakończy się pomyślnie, użyje właściwości rejestracji do zmierzenia modułu. Jeśli wynik procesu pomiaru jest zgodny z rejestracją, zostanie wygenerowany nowy dowód tożsamości. Odpowiednie certyfikaty urzędu certyfikacji (pakiet zaufania) są zwracane do modułu. Moduł używa tego certyfikatu do nawiązywania połączenia z usługą IoT Hub, innymi modułami lub uruchamiania serwera. Gdy podpisany token lub certyfikat zbliża się do wygaśnięcia, moduł odpowiada za żądanie nowego certyfikatu.

Integracja i konserwacja

Firma Microsoft utrzymuje główną bazę kodu dla demona zabezpieczeń usługi IoT Edge w usłudze GitHub.

Instalacja i aktualizacje

Instalacja i aktualizacje demona zabezpieczeń usługi IoT Edge są zarządzane za pośrednictwem systemu zarządzania pakietami systemu operacyjnego. Urządzenia IoT Edge ze sprzętowym źródłem zaufania powinny zapewniać dodatkowe zabezpieczenie integralności demona poprzez zarządzanie jego cyklem życia za pośrednictwem systemów bezpiecznego rozruchu i zarządzania aktualizacjami. Twórcy urządzeń powinni eksplorować te możliwości na podstawie odpowiednich możliwości urządzenia.

Wersjonowanie

Środowisko uruchomieniowe usługi IoT Edge śledzi i raportuje wersję demona zabezpieczeń usługi IoT Edge. Wersja jest zgłaszana jako atrybut runtime.platform.version właściwości raportowanej modułu agenta usługi IoT Edge.

Sprzętowy moduł zabezpieczeń

Warstwa abstrakcji sprzętu platformy zabezpieczeń (HSM PAL) abstrakcjonuje wszystkie elementy sprzętu będące fundamentem zaufania, aby odizolować dewelopera lub użytkownika usługi IoT Edge od ich złożoności. Obejmuje ona kombinację interfejsu programowania aplikacji (API) i procedur komunikacji transdomenowej, na przykład komunikacji między standardowym środowiskiem wykonywania a bezpieczną enklawą. Rzeczywista implementacja modułu HSM PAL zależy od konkretnego bezpiecznego sprzętu w użyciu. Jego istnienie umożliwia korzystanie praktycznie z dowolnego bezpiecznego sprzętu krzemowego.

Bezpieczny sprzętowy fundament zaufania oparty na krzemie

Bezpieczny krzem jest niezbędny do zakotwiczenia zaufania wewnątrz sprzętu urządzenia IoT Edge. Bezpieczny krzem występuje w różnych odmianach, w tym Trusted Platform Module (TPM), embedded Secure Element (eSE), Arm TrustZone, Intel SGX oraz specjalistyczne technologie bezpiecznego krzemu. Zaleca się korzystanie z zabezpieczonego krzemowego zakorzenienia zaufania w urządzeniach, biorąc pod uwagę zagrożenia związane z fizycznym dostępem do urządzeń IoT.

Menedżer zabezpieczeń IoT Edge ma zidentyfikować i odizolować komponenty, które chronią bezpieczeństwo i integralność platformy Azure IoT Edge, w celu dostosowania zabezpieczeń. Inne firmy, takie jak producenci urządzeń, powinny korzystać z niestandardowych funkcji zabezpieczeń dostępnych na ich sprzęcie urządzenia.

Dowiedz się, jak wzmacniać zabezpieczenia menedżera zabezpieczeń usługi Azure IoT za pomocą modułu TPM (Trusted Platform Module) przy użyciu oprogramowania lub wirtualnych modułów TPM:

Tworzenie i aprowizowanie urządzenia usługi IoT Edge przy użyciu wirtualnego modułu TPM w systemie Linux lub Linux w systemie Windows.

Następne kroki

Aby dowiedzieć się więcej na temat zabezpieczania urządzeń usługi IoT Edge, przeczytaj następujące wpisy w blogu:

• Zabezpieczanie inteligentnej krawędzi.
• Strategia bezpiecznego rozwiązywania trudnej do osiągnięcia bezobsługowej konfiguracji urządzeń IoT na dużą skalę
• Rozwiązywanie problemów z zabezpieczeniami urządzeń IoT na dużą skalę za pomocą standardów