Gerenciador de segurança do Azure IoT Edge

Aplica-se a: IoT Edge 1.1

O gerenciador de segurança do Azure IoT Edge é um núcleo de segurança bem delimitado para proteger o dispositivo IoT Edge e todos os seus componentes, abstraindo o hardware de silício seguro. O gestor de segurança é o ponto focal para o fortalecimento da segurança e fornece o ponto de integração tecnológica para fabricantes de equipamentos originais (OEM).

O gerenciador de segurança abstrai o hardware de silício seguro em um dispositivo IoT Edge.

o gerenciador de segurança do IoT Edge tem como objetivo defender a integridade do dispositivo IoT Edge e todas as operações de software inerentes. O gerenciador de segurança transfere a confiança do hardware raiz de confiança subjacente (se disponível) para inicializar o tempo de execução do IoT Edge e monitorar as operações em andamento. O gerenciador de segurança IoT Edge inclui software que trabalha em conjunto com hardware de silício seguro, quando disponível, para ajudar a fornecer as mais altas garantias de segurança possíveis.

As responsabilidades do gerenciador de segurança do IoT Edge incluem (mas sem limitação):

• Inicialização do dispositivo Azure IoT Edge.
• Controle o acesso à raiz de confiança do hardware do dispositivo através de serviços notariais.
• Monitorar a integridade das operações do IoT Edge em tempo de execução.
• Recebe delegação de confiança do módulo de segurança de hardware (HSM)
• Provisione a identidade do dispositivo e gerencie a transição de confiança, quando aplicável.
• Hospede e proteja componentes de dispositivos de serviços em nuvem, como o Serviço de provisionamento de dispositivos.
• Provisione módulos do IoT Edge com identidades exclusivas.

O gerenciador de segurança do IoT Edge consiste em três componentes:

• O daemon de segurança do IoT Edge
• A camada de abstração da plataforma de segurança de hardware (HSM PAL)
• Uma raiz de confiança de hardware em silício ou HSM (opcional, mas altamente recomendado)

O daemon de segurança do IoT Edge

O daemon de segurança do IoT Edge é responsável pelas operações de segurança lógicas do gerenciador de segurança. Ele representa uma parte significativa da base de computação confiável do dispositivo IoT Edge.

Princípios de design

O IoT Edge segue dois princípios básicos: maximizar a integridade operacional e minimizar a sobrecarga e a rotatividade.

Maximizar a integridade operacional

O daemon de segurança do IoT Edge funciona com a mais alta integridade possível dentro da capacidade de defesa de qualquer hardware de raiz de confiança. Com a integração adequada, o hardware raiz de confiança mede e monitora estaticamente e em tempo de execução o daemon de segurança para resistir à violação. O acesso físico mal-intencionado a dispositivos é sempre uma ameaça na Internet das Coisas. A raiz de confiança de hardware desempenha um papel importante na defesa da integridade do dispositivo IoT Edge. A raiz de confiança de hardware tem duas variedades:

• Elementos seguros para a proteção de informações confidenciais, como segredos e chaves criptográficas.
• Enclaves seguros para a proteção de segredos, como chaves e cargas de trabalho confidenciais, como modelos de machine learning confidenciais e operações de medição.

Existem dois tipos de ambientes de execução para utilizar a raiz de confiança de hardware.

• O ambiente de execução padrão ou rico (REE) que depende do uso de elementos seguros para proteger informações confidenciais.
• O TEE (ambiente de execução confiável) que depende do uso da tecnologia Secure Enclave para proteger informações confidenciais e oferecer proteção à execução de software.

Para dispositivos que usam enclaves seguros como raiz de confiança de hardware, a lógica sensível do daemon de segurança do IoT Edge deve estar situada no enclave. As partes não sensíveis do daemon de segurança podem estar fora do TEE. Em todos os casos, é altamente recomendável que os fabricantes de design originais (ODM) e os fabricantes de equipamentos originais (OEM) ampliem a confiança do seu HSM para medir e defender a integridade do daemon de segurança do IoT Edge durante a inicialização e o tempo de execução.

Minimizar o inchaço e a rotatividade

Outro princípio fundamental para o daemon de segurança IoT Edge é minimizar a rotatividade. Para obter o mais alto nível de confiança, o daemon de segurança IoT Edge pode integrar-se intimamente à raiz de confiança de hardware do dispositivo e operar como código nativo. Nesses casos, é comum atualizar o software IoT Edge por meio dos caminhos de atualização seguros da raiz de hardware de confiança em vez dos mecanismos de atualização do sistema operacional, o que pode ser desafiador. A renovação de segurança é recomendada para dispositivos IoT, mas os requisitos de atualização excessivos ou grandes cargas de atualização podem expandir a superfície de ameaças de várias maneiras. Por exemplo, você pode ficar tentado a ignorar algumas atualizações para maximizar a disponibilidade do dispositivo. Assim, o design enxuto do daemon de segurança do IoT Edge visa manter a base confiável de computação pequena e bem isolada para incentivar atualizações frequentes.

Arquitetura

O daemon de segurança do IoT Edge tira proveito de qualquer tecnologia de raiz de confiança de hardware disponível para reforçar a segurança. Ele também permite a operação em modo dividido entre um ambiente de execução padrão/rico (REE) e um ambiente de execução confiável (TEE) quando as tecnologias de hardware oferecem esses ambientes confiáveis. Interfaces específicas para funções permitem que os principais componentes do IoT Edge assegurem a integridade do dispositivo IoT Edge e suas operações.

Interface de nuvem

A interface de nuvem permite o acesso a serviços de nuvem que complementam a segurança do dispositivo. Por exemplo, essa interface permite o acesso ao Serviço de Provisionamento de Dispositivos para o gerenciamento do ciclo de vida de identidades do dispositivo.

API de gerenciamento

A API de gerenciamento é chamada pelo agente do IoT Edge ao criar/iniciar/parar/remover um módulo do IoT Edge. O daemon de segurança armazena "registros" para todos os módulos ativos. Esses registros mapeiam a identidade de um módulo para algumas propriedades do módulo. Por exemplo, essas propriedades do módulo incluem o identificador do processo (pid) em execução no contêiner e o hash do conteúdo do contêiner do docker.

Essas propriedades são usadas pela API de carga de trabalho (descrita abaixo) para verificar se o chamador está autorizado para uma ação.

A API de gerenciamento é uma API privilegiada, que pode ser chamada somente pelo agente IoT Edge. Como o daemon de segurança do IoT Edge inicializa e inicia o agente do IoT Edge, ele verifica se o agente do IoT Edge não foi adulterado e, em seguida, pode criar um registro implícito para o agente do IoT Edge. O mesmo processo de atestado usado pela API da carga de trabalho também restringe o acesso à API de gerenciamento apenas ao agente do IoT Edge.

API de Contêiner

A API do contêiner interage com o sistema de contêiner em uso para o gerenciamento de módulo, como Moby ou Docker.

API de carga de trabalho

A API de carga de trabalho está acessível a todos os módulos. Ele fornece uma prova de identidade, seja um token assinado baseado em HSM, seja um certificado X509, bem como um pacote de confiança correspondente para um módulo. O pacote confiável contém certificados de Autoridade de Certificação para todos os outros servidores nos quais os módulos devem confiar.

O daemon de segurança do IoT Edge usa um processo de atestado para proteger essa API. Quando um módulo chama essa API, o daemon de segurança tenta localizar um registro para a identidade. Se bem sucedido, usa as propriedades do registro para medir o módulo. Se o resultado do processo de medição corresponder ao registro, uma nova prova de identidade será gerada. Os certificados de Autoridade de Certificação correspondentes (pacote confiável) serão retornados ao módulo. O módulo usa esse certificado para se conectar ao Hub IoT, outros módulos ou iniciar um servidor. Quando o token ou certificado assinado estiver próximo do término, é de responsabilidade do módulo solicitar um novo certificado.

Integração e manutenção

A Microsoft mantém a base de código principal para o daemon de segurança do IoT Edge no GitHub.

Instalação e as atualizações

A instalação e as atualizações do daemon de segurança IoT Edge são gerenciadas por meio do sistema de gerenciamento de pacotes do sistema operacional. Dispositivos IoT Edge com raiz de hardware de confiança devem fornecer proteção adicional à integridade do daemon gerenciando seu ciclo de vida por meio dos sistemas de gerenciamento de inicialização e atualizações seguras. Os criadores de dispositivos devem explorar esses caminhos com base nas respectivas funcionalidades de dispositivo.

Controle de versão

O runtime do IoT Edge rastreia e relata a versão do daemon de segurança IoT Edge. A versão é relatada como o atributo runtime.platform.version da propriedade relatada do módulo do agente IoT Edge.

Módulo de segurança de hardware

A camada de abstração da plataforma de segurança de hardware (HSM PAL) abstrai toda a raiz do hardware de confiança para isolar o desenvolvedor ou o usuário do IoT Edge de suas complexidades. Ele consiste em uma combinação de interface de programação de aplicações (API) e procedimentos de comunicação entre domínios, por exemplo, comunicação entre um ambiente de execução padrão e um enclave seguro. A implementação real do HSM PAL depende do hardware seguro específico em uso. Sua existência permite o uso de praticamente qualquer hardware de silício seguro.

Raiz de silício seguro do hardware de confiança

O silício seguro é necessário para ancorar a confiança dentro do hardware do dispositivo IoT Edge. O silício seguro é variado para incluir o Trusted Platform Module (TPM), o Secure Element (eSE) incorporado, o Arm TrustZone, o Intel SGX e as tecnologias de silício seguras personalizadas. O uso de raiz de confiança em silício seguro em dispositivos é recomendado, devido às ameaças associadas à acessibilidade física de dispositivos IoT.

O objetivo do gerenciador de segurança do IoT Edge é identificar e isolar os componentes que defendem a segurança e a integridade da plataforma Azure IoT Edge para proteção personalizada. Terceiros, como fabricantes de dispositivos, devem fazer uso de recursos de segurança personalizados disponíveis com o hardware do dispositivo.

Saiba como proteger o gerenciador de segurança da IoT do Azure com o TPM (Trusted Platform Module) usando software ou TPMs virtuais:

Crie e provisione um dispositivo do IoT Edge com uma TPM virtual no Linux ou no Linux no Windows.

Próximas etapas

Para saber mais sobre como proteger os dispositivos IoT Edge, leia as postagens de blog a seguir:

• Proteção da borda inteligente.
• O plano para resolver com segurança o provisionamento Zero Toque elusivo de dispositivos IoT em escala
• Resolver a segurança do dispositivo IoT em escala por meio de padrões