Edge Secured-Core erfordert eine Version von Windows IoT, für die zum Zeitpunkt der Zertifizierung noch mindestens fünf Jahre Support von Microsoft im Supportlebenszyklus bestehen, z. B.:
Folgendes muss von der Hardware unterstützt und auf ihr aktiviert sein:
Intel- oder AMD-Virtualisierungserweiterungen
Trusted Platform Module (TPM) 2.0
Für Intel-Systeme: Intel Virtualization Technology für Directed I/O (VT-d), Intel Trusted Execution Technology (TXT) und SINIT ACM-Treiberpaket müssen im Windows-Systemimage (für DRTM) enthalten sein
Für AMD-Systeme: AMD IOMMU- und AMD-V-Virtualisierung und SKINIT-Paket müssen in das Windows-Systemimage (für DRTM) integriert sein.
Kernel-DMA-Schutz (Direct Memory Access, direkter Speicherzugriff; auch als Speicherzugriffsschutz bezeichnet)
Name
SecuredCore.Hardware.Identity
Status
Erforderlich
Beschreibung
Die Geräteidentität muss auf Hardware basieren.
Zweck
Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit.
Abhängigkeiten
Trusted Platform Module (TPM) v2.0-Gerät
Name
SecuredCore.Hardware.MemoryProtection
Status
Erforderlich
Beschreibung
Alle extern zugänglichen Ports, die für direkten Speicherzugriff (DMA) aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden.
Zweck
Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen.
Abhängigkeiten
Aktivierte und entsprechend konfigurierte Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (IOMMU) oder Systemspeicher-Verwaltungseinheit (SMMU)
Name
SecuredCore.Firmware.Protection
Status
Erforderlich
Beschreibung
Die Startsequenz des Geräts muss neben Risikominderungsmaßnahmen des UEFI-Verwaltungsmodus (Unified Extensible Firmware Interface) den dynamischen Vertrauensanker für Messungen (Dynamic Root of Trust for Measurement, DRTM) unterstützen.
Zweck
Schützt vor Schwachstellen in der Firmware, nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen.
Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten.
Abhängigkeiten
UEFI
Name
SecuredCore.Firmware.Attestation
Status
Erforderlich
Beschreibung
Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für den Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein.
Zweck
Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen.
Vertrauliche und private Daten müssen im Ruhezustand mit BitLocker oder einem ähnlichen Feature mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz verschlüsselt werden.
Zweck
Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software.
Name
SecuredCore.Encryption.TLS
Status
Erforderlich
Beschreibung
Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und die folgenden Sammlungen von TLS-Verschlüsselungsverfahren müssen verfügbar und aktiviert sein:
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Zweck
Stellt sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können.
Abhängigkeiten
Windows 10 IoT Enterprise Version 1903 oder höher. Hinweis: Andere Anforderungen erfordern möglicherweise höhere Versionen für andere Dienste.
Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden. Für sicherheitsbezogene Dienste können Ausnahmen gelten.
Zweck
Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten.
Windows IoT-Software/-Dienstanforderungen
Name
SecuredCore.Built-in.Security
Status
Erforderlich
Beschreibung
Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung wie Microsoft Defender for Endpoint zu senden.
Zweck
Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen.
Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden.
Zweck
Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen.
Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht.
Zweck
Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können.
Windows IoT-Richtlinienanforderungen
Name
SecuredCore.Policy.Protection.Debug
Status
Erforderlich
Beschreibung
Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern.
Zweck
Stellt sicher, dass Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können.
Name
SecuredCore.Policy.Manageability.Reset
Status
Erforderlich
Beschreibung
Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen).
Zweck
Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen.
Name
SecuredCore.Policy.Updates.Duration
Status
Erforderlich
Beschreibung
Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden.
Zweck
Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher.
Name
SecuredCore.Policy.Vuln.Disclosure
Status
Erforderlich
Beschreibung
Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein.
Zweck
Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen.
Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden.
Zweck
Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden.
Linux-Betriebssystemunterstützung
Hinweis
Linux wird noch nicht unterstützt. Im Folgenden sind die erwarteten Anforderungen aufgeführt. Füllen Sie dieses Formular aus, wenn Sie ein Linux-Gerät zertifizieren möchten.
Linux-Hardware-/Firmwareanforderungen
Name
SecuredCore.Hardware.Identity
Status
Erforderlich
Beschreibung
Die Geräteidentität muss auf Hardware basieren.
Zweck
Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit.
Abhängigkeiten
Trusted Platform Module (TPM) v2.0 oder *eine andere unterstützte Methode
Name
SecuredCore.Hardware.MemoryProtection
Status
Erforderlich
Beschreibung
Alle extern zugänglichen Ports, die für DMA aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden.
Zweck
Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen.
Abhängigkeiten
Aktivierte und entsprechend konfigurierte Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (IOMMU) oder Systemspeicher-Verwaltungseinheit (SMMU)
Name
SecuredCore.Firmware.Protection
Status
Erforderlich
Beschreibung
Die Startsequenz des Geräts muss eine der folgenden Optionen unterstützen:
Genehmigte Firmware mit SRTM-Unterstützung (Static Root of Trust for Measurement, statischer Vertrauensanker für Messungen) und Laufzeit-Firmwarehärtung
Firmwareüberprüfung und -auswertung durch genehmigte Microsoft-Drittanbieter
Zweck
Schützt vor Schwachstellen in der Firmware, nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen.
Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten.
Name
SecuredCore.Firmware.Attestation
Status
Erforderlich
Beschreibung
Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für den Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein.
Zweck
Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen.
Abhängigkeiten
Trusted Platform Module (TPM) 2.0 oder *unterstützte OP-TEE-basierte Anwendung, die mit einem Hardwarevertrauensanker (Hardware Root-of-Trust, HWRoT) verkettet ist (Secure Element oder Secure Enclave)
Das Gerät muss über eine Secure Enclave verfügen, die Sicherheitsfunktionen ausführen kann.
Zweck
Stellt sicher, dass vertrauliche kryptografische Vorgänge (die Vorgänge, die grundlegend für die Geräteidentität und die Vertrauenskette sind) isoliert und vor dem primären Betriebssystem und einigen Formen von Seitenkanalangriffen geschützt sind.
Linux-Konfigurationsanforderungen
Name
SecuredCore.Encryption.Storage
Status
Erforderlich
Beschreibung
Vertrauliche und private Daten müssen im Ruhezustand mit „dm-crypt“ oder einem ähnlichen Feature verschlüsselt werden, das XTX-AES als Standardalgorithmus mit einer Schlüssellänge von mindestens 128 Bits mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz unterstützt.
Zweck
Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software.
Name
SecuredCore.Encryption.TLS
Status
Erforderlich
Beschreibung
Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und die folgenden Sammlungen von TLS-Verschlüsselungsverfahren müssen verfügbar und aktiviert sein:
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Zweck
Stellen Sie sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können.
Name
SecuredCore.Protection.CodeIntegrity
Status
Erforderlich
Beschreibung
Für das Betriebssystem müssen „dm-verity“ und IMA-Codeintegritätsfeatures (Integrity Measurement Architecture, IMA) aktiviert sein, und Code muss mit den geringsten Rechten ausgeführt werden.
Zweck
Schützt vor geändertem/schädlichem Code, indem sichergestellt wird, dass nur Code mit überprüfbarer Integrität ausgeführt werden kann.
Name
SecuredCore.Protection.NetworkServices
Status
Erforderlich
Beschreibung
Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden (z. B. SYSTEM oder „root“). Für sicherheitsbezogene Dienste können Ausnahmen gelten.
Zweck
Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten.
Linux-Software/-Dienstanforderungen
Name
SecuredCore.Built-in.Security
Status
Erforderlich
Beschreibung
Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung wie Microsoft Defender for Endpoint zu senden.
Zweck
Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen.
Das Gerät muss die Überwachung und Festlegung der Systemkonfiguration (und bestimmte Verwaltungsaktionen wie Neustart) über Azure unterstützen. Hinweis: Die Verwendung anderer Systemverwaltungstoolketten (z. B. Ansible) durch Operatoren ist nicht verboten, das Gerät muss jedoch den azure-osconfig-Agent für die Azure-Verwaltung enthalten.
Zweck
Ermöglicht die Anwendung von Sicherheitsbaselines als Teil eines standardmäßig sicheren Konfigurationsstatus, wodurch das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen verringert wird.
Abhängigkeit
azure-osconfig
Name
SecuredCore.Update
Status
Audit
Beschreibung
Das Gerät muss in der Lage sein, Updates zu empfangen und seine Firmware und Software über Azure Device Update oder andere genehmigte Dienste zu aktualisieren.
Zweck
Ermöglicht kontinuierliche Sicherheit und erneuerbare Vertrauensstellungen.
Name
SecuredCore.UpdateResiliency
Status
Erforderlich
Beschreibung
Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht.
Zweck
Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können.
Name
SecuredCore.Protection.Baselines
Status
Erforderlich
Beschreibung
Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden.
Zweck
Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen.
Updates für das Betriebssystem, Treiber, Anwendungssoftware, Bibliotheken, Pakete und Firmware müssen signiert sein.
Zweck
Verhindert die Installation von nicht autorisiertem oder schädlichem Code während des Updateprozesses.
Linux-Richtlinienanforderungen
Name
SecuredCore.Policy.Protection.Debug
Status
Erforderlich
Beschreibung
Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern.
Zweck
Stellt sicher, dass Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können.
Name
SecuredCore.Policy.Manageability.Reset
Status
Erforderlich
Beschreibung
Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen).
Zweck
Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen.
Name
SecuredCore.Policy.Updates.Duration
Status
Erforderlich
Beschreibung
Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden.
Zweck
Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher.
Name
SecuredCore.Policy.Vuln.Disclosure
Status
Erforderlich
Beschreibung
Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein.
Zweck
Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen.
Name
SecuredCore.Policy.Vuln.Fixes
Status
Erforderlich
Beschreibung
Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden.
Zweck
Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden.
Unterstützung der Azure Sphere-Plattform
MediaTek MT3620AN muss in Ihrem Entwurf enthalten sein. Weitere Anleitungen zum Erstellen gesicherter Azure Sphere-Anwendungen finden Sie in den Anwendungshinweisen zu Azure Sphere.
Azure Sphere: Hardware-/Firmwareanforderungen
Name
SecuredCore.Hardware.Identity
Status
Erforderlich
Beschreibung
Die Geräteidentität muss auf Hardware basieren.
Zweck
Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung, da MT3620 den integrierten Pluton-Sicherheitsprozessor enthält.
Name
SecuredCore.Hardware.MemoryProtection
Status
Erforderlich
Beschreibung
Alle extern zugänglichen Ports, die für DMA aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden.
Zweck
Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch eine sicher konfigurierbare Peripheriefirewall.
Name
SecuredCore.Firmware.Protection
Status
Erforderlich
Beschreibung
Die Gerätestartsequenz muss Schutz vor Sicherheitsbedrohungen durch Firmware bieten.
Zweck
Schützt vor Schwachstellen in der Firmware, persistentem nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete, gehärtete und authentifizierte Startkette.
Name
SecuredCore.Firmware.SecureBoot
Status
Erforderlich
Beschreibung
Die Startsequenz des Geräts muss authentifiziert sein.
Zweck
Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete authentifizierte Startkette.
Name
SecuredCore.Firmware.Attestation
Status
Erforderlich
Beschreibung
Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für einen Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein.
Zweck
Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung über den Geräteauthentifizierungs- und -nachweisdienst (Device Authentication and Attestation, DAA), der als Teil des Azure Sphere-Sicherheitsdiensts (Azure Sphere Security Service, AS3) bereitgestellt wird.
Name
SecuredCore.Hardware.SecureEnclave
Status
Erforderlich
Beschreibung
Das Gerät muss über eine Secure Enclave verfügen, die Sicherheitsfunktionen ausführen kann.
Zweck
Stellt sicher, dass vertrauliche kryptografische Vorgänge (die Vorgänge, die grundlegend für die Geräteidentität und die Vertrauenskette sind) isoliert und vor dem primären Betriebssystem und einigen Formen von Seitenkanalangriffen geschützt sind.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung, da MT3260 den Pluton-Sicherheitsprozessor enthält.
Azure Sphere: Anforderungen an die Betriebssystemkonfiguration
Name
SecuredCore.Encryption.Storage
Status
Erforderlich
Beschreibung
Vertrauliche und private Daten müssen im Ruhezustand mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz verschlüsselt werden.
Zweck
Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung mit dem Pluton-Sicherheitsprozessor, dem im Paket enthaltenen nicht flüchtigen Speicher und den für Kunden verfügbar gemachten wolfCrypt-APIs.
Name
SecuredCore.Encryption.TLS
Status
Erforderlich
Beschreibung
Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und Sammlungen sicherer TLS-Verschlüsselungsverfahren müssen verfügbar sein.
Zweck
Stellt sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete wolfSSL-Bibliothek, die nur Sammlungen sicherer TLS-Verschlüsselungsverfahren verwendet, die von DAA-Zertifikaten unterstützt werden.
Name
SecuredCore.Protection.CodeIntegrity
Status
Erforderlich
Beschreibung
Das Betriebssystem muss die Codeintegrität unterstützen, und Code muss mit den geringsten Rechten ausgeführt werden.
Zweck
Schützt vor geändertem/schädlichem Code, indem sichergestellt wird, dass nur Code mit überprüfbarer Integrität ausgeführt werden kann.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch das von Microsoft verwaltete und gehärtete Betriebssystem mit einem schreibgeschützten Dateisystem, das in nicht flüchtigem Speicher im Paket gespeichert ist und mit eingeschränkten Workloads mit den geringsten Rechten in On-Die-RAM ausgeführt wird.
Name
SecuredCore.Protection.NetworkServices
Status
Erforderlich
Beschreibung
Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden (z. B. SYSTEM oder „root“). Für sicherheitsbezogene Dienste können Ausnahmen gelten.
Zweck
Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch eingeschränkte Workloads, die mit den geringsten Rechten ausgeführt werden.
Name
SecuredCore.Protection.NetworkFirewall
Status
Erforderlich
Beschreibung
Anwendungen können keine Verbindung mit Endpunkten herstellen, die nicht autorisiert wurden.
Zweck
Beschränkt die Ausnutzbarkeit von kompromittierten oder schädlichen Anwendungen für Upstream-Netzwerkdatenverkehr und Remotezugriff/-steuerung.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch eine sicher konfigurierbare Netzwerkfirewall und DAA-Zertifikate.
Azure Sphere: Anforderungen an Software/Dienste
Name
SecuredCore.Built-in.Security
Status
Erforderlich
Beschreibung
Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung zu senden.
Zweck
Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch die Integration von Telemetriedaten des Azure Sphere-Sicherheitsdiensts (AS3) in Azure Monitor und die Möglichkeit, Sicherheitsprotokolle und Warnungen über Azure-Dienste zu senden.
Das Gerät muss die Überwachung und Festlegung der Systemkonfiguration (und bestimmte Verwaltungsaktionen) über Azure unterstützen.
Zweck
Ermöglicht die Anwendung von Sicherheitsbaselines als Teil eines standardmäßig sicheren Konfigurationsstatus, wodurch das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen verringert wird.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch sichere Konfigurationsmanifeste für Kundenanwendungen, die von einem von Microsoft verwalteten und gehärteten Betriebssystem unterstützt werden.
Name
SecuredCore.Update
Status
Erforderlich
Beschreibung
Das Gerät muss in der Lage sein, Updates zu empfangen und seine Firmware und Software zu aktualisieren.
Zweck
Ermöglicht kontinuierliche Sicherheit und erneuerbare Vertrauensstellungen.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch ein von Microsoft verwaltetes und automatisch aktualisiertes Betriebssystem, wobei Updates für Kundenanwendungen remote über den Azure Sphere-Sicherheitsdienst (AS3) bereitgestellt werden.
Name
SecuredCore.Protection.Baselines
Status
Erforderlich
Beschreibung
Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden.
Zweck
Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch ein von Microsoft verwaltetes und gehärtetes Betriebssystem.
Name
SecuredCore.Protection.UpdateResiliency
Status
Erforderlich
Beschreibung
Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht.
Zweck
Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung durch einen integrierten Rollbackmechanismus für Updates.
Name
SecuredCore.Protection.SignedUpdates
Status
Erforderlich
Beschreibung
Updates für das Betriebssystem, Treiber, Anwendungssoftware, Bibliotheken, Pakete und Firmware müssen signiert sein.
Zweck
Verhindert die Installation von nicht autorisiertem oder schädlichem Code während des Updateprozesses.
Abhängigkeiten
Azure Sphere erfüllt diese Anforderung.
Azure Sphere: Richtlinienanforderungen
Name
SecuredCore.Policy.Protection.Debug
Status
Erforderlich
Beschreibung
Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern.
Zweck
Stellt sicher, dass die Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können.
Abhängigkeiten
Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da die Debugfunktion eine signierte Funktion erfordert, die nur für den Besitzer des OEM-Geräts (Original Equipment Manufacturer) bereitgestellt wird.
Name
SecuredCore.Policy.Manageability.Reset
Status
Erforderlich
Beschreibung
Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen).
Zweck
Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen.
Abhängigkeiten
Das Azure Sphere-Betriebssystem ermöglicht OEM-Anwendungen die Implementierung einer Funktion zum Zurücksetzen.
Name
SecuredCore.Policy.Updates.Duration
Status
Erforderlich
Beschreibung
Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden.
Zweck
Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher.
Abhängigkeiten
Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da Microsoft Sicherheitsupdates für das Betriebssystem bereitstellt und der AS3-Dienst es OEMs ermöglicht, Anwendungssoftwareupdates bereitzustellen.
Name
SecuredCore.Policy.Vuln.Disclosure
Status
Erforderlich
Beschreibung
Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein.
Zweck
Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen.
Abhängigkeiten
Sicherheitsrisiken im Azure Sphere-Betriebssystem können dem Microsoft Security Response Center (MSRC) gemeldet werden und werden über die Azure Sphere-Seite „Neuigkeiten“ sowie die CVE-Datenbank (Common Vulnerabilities and Exposures, allgemeine Sicherheitsrisiken und Schwachstellen) von Mitre veröffentlicht.
Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden.
Zweck
Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden.
Abhängigkeiten
Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da Microsoft Sicherheitsupdates für das Betriebssystem bereitstellt, die den obigen Anforderungen entsprechen. Der AS3-Dienst ermöglicht es OEMs, Anwendungssoftwareupdates bereitzustellen, die diese Anforderung erfüllen.