클라우드에 디바이스 연결
암호 또는 인증서와 같은 보안 정보를 디바이스에 저장하면 디바이스가 노출에 취약해질 수 있습니다. 누출된 암호는 디바이스 또는 전체 시스템의 보안을 손상시키는 확실한 방법입니다. Windows 제품군에서 OS의 보안을 지원하는 기술은 신뢰할 수 있는 플랫폼 모듈입니다.
TPM(신뢰할 수 있는 플랫폼 모듈) 디바이스는 데이터를 저장하고 계산을 수행할 수 있는 마이크로 컨트롤러입니다. 이는 컴퓨터의 마더보드에 납땜된 개별 칩이거나 제조업체가 SoC(System on a Chip)에 통합한 모듈일 수 있습니다.
TPM 내부
TPM의 주요 기능은 쓰기 전용 메모리입니다. TPM은 그 안에 있는 데이터를 기반으로 해당 데이터에 따라 암호화 해시(예: HMAC)를 계산할 수도 있습니다. 해시에 지정된 비밀을 확인하는 것은 불가능하지만, 비밀이 통신의 양쪽 당사자에게 알려진 경우 다른 당사자로부터 받은 해시가 해당 비밀에서 생성되었는지 여부를 확인할 수 있습니다.
암호화 키 사용의 기본 아이디어: 디바이스 프로비저닝 프로세스 중에 IoT 디바이스와 클라우드 간에 비밀(공유 액세스 키라고도 함)이 설정 및 공유됩니다. 이 시점부터 비밀에서 파생된 HMAC가 IoT 디바이스를 인증하는 데 사용됩니다.
디바이스 프로비전
Windows 10 IoT Core 디바이스용 프로비저닝 도구를 IoT Core 대시보드라고 하며, 쉽게 다운로드하고 구성할 수 있습니다.
대시보드는 OS 이미지를 생성하고 디바이스를 Azure에 안전하게 연결합니다. 이 작업은 물리적 디바이스를 Azure IoT Hub의 디바이스 ID와 연결하고 디바이스별 공유 액세스 키를 디바이스의 TPM으로 인쇄하여 수행합니다.
TPM 칩이 없는 디바이스의 경우 이 도구는 소프트웨어 에뮬레이트된 TPM을 설치할 수 있습니다. 이는 보안을 제공하지는 않지만 작성자 디바이스(예: Raspberry Pi 2 또는 3)를 사용하여 앱을 개발하고, 앱을 변경하지 않고도 하드웨어 TPM이 있는 디바이스에 보안 "강화"를 제공할 수 있습니다.
디바이스를 Azure에 연결하려면 "Azure에 연결" 탭을 클릭합니다.
Azure 계정에 로그인하라는 메시지가 표시됩니다. Azure IoT Hub의 원하는 인스턴스를 선택하고 물리적 디바이스를 연결합니다. Azure 구독에 IoT Hub 인스턴스가 없는 경우 이 도구를 사용하여 무료 인스턴스를 만들 수 있습니다.
디바이스를 연결하기 위한 IoT Hub 및 디바이스 ID를 선택하면 TPM에 해당 디바이스의 공유 액세스 키를 인쇄할 수 있습니다.
이제 디바이스를 안전한 방식으로 Azure에 연결할 준비가 되었습니다.
Windows 장치 포털을 사용하여 프로비전된 후 처음 인터넷에 연결할 때 IoT Hub 연결 문자열을 동적으로 가져올 수도 있습니다. 장치 포털의 "Azure 클라이언트" 탭에서 이 작업을 수행할 수 있습니다.