Menedżer zabezpieczeń usługi Azure IoT Edge

Dotyczy: IoT Edge 1.1

Ważne

Data zakończenia wsparcia usługi IoT Edge 1.1 wynosiła 13 grudnia 2022 r. Zapoznaj się z cyklem życia produktów firmy Microsoft, aby uzyskać informacje na temat sposobu obsługi tego produktu lub interfejsu API albo tej usługi lub technologii. Aby uzyskać więcej informacji na temat aktualizowania do najnowszej wersji usługi IoT Edge, zobacz Aktualizowanie usługi IoT Edge.

Menedżer zabezpieczeń usługi Azure IoT Edge jest dobrze powiązanym rdzeniem zabezpieczeń do ochrony urządzenia usługi IoT Edge i wszystkich jego składników przez abstrakcję bezpiecznego sprzętu krzemowego. Menedżer zabezpieczeń jest centralnym punktem wzmacniania zabezpieczeń i zapewnia punkt integracji technologii producentom oryginalnego sprzętu (OEM).

Menedżer zabezpieczeń abstrahuje bezpieczny sprzęt krzemowy na urządzeniu usługi IoT Edge.

Menedżer zabezpieczeń usługi IoT Edge ma na celu obronę integralności urządzenia usługi IoT Edge i wszystkich nieodłącznych operacji oprogramowania. Menedżer zabezpieczeń przechodzi relację zaufania z bazowego katalogu głównego sprzętu zaufania (jeśli jest dostępny) w celu uruchomienia środowiska uruchomieniowego usługi IoT Edge i monitorowania bieżących operacji. Menedżer zabezpieczeń usługi IoT Edge współpracuje z oprogramowaniem wraz z bezpiecznym sprzętem krzemowym (tam, gdzie jest dostępny), aby zapewnić najwyższe możliwe zabezpieczenia.

Obowiązki menedżera zabezpieczeń usługi IoT Edge obejmują, ale nie są ograniczone do następujących elementów:

• Uruchamianie urządzenia usługi Azure IoT Edge.
• Kontrolowanie dostępu do głównego katalogu głównego zaufania urządzenia za pośrednictwem usług notarnych.
• Monitorowanie integralności operacji usługi IoT Edge w czasie wykonywania.
• Odbiera delegowanie zaufania z sprzętowego modułu zabezpieczeń (HSM)
• Aprowizuj tożsamość urządzenia i zarządzaj przejściem zaufania, jeśli ma to zastosowanie.
• Hostowanie i ochrona składników urządzeń usług w chmurze, takich jak Device Provisioning Service.
• Aprowizuj moduły usługi IoT Edge przy użyciu unikatowych tożsamości.

Menedżer zabezpieczeń usługi IoT Edge składa się z trzech składników:

• Demon zabezpieczeń usługi IoT Edge
• Warstwa abstrakcji sprzętowego modułu zabezpieczeń (HSM PAL)
• Sprzętowy katalog główny zaufania lub moduł HSM (opcjonalny, ale zdecydowanie zalecany)

Demon zabezpieczeń usługi IoT Edge

Demon zabezpieczeń usługi IoT Edge jest odpowiedzialny za logiczne operacje zabezpieczeń menedżera zabezpieczeń. Reprezentuje znaczną część zaufanej bazy obliczeniowej urządzenia usługi IoT Edge.

Zasady projektowania

Usługa IoT Edge jest zgodna z dwiema podstawowymi zasadami: maksymalizuj integralność operacyjną i minimalizuj wzdęcie i rezygnację.

Maksymalizowanie integralności operacyjnej

Demon zabezpieczeń usługi IoT Edge działa z najwyższą integralnością możliwą w ramach możliwości obrony dowolnego głównego sprzętu zaufania. Dzięki odpowiedniej integracji główny element zaufanych miar sprzętowych i monitoruje demona zabezpieczeń statycznie i w czasie wykonywania, aby oprzeć się manipulowaniu. Złośliwy fizyczny dostęp do urządzeń jest zawsze zagrożeniem w usłudze IoT. Główny element zaufania sprzętu odgrywa ważną rolę w obronie integralności urządzenia usługi IoT Edge. Główny element zaufania sprzętu ma dwie odmiany:

• Zabezpieczanie elementów ochrony poufnych informacji, takich jak wpisy tajne i klucze kryptograficzne.
• Bezpieczne enklawy ochrony wpisów tajnych, takich jak klucze, i wrażliwe obciążenia, takie jak poufne modele uczenia maszynowego i operacje pomiaru.

Istnieją dwa rodzaje środowisk wykonywania do używania głównego katalogu zaufania sprzętu:

• Standardowe lub bogate środowisko wykonawcze (REE), które opiera się na użyciu bezpiecznych elementów do ochrony poufnych informacji.
• Zaufane środowisko wykonawcze (TEE), które opiera się na użyciu bezpiecznej technologii enklawy w celu ochrony poufnych informacji i zapewniania ochrony wykonywania oprogramowania.

W przypadku urządzeń korzystających z bezpiecznych enklaw jako katalogu głównego zaufania sprzętu poufne logiki w demonie zabezpieczeń usługi IoT Edge powinny znajdować się wewnątrz enklawy. Niewrażliwe części demona zabezpieczeń mogą znajdować się poza TEE. We wszystkich przypadkach zdecydowanie zalecamy, aby producenci oryginalnego projektu (ODM) i producenci oryginalnego sprzętu (OEM) rozszerzali zaufanie ze swojego modułu HSM w celu mierzenia i obrony integralności demona zabezpieczeń usługi IoT Edge podczas rozruchu i środowiska uruchomieniowego.

Minimalizuj wzdęcie i rezygnację

Kolejną podstawową zasadą demona zabezpieczeń usługi IoT Edge jest zminimalizowanie zmian. W przypadku najwyższego poziomu zaufania demon zabezpieczeń usługi IoT Edge może ściśle połączyć się ze sprzętowym elementem głównym zaufania urządzenia i działać jako kod natywny. W takich przypadkach często należy zaktualizować oprogramowanie usługi IoT Edge za pośrednictwem katalogu głównego sprzętu bezpiecznych ścieżek aktualizacji zaufania, a nie mechanizmów aktualizacji systemu operacyjnego, co może być trudne. Odnawianie zabezpieczeń jest zalecane w przypadku urządzeń IoT, ale nadmierne wymagania dotyczące aktualizacji lub duże ładunki aktualizacji mogą rozszerzać obszar zagrożenia na wiele sposobów. Na przykład możesz pominąć niektóre aktualizacje, aby zmaksymalizować dostępność urządzeń. W związku z tym projekt demona zabezpieczeń usługi IoT Edge jest zwięzły, aby zachować dobrze odizolowaną zaufaną bazę obliczeniową, aby zachęcić do częstych aktualizacji.

Architektura

Demon zabezpieczeń usługi IoT Edge korzysta z dowolnego dostępnego sprzętu głównego elementu technologii zaufania na potrzeby wzmacniania zabezpieczeń. Umożliwia również dzielenie operacji między standardowym/bogatym środowiskiem wykonywania (REE) i zaufanym środowiskiem wykonywania (TEE), gdy technologie sprzętowe oferują zaufane środowiska wykonawcze. Interfejsy specyficzne dla ról umożliwiają głównym składnikom usługi IoT Edge zapewnienie integralności urządzenia usługi IoT Edge i jego operacji.

Interfejs chmury

Interfejs chmury umożliwia dostęp do usług w chmurze, które uzupełniają zabezpieczenia urządzeń. Na przykład ten interfejs umożliwia dostęp do usługi Device Provisioning Service na potrzeby zarządzania cyklem życia tożsamości urządzeń.

Interfejs API zarządzania

Interfejs API zarządzania jest wywoływany przez agenta usługi IoT Edge podczas tworzenia/uruchamiania/zatrzymywania/usuwania modułu usługi IoT Edge. Demon zabezpieczeń przechowuje "rejestracje" dla wszystkich aktywnych modułów. Te rejestracje mapuje tożsamość modułu na niektóre właściwości modułu. Na przykład te właściwości modułu obejmują identyfikator procesu (pid) procesu uruchomionego w kontenerze i skrót zawartości kontenera platformy Docker.

Te właściwości są używane przez interfejs API obciążenia (opisany poniżej), aby sprawdzić, czy obiekt wywołujący jest autoryzowany do wykonania akcji.

Interfejs API zarządzania to uprzywilejowany interfejs API, który można wywołać tylko z agenta usługi IoT Edge. Ponieważ demon zabezpieczeń usługi IoT Edge uruchamia i uruchamia agenta usługi IoT Edge, sprawdza, czy agent usługi IoT Edge nie został naruszony, a następnie może utworzyć niejawną rejestrację agenta usługi IoT Edge. Ten sam proces zaświadczania używany przez interfejs API obciążenia ogranicza również dostęp do interfejsu API zarządzania tylko agentowi usługi IoT Edge.

Interfejs API kontenera

Interfejs API kontenera współdziała z systemem kontenerów używanym do zarządzania modułami, takimi jak Moby lub Docker.

Interfejs API obciążenia

Interfejs API obciążenia jest dostępny dla wszystkich modułów. Zapewnia dowód tożsamości jako token podpisany przez moduł HSM lub certyfikat X509 oraz odpowiedni pakiet zaufania do modułu. Pakiet zaufania zawiera certyfikaty urzędu certyfikacji dla wszystkich pozostałych serwerów, którym moduły powinny ufać.

Demon zabezpieczeń usługi IoT Edge używa procesu zaświadczania do ochrony tego interfejsu API. Gdy moduł wywołuje ten interfejs API, demon zabezpieczeń próbuje znaleźć rejestrację tożsamości. Jeśli operacja zakończy się pomyślnie, użyje właściwości rejestracji do zmierzenia modułu. Jeśli wynik procesu pomiaru jest zgodny z rejestracją, zostanie wygenerowany nowy dowód tożsamości. Odpowiednie certyfikaty urzędu certyfikacji (pakiet zaufania) są zwracane do modułu. Moduł używa tego certyfikatu do nawiązywania połączenia z usługą IoT Hub, innymi modułami lub uruchamiania serwera. Gdy podpisany token lub certyfikat zbliża się do wygaśnięcia, moduł odpowiada za żądanie nowego certyfikatu.

Integracja i konserwacja

Firma Microsoft utrzymuje główną bazę kodu dla demona zabezpieczeń usługi IoT Edge w usłudze GitHub.

Instalacja i aktualizacje

Instalacja i aktualizacje demona zabezpieczeń usługi IoT Edge są zarządzane za pośrednictwem systemu zarządzania pakietami systemu operacyjnego. Urządzenia usługi IoT Edge ze sprzętowym katalogiem zaufania powinny zapewnić dodatkowe wzmocnienie integralności demona przez zarządzanie cyklem życia za pośrednictwem systemów zarządzania bezpiecznym rozruchem i aktualizacjami. Twórcy urządzeń powinni eksplorować te możliwości na podstawie odpowiednich możliwości urządzenia.

Wersje

Środowisko uruchomieniowe usługi IoT Edge śledzi i raportuje wersję demona zabezpieczeń usługi IoT Edge. Wersja jest zgłaszana jako atrybut runtime.platform.version zgłaszanej właściwości modułu agenta usługi IoT Edge.

Sprzętowy moduł zabezpieczeń

Warstwa abstrakcji sprzętowej platformy zabezpieczeń (HSM PAL) abstrakcji abstrakcji wszystkich głównych elementów sprzętu zaufania w celu odizolowania dewelopera lub użytkownika usługi IoT Edge od ich złożoności. Obejmuje ona kombinację interfejsu programowania aplikacji (API) i procedur komunikacji transdomenowej, na przykład komunikacji między standardowym środowiskiem wykonywania a bezpieczną enklawą. Rzeczywista implementacja modułu HSM PAL zależy od konkretnego bezpiecznego sprzętu w użyciu. Jego istnienie umożliwia korzystanie praktycznie z dowolnego bezpiecznego sprzętu krzemowego.

Bezpieczny katalog główny krzemu sprzętu zaufania

Bezpieczny krzem jest niezbędny do zakotwiczenia zaufania wewnątrz sprzętu urządzenia usługi IoT Edge. Bezpieczne krzemy są dostępne w różnych zastosowaniach, takich jak Trusted Platform Module (TPM), embedded Secure Element (eSE), Arm TrustZone, Intel SGX i niestandardowe technologie bezpiecznego krzemu. Korzystanie z bezpiecznego katalogu krzemowego zaufania w urządzeniach jest zalecane, biorąc pod uwagę zagrożenia związane z fizycznymi ułatwieniami dostępu urządzeń IoT.

Menedżer zabezpieczeń usługi IoT Edge ma na celu zidentyfikowanie i odizolowanie składników, które chronią zabezpieczenia i integralność platformy Azure IoT Edge w celu zapewnienia niestandardowych zabezpieczeń. Inne firmy, takie jak producenci urządzeń, powinny korzystać z niestandardowych funkcji zabezpieczeń dostępnych na ich sprzęcie urządzenia.

Dowiedz się, jak wzmacniać zabezpieczenia menedżera zabezpieczeń usługi Azure IoT za pomocą modułu TPM (Trusted Platform Module) przy użyciu oprogramowania lub wirtualnych modułów TPM:

Tworzenie i aprowizowanie urządzenia usługi IoT Edge przy użyciu wirtualnego modułu TPM w systemie Linux lub Linux w systemie Windows.

Następne kroki

Aby dowiedzieć się więcej na temat zabezpieczania urządzeń usługi IoT Edge, przeczytaj następujące wpisy w blogu:

• Zabezpieczanie inteligentnej krawędzi.
• Strategia w celu bezpiecznego rozwiązywania nieuchwytnej bezobsługowej aprowizacji urządzeń IoT na dużą skalę
• Rozwiązywanie problemów z zabezpieczeniami urządzeń IoT na dużą skalę za pomocą standardów