Поделиться через

Конфиденциальные вычисления в пограничной среде

  • Статья

Область применения:Флажок IoT Edge 1.5 IoT Edge 1.5

Внимание

IoT Edge 1.5 LTS является поддерживаемым выпуском. IoT Edge 1.4 LTS заканчивается жизнью с 12 ноября 2024 года. Если вы используете более ранний выпуск, см. статью Обновление IoT Edge.

Azure IoT Edge поддерживает конфиденциальные приложения, которые работают в безопасных анклавах на устройстве. Шифрование обеспечивает безопасность данных при передаче или хранении, анклавы же обеспечивает безопасность данных и рабочих нагрузок во время их использования. IoT Edge поддерживает Open Enclave в качестве стандарта для разработки конфиденциальных приложений.

Безопасность является важным фокусом интернета вещей (IoT), так как часто устройства Интернета вещей часто находятся в мире, а не защищены внутри частного объекта. Поскольку эти устройства являются физически доступными для злоумышленников, это делает их подверженными риску незаконного изменения или подделки. Устройства IoT Edge еще больше нуждаются в том, чтобы вызывать доверие при обеспечении целостности данных, поскольку они позволяют выполнять конфиденциальные рабочие нагрузки пограничной среде. В отличие от общих датчиков и исполнителей, эти интеллектуальные пограничные устройства потенциально могут предоставлять конфиденциальные рабочие нагрузки, которые раньше выполнялись только в защищенных облачных или локальных средах.

Диспетчер безопасности IoT Edge решает одну из задач, связанных с конфиденциальными вычислениями. Диспетчер безопасности использует аппаратный модуль безопасности (HSM) для защиты рабочих нагрузок идентификации и текущих процессов устройства IoT Edge.

Другим аспектом конфиденциальных вычислений является защита данных, используемых в пограничной среде. Доверенная среда выполнения (TEE) — это безопасная изолированная среда на процессоре, которую иногда также называют анклавом. Конфиденциальное приложение — это приложение, которое выполняется в анклаве. Из-за природы анклавов конфиденциальные приложения защищены от других приложений, которые выполняются на основном процессоре или в TEE.

Конфиденциальные приложения на IoT Edge

Конфиденциальные приложения шифруются при передаче и хранении, а расшифровываются только для выполнения в доверенной среде выполнения. Этот стандарт относится к конфиденциальным приложениям, развернутым в виде модулей IoT Edge.

Разработчик создает конфиденциальное приложение и упаковывает его в виде модуля IoT Edge. Приложение шифруется перед отправкой в реестр контейнеров. Приложение остается зашифрованным на протяжении всего процесса развертывания IoT Edge, пока модуль не будет запущен на устройстве IoT Edge. После того как конфиденциальное приложение попадает в TEE устройства, оно расшифровывается и может начать выполнение.

Схема, показывающая конфиденциальные приложения, шифруются в модулях IoT Edge до развертывания в безопасном анклавах.

Конфиденциальные приложения на IoT Edge являются логическим расширением конфиденциальных вычислений в Azure. Рабочие нагрузки, которые выполняются в безопасных анклавах в облаке, можно также развернуть для запуска в безопасных анклавах в пограничной среде.

Open Enclave

Пакет SDK Open Enclave — это проект с открытым исходным кодом, который помогает разработчикам создавать конфиденциальные приложения для нескольких платформ и сред. Пакет SDK Open Enclave для анклава работает в доверенной среде выполнения устройства, а API Open Enclave действует как интерфейс между TEE и обработкой среды, отличной от TEE.

Open Enclave поддерживает несколько аппаратных платформ. Для поддержки IoT Edge для анклавов в настоящее время требуется операционная система Open Portable TEE (OP-TEE OS). Дополнительные сведения см. в статье Пакет SDK для OP-TEE OS.

Также репозиторий Open Enclave содержит примеры, помогающие разработчикам начать работу. Дополнительные сведения см. в следующих ознакомительных статьях:

Оборудование

В настоящее время TrustBox от Scalys является единственным устройством, поддерживаемым соглашениями на обслуживание производителя для развертывания конфиденциальных приложений в виде модулей IOT Edge. Служба TrustBox основана на устройствах TrustBox Edge и TrustBox EdgeXL, которые предварительно загружены с помощью пакета SDK Open Enclave и Azure IoT Edge.

Дополнительные сведения см. в статье Начало работы с Open Enclave для Scalys TrustBox.

Разработка и развертывание

Когда вы будете готовы к разработке и развертыванию конфиденциального приложения, вам в этом может помочь расширение Microsoft Open Enclave для Visual Studio Code. Для разработки модулей для TrustBox можно использовать Linux или Windows в качестве компьютера для разработки.

Следующие шаги

Узнайте, как начать разработку конфиденциальных приложений в качестве модулей IoT Edge с расширением Open Enclave для Visual Studio Code.