IoT Edge для Linux в системе безопасности Windows
Область применения: 
IoT Edge 1.1
Внимание
Дата окончания поддержки IoT Edge 1.1 была 13 декабря 2022 г. Чтобы получить сведения о поддержке определенного продукта, службы, технологии или API, перейдите на страницу Политика жизненного цикла поддержки Майкрософт. Дополнительные сведения об обновлении до последней версии IoT Edge см. в разделе "Обновление IoT Edge".
Azure IoT Edge для Linux в Windows дает преимущества от всех предложений безопасности от запуска на узле клиента или сервера Windows и гарантирует, что все дополнительные компоненты сохраняют одну и ту же локальную среду безопасности. В этой статье содержатся сведения о различных локальных средах безопасности, включенных по умолчанию, и некоторые из необязательных локальных объектов, которые пользователь может включить.
Защита виртуальных машин
Курированная виртуальная машина IoT Edge для Linux (EFLOW) основана на Microsoft CBL-Mariner. CBL-Mariner — это внутреннее распространение Linux для облачной инфраструктуры Майкрософт и пограничных продуктов и служб. CBL-Mariner предназначен для обеспечения согласованной платформы для этих устройств и служб и повышает способность Корпорации Майкрософт оставаться в курсе обновлений Linux. Дополнительные сведения см. в разделе "Безопасность CBL-Mariner".
Виртуальная машина EFLOW основана на трехточии комплексной платформы безопасности:
- Сервисные обновления
- Корневая файловая система только для чтения
- Блокировка брандмауэра
Сервисные обновления
При возникновении уязвимостей безопасности CBL-Mariner делает последние исправления безопасности и исправления, доступные для обслуживания с помощью ежемесячных обновлений ELOW. Виртуальная машина не имеет диспетчера пакетов, поэтому невозможно вручную скачать и установить пакеты RPM. Все обновления виртуальной машины устанавливаются с помощью механизма обновления EFLOW A/B. Дополнительные сведения об обновлениях EFLOW см. в статье Об обновлении IoT Edge для Linux в Windows
Корневая файловая система только для чтения
Виртуальная машина EFLOW состоит из двух основных разделов корневых файлов и данных. Секции rootFS-A или rootFS-B взаимозаменяемы, и одна из этих секций подключена как файловая система /только для чтения, что означает, что никакие изменения не допускаются в файлах, хранящихся в этой секции. С другой стороны, раздел данных, подключенный к /var разделу, доступен для чтения и записи, что позволяет пользователю изменять содержимое внутри секции. Данные, хранящиеся в этой секции, не управляются процессом обновления и поэтому не будут изменяться во время обновлений.
Так как вам может потребоваться доступ /etcна запись в , /var /home/rootдля конкретных вариантов использования, доступ на запись для этих каталогов выполняется путем их переложения в раздел данных специально в каталог./var/.eflow/overlays Конечным результатом этого является то, что пользователи могут писать что-либо в предыдущие упомянутые каталоги. Дополнительные сведения о наложениях см. в разделе о наложениях.
| Секция | Размер | Description |
|---|---|---|
| Загрузка | 192 МБ | Содержит загрузчик |
| RootFS A | 2 ГБ | Одна из двух активных и пассивных секций с корневой файловой системой |
| RootFS B | 2 ГБ | Одна из двух активных и пассивных секций с корневой файловой системой |
| Обновление AB | 2 ГБ | Содержит файлы обновления. Убедитесь, что на виртуальной машине всегда достаточно места для обновлений |
| Data | 2 ГБ до 2 ТБ | Секции с отслеживанием состояния для хранения постоянных данных в обновлениях. Расширяемый в соответствии с конфигурацией развертывания |
Примечание.
Макет секции представляет размер логического диска и не указывает физическое пространство, которое виртуальная машина будет занимать на диске ОС узла.
Брандмауэр
По умолчанию виртуальная машина EFLOW использует программу iptables для конфигураций брандмауэра. Iptables используется для настройки, обслуживания и проверки таблиц правил фильтрации IP-пакетов в ядре Linux. Реализация по умолчанию разрешает только входящий трафик через порт 22 (служба SSH) и блокирует трафик в противном случае. Конфигурацию iptables можно проверить следующим образом:
Открытие сеанса PowerShell с повышенными привилегиями
Подключение к виртуальной машине EFLOW
Connect-EflowVmПеречисление всех правил iptables
sudo iptables -L
Доверенный модуль платформы (TPM)
Технология доверенного платформенного модуля (TPM) предназначена для предоставления аппаратных функций, связанных с безопасностью. Микросхема доверенного платформенного модуля — это безопасный криптопроцессор, предназначенный для выполнения криптографических операций. Микросхема включает несколько механизмов физической безопасности, чтобы сделать его устойчивым, и вредоносное программное обеспечение не может изменить функции безопасности доверенного платформенного модуля.
Виртуальная машина EFLOW не поддерживает vTPM. Однако пользователь может включить или отключить сквозную функцию доверенного платформенного модуля, которая позволяет виртуальной машине EFLOW использовать TPM операционной системы Windows. Это позволяет использовать два основных сценария:
- Используйте технологию TPM для подготовки устройств IoT Edge с помощью службы подготовки устройств (DPS). Дополнительные сведения см. в статье "Создание и подготовка IoT Edge для Linux на устройстве Windows в масштабе с помощью доверенного платформенного модуля".
- Доступ только для чтения к криптографическим ключам, хранящимся внутри доверенного платформенного модуля. Дополнительные сведения см. в разделе Set-EflowVmFeature, чтобы включить сквозное руководство TPM.
Безопасный узел и обмен данными с виртуальной машиной
EFLOW предоставляет несколько способов взаимодействия с виртуальной машиной, предоставляя многофункциональную реализацию модуля PowerShell. Дополнительные сведения см. в статье о функциях PowerShell для IoT Edge для Linux в Windows. Этот модуль требует запуска сеанса с повышенными привилегиями, и он подписан с помощью сертификата Корпорации Майкрософт.
Все связи между операционной системой узла Windows и виртуальной машиной EFLOW, необходимой командлетами PowerShell, выполняются с помощью канала SSH. По умолчанию служба SSH виртуальной машины не разрешает проверку подлинности с помощью имени пользователя и пароля, и она ограничена проверкой подлинности сертификата. Сертификат создается во время развертывания EFLOW и является уникальным для каждой установки EFLOW. Кроме того, чтобы предотвратить атаки методом подбора SSH, виртуальная машина блокирует IP-адрес, если он пытается более трех подключений в минуту к службе SSH.
Следующие шаги
Дополнительные сведения о локальной среде безопасности Windows IoT
Будьте в курсе последних обновлений IoT Edge для Linux в Windows.