Edge 安全核心認證需求
Windows IoT OS 支援
Edge Secured-Core 搭配的 Windows IoT 版本必須在其支援生命週期中有五年以上的 Microsoft 支援,例如:
Windows IoT 硬體/韌體需求
注意
硬體必須支援並啟用下列項目:
- Intel 或 AMD 虛擬化延伸模組
- 信賴平台模組 (TPM) 2.0
- 針對 Intel 系統:適用於導向 I/O 的 Intel 虛擬化技術 (VT-d)、Intel Trusted Execution Technology (TXT),以及 SINIT ACM 驅動程式套件必須包含在 Windows 系統映像中 (適用於 DRTM)
- 針對 AMD 系統:AMD IOMMU 與 AMD-V 虛擬化以及 SKINIT 套件必須整合在 Windows 系統映像中 (適用於 DRTM)
- 核心直接記憶體存取保護 (也稱為記憶體存取保護)
| 名稱 |
SecuredCore.Hardware.Identity |
| 狀態 |
必要 |
| 描述 |
裝置身分識別的根目錄必須位於硬體中。 |
| 目的 |
保護裝置根身分識別的複製和偽裝,這是是透過信任鏈支持上層軟體層信任的關鍵。 提供可證明、不可變且加密安全的身分識別。 |
| 相依性 |
信任平台模組 (TPM) v2.0 裝置 |
| 名稱 |
SecuredCore.Hardware.MemoryProtection |
| 狀態 |
必要 |
| 描述 |
所有啟用直接記憶體存取 (DMA) 的外部存取連接埠,都必須位於已啟用且適當設定的輸入輸出記憶體管理單元 (IOMMU) 或系統記憶體管理單元 (SMMU) 後方。 |
| 目的 |
防止偷渡式攻擊,以及嘗試使用其他 DMA 控制器繞過 CPU 記憶體完整性保護的其他攻擊。 |
| 相依性 |
啟用並適當設定輸入/輸出記憶體管理單元 (IOMMU) 或系統記憶體管理單元 (SMMU) |
| 名稱 |
SecuredCore.Firmware.Protection |
| 狀態 |
必要 |
| 描述 |
裝置開機順序必須支援動態可信度量根 (DRTM),以及 UEFI 管理模式風險降低。 |
| 目的 |
防範韌體弱點、不受信任的程式碼和 Rootkit,這些弱點會嘗試利用早期和具特殊權限的開機階段來略過 OS 保護。 |
| 相依性 |
DRTM + UEFI |
| 資源 |
|
| 名稱 |
SecuredCore.Firmware.SecureBoot |
| 狀態 |
必要 |
| 描述 |
必須啟用 UEFI 安全開機。 |
| 目的 |
確保韌體和 OS 核心在開機順序中執行,先由受信任的授權單位簽署並保留完整性。 |
| 相依性 |
UEFI |
| 名稱 |
SecuredCore.Firmware.Attestation |
| 狀態 |
必要 |
| 描述 |
裝置身分識別 (及其平台開機記錄和測量值) 必須可由 Microsoft Azure 證明 (MAA) 服務遠端進行證明。 |
| 目的 |
允許服務建立裝置的可信度。 允許可靠的安全性態勢監視和其他信任案例,例如發行存取認證。 |
| 相依性 |
Microsoft Azure 證明服務 |
| 資源 |
Microsoft Azure 證明 |
Windows IoT 設定需求
| 名稱 |
SecuredCore.Encryption.Storage |
| 狀態 |
必要 |
| 描述 |
敏感及私人的資料必須使用 BitLocker 或類似工具進行靜態加密,並使用由硬體保護支援的加密金鑰。 |
| 目的 |
防止未經授權的執行者或遭竄改的軟體外泄敏感或私人資料。 |
| 名稱 |
SecuredCore.Encryption.TLS |
| 狀態 |
必要 |
| 描述 |
OS 必須支援至少 1.2 版的傳輸層安全性 (TLS),並啟用下列 TLS 加密套件:- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
| 目的 |
確保應用程式能夠使用由 Azure 服務支援、且無已知弱點的端對端加密通訊協定和加密。 |
| 相依性 |
Windows 10 IoT 企業版 1903 版或更新版本。 注意:其他需求對於其他服務可能需要更高的版本。 |
| 資源 |
Windows 中的 TLS 加密套件 |
| 名稱 |
SecuredCore.Protection.CodeIntegrity |
| 狀態 |
必要 |
| 描述 |
OS 必須已啟用虛擬化型程式碼完整性功能 (VBS + HVCI)。 |
| 目的 |
透過確保只有可驗證完整性的程式碼能夠執行,以防止核心內遭修改/惡意的程式碼。 |
| 相依性 |
已在裝置上啟用 VBS + HVCI。 |
| 資源 |
Hypervisor 保護的程式碼完整性啟用 |
| 名稱 |
SecuredCore.Protection.NetworkServices |
| 狀態 |
必要 |
| 描述 |
接聽網路輸入的服務不得以較高的權限執行。 安全性相關服務可能有例外。 |
| 目的 |
限制遭入侵網路服務的惡意探索。 |
Windows IoT 軟體/服務需求
| 名稱 |
SecuredCore.Built-in.Security |
| 狀態 |
必要 |
| 描述 |
裝置必須能將安全性記錄和警示傳送至雲端原生安全性監視解決方案,例如適用於端點的 Microsoft Defender。 |
| 目的 |
啟用機群狀態監視、診斷安全性威脅,並防範潛在和進行中的攻擊。 |
| 資源 |
適用於端點的 Defender |
| 名稱 |
SecuredCore.Protection.Baselines |
| 狀態 |
必要 |
| 描述 |
系統能成功套用基準安全性組態。 |
| 目的 |
確保採用預設即安全的組態態勢,降低因安全敏感性設定不正確導致入侵的風險。 |
| 資源 |
Microsoft 安全性基準
CIS 基準檢驗清單 |
| 名稱 |
SecuredCore.Protection.Update Resiliency |
| 狀態 |
必要 |
| 描述 |
如果更新造成問題,裝置必須可還原到最後一個已知良好的狀態。 |
| 目的 |
確保裝置可還原至功能正常、安全且可更新的狀態。 |
Windows IoT 原則需求
| 名稱 |
SecuredCore.Policy.Protection.Debug |
| 狀態 |
必要 |
| 描述 |
裝置上的偵錯功能必須停用,或需要授權才能啟用。 |
| 目的 |
確保軟體和硬體保護無法透過偵錯工具介入和反向通道繞過。 |
| 名稱 |
SecuredCore.Policy.Manageability.Reset |
| 狀態 |
必要 |
| 描述 |
必須能夠重設裝置 (移除使用者資料、移除使用者設定)。 |
| 目的 |
防止在裝置所有權或生命週期轉換期間外洩敏感或私人資料。 |
| 名稱 |
SecuredCore.Policy.Updates.Duration |
| 狀態 |
必要 |
| 描述 |
從提交日期起必須至少提供 60 個月的軟體更新。 |
| 目的 |
確保最短期間的持續安全性。 |
| 名稱 |
SecuredCore.Policy.Vuln.Disclosure |
| 狀態 |
必要 |
| 描述 |
必須設置收集及散發產品弱點報告的機制。 |
| 目的 |
針對探索到的弱點提供清楚路徑以供報告、評估和披露,協助有效的風險管理和及時修正。 |
| 資源 |
MSRC 入口網站 |
| 名稱 |
SecuredCore.Policy.Vuln.Fixes |
| 狀態 |
必要 |
| 描述 |
高度/關鍵性弱點 (使用常見弱點評分系統 3.0) 必須在修正可用後的 180 天內解決。 |
| 目的 |
確保及時解決高影響弱點,降低惡意探索的成功率和影響。 |
Linux OS 支援
注意
尚未支援 Linux。 預期的需求如下所示。 如果您想要認證 Linux 裝置,請填寫此表單。
Linux 硬體/韌體需求
| 名稱 |
SecuredCore.Hardware.Identity |
| 狀態 |
必要 |
| 描述 |
裝置身分識別的根目錄必須位於硬體中。 |
| 目的 |
保護裝置根身分識別的複製和偽裝,這是是透過信任鏈支持上層軟體層信任的關鍵。 提供可證明、不可變且加密安全的身分識別。 |
| 相依性 |
信任平台模組 (TPM) v2.0
或*其他支援的方法 |
| 名稱 |
SecuredCore.Hardware.MemoryProtection |
| 狀態 |
必要 |
| 描述 |
所有啟用 DMA 的外部存取連接埠,都必須位於已啟用且適當設定的輸入輸出記憶體管理單元 (IOMMU) 或系統記憶體管理單元 (SMMU) 後方。 |
| 目的 |
防止偷渡式攻擊,以及嘗試使用其他 DMA 控制器繞過 CPU 記憶體完整性保護的其他攻擊。 |
| 相依性 |
啟用並適當設定輸入-輸出記憶體管理單元 (IOMMU) 或系統記憶體管理單元 (SMMU) |
| 名稱 |
SecuredCore.Firmware.Protection |
| 狀態 |
必要 |
| 描述 |
裝置開機順序必須支援下列其中一項:- 具備 SRTM 支援 + 執行階段韌體強化的已核准韌體
- 由經核准 Microsoft 協力廠商進行的韌體掃描及評估
|
| 目的 |
防範韌體弱點、不受信任的程式碼和 Rootkit,這些弱點會嘗試利用早期和具特殊權限的開機階段來略過 OS 保護。 |
| 資源 |
受信任的運算群組 |
| 名稱 |
SecuredCore.Firmware.SecureBoot |
| 狀態 |
必要 |
| 描述 |
任一:- UEFI:必須啟用安全開機
- Uboot:必須啟用驗證開機
|
| 目的 |
確保韌體和 OS 核心在開機順序中執行,先由受信任的授權單位簽署並保留完整性。 |
| 名稱 |
SecuredCore.Firmware.Attestation |
| 狀態 |
必要 |
| 描述 |
裝置身分識別 (及其平台開機記錄和測量值) 必須可由 Microsoft Azure 證明 (MAA) 服務遠端進行證明。 |
| 目的 |
允許服務建立裝置的可信度。 允許可靠的安全性態勢監視和其他信任案例,例如發行存取認證。 |
| 相依性 |
信任平台模組 (TPM) 2.0
或*支援的 OP-TEE 型應用程式鏈結至 HWRoT (防護元件或安全記憶體保護區) |
| 資源 |
Microsoft Azure 證明 |
| 名稱 |
SecuredCore.Hardware.SecureEnclave |
| 狀態 |
選擇性 |
| 描述 |
裝置必須具備能夠執行安全性功能的安全記憶體保護區。 |
| 目的 |
確保將敏感性密碼編譯作業 (裝置身分識別和信任鏈結的關鍵作業) 隔離並實施保護措施,防止受到來自主要 OS 和特定形式的旁路攻擊。 |
Linux 設定需求
| 名稱 |
SecuredCore.Encryption.Storage |
| 狀態 |
必要 |
| 描述 |
敏感和私人資料必須使用 dm-crypt 或類似的靜態加密方式、支援 XTS-AES 做為預設演算法、金鑰長度為 128 位或更高,且具有硬體保護支援的加密密鑰。 |
| 目的 |
防止未經授權的執行者或遭竄改的軟體外泄敏感或私人資料。 |
| 名稱 |
SecuredCore.Encryption.TLS |
| 狀態 |
必要 |
| 描述 |
OS 必須支援至少 1.2 版的傳輸層安全性 (TLS),並啟用下列 TLS 加密套件:- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
| 目的 |
確保應用程式能夠使用由 Azure 服務支援、且無已知弱點的端對端加密通訊協定和加密。 |
| 名稱 |
SecuredCore.Protection.CodeIntegrity |
| 狀態 |
必要 |
| 描述 |
操作系統必須啟用 dm-verity 和 IMA 程式碼完整性功能,並以最低權限執行程式碼。 |
| 目的 |
透過確保只有可驗證完整性的程式碼能夠執行,以防止遭修改/惡意的程式碼。 |
| 名稱 |
SecuredCore.Protection.NetworkServices |
| 狀態 |
必要 |
| 描述 |
接聽網路輸入的服務不得以較高的權限執行,例如 SYSTEM 或根目錄。 安全性相關服務可能有例外。 |
| 目的 |
限制遭入侵網路服務的惡意探索。 |
Linux 軟體/服務需求
| 名稱 |
SecuredCore.Built-in.Security |
| 狀態 |
必要 |
| 描述 |
裝置必須能將安全性記錄和警示傳送至雲端原生安全性監視解決方案,例如適用於端點的 Microsoft Defender。 |
| 目的 |
啟用機群狀態監視、診斷安全性威脅,並防範潛在和進行中的攻擊。 |
| 資源 |
適用於端點的 Defender |
| 名稱 |
SecuredCore.Manageability.Configuration |
| 狀態 |
必要 |
| 描述 |
裝置必須支援透過 Azure 的系統組態稽核和設定 (以及某些管理動作,例如重新啟動)。 注意:雖然未禁止操作員使用其他系統管理工具鏈 (例如 Ansible),但裝置必須包含適用於 Azure 管理的 azure-osconfig 代理程式。 |
| 目的 |
採取預設即安全的組態態勢,並套用安全性基準,降低因安全敏感性設定不正確導致入侵的風險。 |
| Dependency |
azure-osconfig |
| 名稱 |
SecuredCore.Update |
| 狀態 |
Audit |
| 描述 |
裝置必須能透過 Azure Device Update 或其他已核准服務接收及更新其韌體和軟體。 |
| 目的 |
啟用持續的安全性和可更新信任。 |
| 名稱 |
SecuredCore.UpdateResiliency |
| 狀態 |
必要 |
| 描述 |
如果更新造成問題,裝置必須可還原到最後一個已知良好的狀態。 |
| 目的 |
確保裝置可還原至功能正常、安全且可更新的狀態。 |
| 名稱 |
SecuredCore.Protection.Baselines |
| 狀態 |
必要 |
| 描述 |
系統能成功套用基準安全性組態。 |
| 目的 |
確保採用預設即安全的組態態勢,降低因安全敏感性設定不正確導致入侵的風險。 |
| 資源 |
|
| 名稱 |
SecuredCore.Protection.SignedUpdates |
| 狀態 |
必要 |
| 描述 |
作業系統、驅動程式、應用程式軟體、連結庫、套件和韌體的更新必須經過簽署。 |
| 目的 |
防止在更新程式期間安裝未經授權的或惡意程式碼。 |
Linux 原則需求
| 名稱 |
SecuredCore.Policy.Protection.Debug |
| 狀態 |
必要 |
| 描述 |
裝置上的偵錯功能必須停用,或需要授權才能啟用。 |
| 目的 |
確保軟體和硬體保護無法透過偵錯工具介入和反向通道繞過。 |
| 名稱 |
SecuredCore.Policy.Manageability.Reset |
| 狀態 |
必要 |
| 描述 |
必須能夠重設裝置 (移除使用者資料、移除使用者設定)。 |
| 目的 |
防止在裝置所有權或生命週期轉換期間外洩敏感或私人資料。 |
| 名稱 |
SecuredCore.Policy.Updates.Duration |
| 狀態 |
必要 |
| 描述 |
從提交日期起必須至少提供 60 個月的軟體更新。 |
| 目的 |
確保最短期間的持續安全性。 |
| 名稱 |
SecuredCore.Policy.Vuln.Disclosure |
| 狀態 |
必要 |
| 描述 |
必須設置收集及散發產品弱點報告的機制。 |
| 目的 |
針對探索到的弱點提供清楚路徑以供報告、評估和披露,協助有效的風險管理和及時修正。 |
| 名稱 |
SecuredCore.Policy.Vuln.Fixes |
| 狀態 |
必要 |
| 描述 |
高度/關鍵性弱點 (使用常見弱點評分系統 3.0) 必須在修正可用後的 180 天內解決。 |
| 目的 |
確保及時解決高影響弱點,降低惡意探索的成功率和影響。 |
您的設計中必須包含 Mediatek MT3620AN。 如需建置安全 Azure Sphere 應用程式的詳細資訊,請參閱 Azure Sphere 應用程式注意事項。
Azure Sphere 硬體/韌體需求
| 名稱 |
SecuredCore.Hardware.Identity |
| 狀態 |
必要 |
| 描述 |
裝置身分識別的根目錄必須位於硬體中。 |
| 目的 |
保護裝置根身分識別的複製和偽裝,這是是透過信任鏈支持上層軟體層信任的關鍵。 提供可證明、不可變且加密安全的身分識別。 |
| 相依性 |
Azure Sphere 符合這項需求,因為 MT3620 包含整合式 Pluton 安全性處理器。 |
| 名稱 |
SecuredCore.Hardware.MemoryProtection |
| 狀態 |
必要 |
| 描述 |
所有啟用 DMA 的外部存取連接埠,都必須位於已啟用且適當設定的輸入輸出記憶體管理單元 (IOMMU) 或系統記憶體管理單元 (SMMU) 後方。 |
| 目的 |
防止偷渡式攻擊,以及嘗試使用其他 DMA 控制器繞過 CPU 記憶體完整性保護的其他攻擊。 |
| 相依性 |
Azure Sphere 會透過安全可設定的周邊防火牆來滿足此需求。 |
| 名稱 |
SecuredCore.Firmware.Protection |
| 狀態 |
必要 |
| 描述 |
裝置開機順序必須防範韌體安全性威脅。 |
| 目的 |
防範韌體弱點、持續不受信任的程式碼和 Rootkit,這些弱點會嘗試利用早期和具特殊權限的開機階段來繞過 OS 保護。 |
| 相依性 |
Azure Sphere 會透過 Microsoft 管理、經強化且已驗證的開機鏈來滿足這項需求。 |
| 名稱 |
SecuredCore.Firmware.SecureBoot |
| 狀態 |
必要 |
| 描述 |
裝置開機順序必須經過驗證。 |
| 目的 |
確保韌體和 OS 核心在開機順序中執行,先由受信任的授權單位簽署並保留完整性。 |
| 相依性 |
Azure Sphere 會透過 Microsoft 管理且已驗證的開機鏈來滿足這項需求。 |
| 名稱 |
SecuredCore.Firmware.Attestation |
| 狀態 |
必要 |
| 描述 |
裝置身分識別 (及其平台開機記錄和測量值) 必須可由 Microsoft Azure 證明 (MAA) 服務遠端進行證明。 |
| 目的 |
允許服務建立裝置的可信度。 允許可靠的安全性態勢監視和其他信任案例,例如發行存取認證。 |
| 相依性 |
Azure Sphere 會透過 Azure Sphere 安全性服務 (AS3) 所提供的裝置驗證和證明 (DAA) 服務滿足這項需求。 |
| 名稱 |
SecuredCore.Hardware.SecureEnclave |
| 狀態 |
必要 |
| 描述 |
裝置必須具備能夠執行安全性功能的安全記憶體保護區。 |
| 目的 |
確保將敏感性密碼編譯作業 (裝置身分識別和信任鏈結的關鍵作業) 隔離並實施保護措施,防止受到來自主要 OS 和特定形式的旁路攻擊。 |
| 相依性 |
Azure Sphere 符合這項需求,因為 MT3260 包含 Pluton 安全性處理器。 |
Azure Sphere OS 組態需求
| 名稱 |
SecuredCore.Encryption.Storage |
| 狀態 |
必要 |
| 描述 |
敏感及私人的資料必須進行靜態加密,並使用由硬體保護支援的加密金鑰。 |
| 目的 |
防止未經授權的執行者或遭竄改的軟體外泄敏感或私人資料。 |
| 相依性 |
Azure Sphere 可讓您使用 Pluton 安全性處理器、套件內的非揮發性記憶體,以及客戶公開的 wolfCrypt API 來滿足此需求。 |
| 名稱 |
SecuredCore.Encryption.TLS |
| 狀態 |
必要 |
| 描述 |
OS 必須支援至少 1.2 版的傳輸層安全性 (TLS),並提供安全 TLS 加密套件。 |
| 目的 |
確保應用程式能夠使用由 Azure 服務支援、且無已知弱點的端對端加密通訊協定和加密。 |
| 相依性 |
Azure Sphere 滿足此需求的方法是透過 Microsoft 管理的 wolfSSL 連結庫、僅使用安全的 TLS 加密套件,並以裝置驗證和證明 (DAA) 憑證支援。 |
| 名稱 |
SecuredCore.Protection.CodeIntegrity |
| 狀態 |
必要 |
| 描述 |
OS 必須支援功能程式碼完整性,並以最低權限運行程式碼。 |
| 目的 |
透過確保只有可驗證完整性的程式碼能夠執行,以防止遭修改/惡意的程式碼。 |
| 相依性 |
Azure Sphere 透過由 Microsoft 管理且經強化的 OS 滿足這項需求,其中包含儲存在封裝內非揮發性記憶體上的唯讀文件系統、在 On-Die RAM 上執行,並具有受限制/隔離和最低權限的工作負載。 |
| 名稱 |
SecuredCore.Protection.NetworkServices |
| 狀態 |
必要 |
| 描述 |
接聽網路輸入的服務不得以較高的權限執行,例如 SYSTEM 或根目錄。 安全性相關服務可能有例外。 |
| 目的 |
限制遭入侵網路服務的惡意探索。 |
| 相依性 |
Azure Sphere 可透過受限制/隔離和最低權限的工作負載來滿足這項需求。 |
| 名稱 |
SecuredCore.Protection.NetworkFirewall |
| 狀態 |
必要 |
| 描述 |
應用程式無法連線到尚未授權的端點。 |
| 目的 |
限制上游網路流量和遠端存取/控制遭到入侵或惡意應用程式惡意探索的能力。 |
| 相依性 |
Azure Sphere 透過安全可設定的網路防火牆和裝置驗證和證明 (DAA) 憑證滿足這項需求。 |
Azure Sphere 軟體/服務需求
| 名稱 |
SecuredCore.Built-in.Security |
| 狀態 |
必要 |
| 描述 |
裝置必須能將安全性記錄和警示傳送至雲端原生安全性監視解決方案。 |
| 目的 |
啟用機群狀態監視、診斷安全性威脅,並防範潛在和進行中的攻擊。 |
| 相依性 |
Azure Sphere 透過將 Azure Sphere 安全性服務 (AS3) 遙測與 Azure 監視器整合,以及應用程式透過 Azure 服務傳送安全性記錄和警示的能力,滿足這項需求。 |
| 資源 |
收集並解譯錯誤資料 - Azure Sphere
設定損毀傾印 - Azure Sphere |
| 名稱 |
SecuredCore.Manageability.Configuration |
| 狀態 |
必要 |
| 描述 |
裝置必須支援透過 Azure 的系統組態稽核和設定 (以及某些管理動作)。 |
| 目的 |
採取預設即安全的組態態勢,並套用安全性基準,降低因安全敏感性設定不正確導致入侵的風險。 |
| 相依性 |
Azure Sphere 可透過安全的客戶應用程式設定指令清單來滿足這項需求,這些指令清單是基於由 Microsoft 管理且經強化的 OS。 |
| 名稱 |
SecuredCore.Update |
| 狀態 |
必要 |
| 描述 |
裝置必須能夠接收及更新其韌體和軟體。 |
| 目的 |
啟用持續的安全性和可更新信任。 |
| 相依性 |
Azure Sphere 透過由 Microsoft 管理且自動更新的 OS 滿足此需求,客戶應用程式更新會透過 Azure Sphere 安全性服務 (AS3) 從遠端提供。 |
| 名稱 |
SecuredCore.Protection.Baselines |
| 狀態 |
必要 |
| 描述 |
系統能成功套用基準安全性組態。 |
| 目的 |
確保採用預設即安全的組態態勢,降低因安全敏感性設定不正確導致入侵的風險。 |
| 相依性 |
Azure Sphere 可透過由 Microsoft 管理的強化作業系統來滿足這項需求。 |
| 名稱 |
SecuredCore.Protection.Update Resiliency |
| 狀態 |
必要 |
| 描述 |
如果更新造成問題,裝置必須可還原到最後一個已知良好的狀態。 |
| 目的 |
確保裝置可還原至功能正常、安全且可更新的狀態。 |
| 相依性 |
Azure Sphere 可透過內建的更新復原機制來滿足這項需求。 |
| 名稱 |
SecuredCore.Protection.SignedUpdates |
| 狀態 |
必要 |
| 描述 |
作業系統、驅動程式、應用程式軟體、連結庫、套件和韌體的更新必須經過簽署。 |
| 目的 |
防止在更新程式期間安裝未經授權的或惡意程式碼。 |
| 相依性 |
Azure Sphere 符合此需求。 |
Azure Sphere 原則需求
| 名稱 |
SecuredCore.Policy.Protection.Debug |
| 狀態 |
必要 |
| 描述 |
裝置上的偵錯功能必須停用,或需要授權才能啟用。 |
| 目的 |
確保軟體和硬體保護無法透過偵錯工具介入和反向通道繞過。 |
| 相依性 |
Azure Sphere OS 滿足此需求,因為偵錯功能需要僅提供給裝置 OEM 擁有者的簽署權限。 |
| 名稱 |
SecuredCore.Policy.Manageability.Reset |
| 狀態 |
必要 |
| 描述 |
必須能夠重設裝置 (移除使用者資料、移除使用者設定)。 |
| 目的 |
防止在裝置所有權或生命週期轉換期間外洩敏感或私人資料。 |
| 相依性 |
Azure Sphere OS 可讓 OEM 應用程式實作重設功能。 |
| 名稱 |
SecuredCore.Policy.Updates.Duration |
| 狀態 |
必要 |
| 描述 |
從提交日期起必須至少提供 60 個月的軟體更新。 |
| 目的 |
確保最短期間的持續安全性。 |
| 相依性 |
Azure Sphere OS 可滿足此需求,因為 Microsoft 提供 OS 安全性更新,而 AS3 服務可讓 OEM 提供應用程式軟體更新。 |
| 名稱 |
SecuredCore.Policy.Vuln.Disclosure |
| 狀態 |
必要 |
| 描述 |
必須設置收集及散發產品弱點報告的機制。 |
| 目的 |
針對探索到的弱點提供清楚路徑以供報告、評估和披露,協助有效的風險管理和及時修正。 |
| 相依性 |
Azure Sphere OS 弱點可以回報給 Microsoft 安全回應中心 (MSRC),並透過 Azure Sphere 的「新功能」頁面以及 Mitre 的 CVE 資料庫告知客戶。 |
| 資源 |
|
| 名稱 |
SecuredCore.Policy.Vuln.Fixes |
| 狀態 |
必要 |
| 描述 |
高度/關鍵性弱點 (使用常見弱點評分系統 3.0) 必須在修正可用後的 180 天內解決。 |
| 目的 |
確保及時解決高影響弱點,降低惡意探索的成功率和影響。 |
| 相依性 |
Azure Sphere OS 可滿足此需求,因為 Microsoft 會提供符合上述需求的 OS 安全性更新。 AS3 服務可讓 OEM 提供應用程式軟體更新以滿足此需求。 |