Správce zabezpečení Azure IoT Edge

Platí pro: IoT Edge 1.5 IoT Edge 1.4

Důležité

Podporované verze ioT Edge 1.5 LTS a IoT Edge 1.4 LTS. IoT Edge 1.4 LTS je konec životnosti 12. listopadu 2024. Pokud používáte starší verzi, podívejte se na článek Aktualizace IoT Edge.

Správce zabezpečení Azure IoT Edge je dobře ohraničené jádro zabezpečení pro ochranu zařízení IoT Edge a všech jejích komponent abstrakcí zabezpečeného čipového hardwaru. Vedoucí zabezpečení je ústředním bodem posílení zabezpečení a poskytuje bod integrace technologií původním výrobcům zařízení (OEM).

Správce zabezpečení abstrahuje zabezpečený silicon hardware na zařízení IoT Edge a poskytuje architekturu rozšiřitelnosti pro další služby zabezpečení.

Cílem správce zabezpečení IoT Edge je chránit integritu zařízení IoT Edge a veškeré vlastní softwarové operace. Správce zabezpečení přepíná vztah důvěryhodnosti ze základního hardwarového kořene důvěryhodného hardwaru (pokud je k dispozici) a spustí modul runtime IoT Edge a monitoruje probíhající operace. Správce zabezpečení IoT Edge pracuje společně se zabezpečeným čipovým hardwarem (kde je k dispozici), který pomáhá zajistit nejvyšší možné záruky zabezpečení.

Kromě toho správce zabezpečení IoT Edge poskytuje bezpečnou architekturu pro rozšíření služeb zabezpečení prostřednictvím modulů na úrovni hostitele. Mezi tyto služby patří monitorování zabezpečení a aktualizace, které vyžadují agenty v zařízení s privilegovaným přístupem k některým komponentám zařízení. Architektura rozšiřitelnosti zajišťuje, aby takové integrace konzistentně dodržovaly celkové zabezpečení systému.

Povinnosti správce zabezpečení IoT Edge zahrnují, ale nejsou omezené na:

• Bootstrap zařízení Azure IoT Edge.
• Řízení přístupu ke kořenovému adresáři hardwaru zařízení prostřednictvím notárních služeb.
• Monitorujte integritu operací IoT Edge za běhu.
• Zřiďte identitu zařízení a v případě potřeby spravujte přechod důvěryhodnosti.
• Zajistěte bezpečné fungování klientských agentů pro služby, včetně aktualizace zařízení pro IoT Hub a Microsoft Defenderu pro IoT.

Správce zabezpečení IoT Edge se skládá ze tří komponent:

• Modul runtime modulu IoT Edge
• Abstrakce modulu hardwarového zabezpečení (HSM) prostřednictvím standardních implementací, jako jsou PKCS#11 a TPM (Trusted Platform Module)
• Hardwarový silicon root důvěryhodnosti nebo HSM (volitelné, ale důrazně doporučeno)

Změny ve verzi 1.2 a novější

Ve verzích 1.0 a 1.1 ioT Edge byla komponenta označovaná jako démon zabezpečení zodpovědná za logické operace zabezpečení správce zabezpečení. V aktualizaci na verzi 1.2 bylo do subsystému zabezpečení služby Azure IoT Identity Service delegováno několik klíčových zodpovědností. Jakmile se tyto úlohy založené na zabezpečení odeberou z démona zabezpečení, jeho název už nemá smysl. Abychom lépe odráželi práci, kterou tato komponenta dělá ve verzi 1.2 a novější, přejmenovali jsme ji na modul runtime.

Modul runtime modulu IoT Edge

Modul runtime IoT Edge deleguje vztah důvěryhodnosti ze subsystému zabezpečení služby Azure IoT Identity Service za účelem ochrany prostředí modulu runtime kontejneru IoT Edge. Jedna služba, která je teď delegovaná do služby Azure IoT Identity Service, je automatizovaná služba zápisu certifikátů a obnovení prostřednictvím serveru EST. Pokud chcete zjistit, jak to funguje, a vytvořit ukázkový server EST vytvořený pro zařízení IoT Edge, vyzkoušejte kurz Konfigurace registrace přes zabezpečený transportní server pro Azure IoT Edge .

Modul runtime zodpovídá za logické operace zabezpečení správce zabezpečení. Představuje významnou část důvěryhodné výpočetní základny zařízení IoT Edge. Modul runtime používá služby zabezpečení ze služby IoT Identity Service, která je zase posílená výběrem modulu hardwarového zabezpečení (HSM) výrobce zařízení. Důrazně doporučujeme používat moduly hardwarového zabezpečení pro posílení zabezpečení zařízení.

Zásady návrhu

IoT Edge se řídí dvěma základními principy: maximalizuje provozní integritu a minimalizuje bloud a četnost změn.

Maximalizace provozní integrity

Modul runtime modulu IoT Edge funguje s nejvyšší možnou integritou v rámci možnosti ochrany jakéhokoli z daných kořenových certifikátů hardwaru. Při správné integraci je kořen hardwarových měr důvěryhodnosti a monitoruje proces démona zabezpečení staticky a za běhu, aby odolal manipulaci.

Škodlivý fyzický přístup k zařízením je vždy hrozbou v IoT. Kořen důvěryhodnosti hardwaru hraje důležitou roli při ochraně integrity zařízení IoT Edge. Kořen důvěryhodnosti hardwaru přichází ve dvou odrůdách:

• Zabezpečení prvků pro ochranu citlivých informací, jako jsou tajné kódy a kryptografické klíče.
• Zabezpečené enklávy pro ochranu tajných kódů, jako jsou klíče, a citlivé úlohy, jako jsou důvěrné modely strojového učení a operace měření.

Existují dva druhy spouštěcích prostředí pro použití kořenového klíče důvěryhodnosti hardwaru:

• Standardní nebo bohaté spouštěcí prostředí (REE), které spoléhá na použití zabezpečených prvků k ochraně citlivých informací.
• Důvěryhodné spouštěcí prostředí (TEE), které spoléhá na použití zabezpečené technologie enklávy k ochraně citlivých informací a zajištění ochrany při spouštění softwaru.

Pro zařízení, která používají zabezpečené enklávy jako kořen důvěryhodnosti hardwaru, by citlivá logika v modulu runtime ioT Edge měla být uvnitř enklávy. Necitlivě citlivé části modulu runtime můžou být mimo TEE. Ve všechpřípadechchm modulům (HSM) doporučujeme ve všech případech důrazně doporučit, aby výrobci původního návrhu (ODM) a výrobci originálních zařízení (OEM) rozšířili důvěru z modulu HSM a změřili a chránil

Minimalizace bloudů a změn

Dalším základním principem modulu runtime ioT Edge je minimalizace četnosti změn. Modul runtime modulu IoT Edge může pro nejvyšší úroveň důvěryhodnosti úzce spojit s kořenem důvěryhodnosti hardwaru zařízení a pracovat jako nativní kód. V těchto případech je běžné aktualizovat software IoT Edge prostřednictvím kořenového adresáře hardwaru cest zabezpečených aktualizací důvěryhodnosti místo mechanismů aktualizací operačního systému, což může být náročné. Pro zařízení IoT se doporučuje prodloužení platnosti zabezpečení, ale nadměrné požadavky na aktualizace nebo velké datové části aktualizací můžou hrozbu rozšířit mnoha způsoby. Můžete být například lákaví přeskočit některé aktualizace, aby se maximalizovala dostupnost zařízení. Proto je návrh modulu runtime ioT Edge stručný, aby byl dobře izolovaný důvěryhodný výpočetní základ malý, aby podporoval časté aktualizace.

Architektura

Modul runtime modulu IoT Edge využívá všechny dostupné hardwarové kořeny technologie důvěryhodnosti pro posílení zabezpečení. Umožňuje také rozdělit svět mezi standardním/bohatým spouštěcím prostředím (REE) a důvěryhodným spouštěcím prostředím (TEE), když hardwarové technologie nabízejí důvěryhodná spouštěcí prostředí. Rozhraní specifická pro role umožňují hlavním komponentám IoT Edge zajistit integritu zařízení IoT Edge a jeho operací.

Cloudové rozhraní

Cloudové rozhraní umožňuje přístup ke cloudovým službám, které doplňují zabezpečení zařízení. Toto rozhraní například umožňuje přístup ke službě Device Provisioning pro správu životního cyklu identit zařízení.

Rozhraní API pro správu

Rozhraní API pro správu volá agent IoT Edge při vytváření, spouštění, zastavování nebo odebírání modulu IoT Edge. Modul runtime ukládá "registrace" pro všechny aktivní moduly. Tyto registrace mapují identitu modulu na některé vlastnosti modulu. Tyto vlastnosti modulu například zahrnují identifikátor procesu (pid) procesu spuštěného v kontejneru a hodnotu hash obsahu kontejneru Dockeru.

Tyto vlastnosti používá rozhraní API pro úlohy (popsané níže) k ověření, že volající má autorizaci k akci.

Rozhraní API pro správu je privilegované rozhraní API, které lze volat pouze z agenta IoT Edge. Vzhledem k tomu, že modul runtime IoT Edge spustí a spustí agenta IoT Edge, ověří, že s agentem IoT Edge nedošlo k manipulaci, může vytvořit implicitní registraci pro agenta IoT Edge. Stejný proces ověření identity, který rozhraní API pro úlohy používá, také omezuje přístup k rozhraní API pro správu jenom na agenta IoT Edge.

Rozhraní API kontejneru

Rozhraní API kontejneru komunikuje se systémem kontejnerů, který se používá ke správě modulů, jako je Moby nebo Docker.

Rozhraní API pro úlohy

Rozhraní API pro úlohy je přístupné pro všechny moduly. Poskytuje doklad o identitě, a to buď jako podepsaný token HSM, nebo certifikát X509 a odpovídající sadu důvěryhodnosti modulu. Sada důvěryhodných certifikátů obsahuje certifikáty certifikační autority pro všechny ostatní servery, kterým by moduly měly důvěřovat.

Modul runtime modulu IoT Edge používá proces ověření identity, který chrání toto rozhraní API. Když modul zavolá toto rozhraní API, modul runtime se pokusí najít registraci identity. V případě úspěchu použije vlastnosti registrace k měření modulu. Pokud výsledek procesu měření odpovídá registraci, vygeneruje se nový důkaz identity. Odpovídající certifikáty certifikační autority (sada důvěryhodných certifikátů) se vrátí do modulu. Tento certifikát používá k připojení ke službě IoT Hub, dalším modulům nebo spuštění serveru. Když se podepsaný token nebo certifikát blíží vypršení platnosti, je zodpovědností modulu požádat o nový certifikát.

Integrace a údržba

Microsoft udržuje hlavní základ kódu pro modul runtime ioT Edge a službu identit Azure IoT na GitHubu.

Při čtení základu kódu IoT Edge nezapomeňte, že modul runtime se vyvinul z démona zabezpečení. Základ kódu může stále obsahovat odkazy na proces démon zabezpečení.

Instalace a aktualizace

Instalace a aktualizace modulu Runtime ioT Edge se spravují prostřednictvím systému správy balíčků operačního systému. Zařízení IoT Edge s hardwarovým kořenem důvěryhodnosti by měla poskytovat další posílení integrity modulu runtime tím, že spravují životní cyklus prostřednictvím zabezpečených systémů pro správu spouštění a aktualizací. Tvůrci zařízení by měli tyto cesty prozkoumat na základě příslušných schopností zařízení.

Vytváření verzí

Modul runtime IoT Edge sleduje a hlásí verzi modulu runtime IoT Edge. Verze je hlášena jako atribut runtime.platform.version ohlášené vlastnosti modulu agenta IoT Edge.

Modul hardwarového zabezpečení

Správce zabezpečení IoT Edge implementuje standardy rozhraní TRUSTED Platform Module a PKCS#11 pro integraci modulů hardwarového zabezpečení (HSM). Díky těmto standardům je možné integrovat prakticky jakýkoli HSM, včetně těch s proprietárními rozhraními. Pro posílení zabezpečení důrazně doporučujeme používat moduly hardwarového zabezpečení.

Zabezpečený silicon root důvěryhodného hardwaru

Zabezpečení siliconu je nezbytné k ukotvení důvěryhodnosti uvnitř hardwaru zařízení IoT Edge. Bezpečné silicon přichází v různých variantách, včetně čipu TPM (Trusted Platform Module), integrovaného zabezpečeného elementu (eSE), Arm TrustZone, Intel SGX a vlastních zabezpečených čipových technologií. Použití zabezpečeného silicon rootu důvěryhodnosti v zařízeních se doporučuje vzhledem k hrozbám spojeným s fyzickou přístupností zařízení IoT.

Cílem správce zabezpečení IoT Edge je identifikovat a izolovat komponenty, které chrání zabezpečení a integritu platformy Azure IoT Edge pro vlastní posílení zabezpečení. Třetí strany, jako jsou tvůrci zařízení, by měly používat vlastní funkce zabezpečení dostupné s hardwarem zařízení.

Zjistěte, jak posílit zabezpečení Správce zabezpečení Azure IoT pomocí čipu TPM (Trusted Platform Module) pomocí softwaru nebo virtuálních čipů TPM:

Vytvořte a zřiďte zařízení IoT Edge s virtuálním čipem TPM v Linuxu nebo Linuxu ve Windows.

Další kroky

Další informace o zabezpečení zařízení IoT Edge najdete v následujících blogových příspěvcích:

• Zabezpečení inteligentního hraničního zařízení.
• Podrobný plán pro bezpečné řešení nesrozumitelných zřizování zařízení IoT ve velkém měřítku
• Řešení zabezpečení zařízení IoT ve velkém měřítku prostřednictvím standardů