Identitas dan keamanan perangkat

Anda dapat menyebarkan dan mengelola berbagai perangkat sekaligus. Manajemen perangkat didasarkan pada kemampuan untuk mengidentifikasi dan mengakses setiap perangkat secara individual jika diperlukan. Untuk memungkinkan Anda melakukan hal ini, setiap perangkat Azure Sphere diberi ID perangkat internal unik yang terus melakukan pembaruan apa pun pada perangkat, termasuk operasi pemulihan.

Namun, dalam sistem digital, ID perangkat dapat dengan mudah disadap, dipalsukan, atau disalahgunakan. Sebagai hasilnya, Anda hanya boleh mengizinkan perangkat yang identitasnya dapat diverifikasi dan divalidasi untuk mengakses data Anda yang sangat berharga dan tersambung ke layanan Anda.

Azure Sphere menyediakan proses untuk memungkinkan perangkat mengidentifikasi dirinya sendiri (autentikasi) dan untuk konfirmasi identitas perangkat (pengesahan). Proses autentikasi dan pengesahan yang digunakan oleh Layanan Keamanan Azure Sphere menggunakan kunci yang telah diketahui sebelumnya, komunikasi aman, dan perangkat keras khusus untuk mengonfirmasi identitas perangkat. Jika autentikasi dan pengesahan perangkat berhasil, sertifikat akan dikeluarkan untuk perangkat. Sertifikat yang valid menunjukkan bahwa:

• Identitas perangkat telah diverifikasi.
• Perangkat dapat dipercaya.

Dengan Azure Sphere, sertifikat perangkat dirantai terlebih dahulu ke sertifikat tingkat katalog (memudahkan organisasi untuk mempercayai hanya perangkat dari katalognya sendiri) lalu sertifikat Microsoft, yang mencerminkan bahwa Microsoft telah memvalidasi bahwa perangkat keras ini adalah contoh terverifikasi dari chip Azure Sphere bersertifikat yang menjalankan Microsoft OS yang aman.

Konsep berikut ini dapat membantu menggunakan identitas perangkat dengan cara yang paling aman dan efektif:

• Kepercayaan bersifat sementara
  Kepercayaan pada sistem bisa hilang, dan itu bisa kembali. Prinsip penerapan arsitektur Zero Trust dalam sistem IoT adalah memverifikasi secara eksplisit. Ini berarti setiap kali Anda berinteraksi dengan perangkat, menentukan keaslian perangkat secara eksplisit dan membuktikan bahwa transaksi data dapat dipercaya. Perangkat Azure Sphere secara otomatis melakukan proses autentikasi dan pengesahan setiap 24 jam dengan layanan keamanan cloud Azure Sphere. Indikasi bahwa identitas perangkat telah berhasil diverifikasi adalah adanya sertifikat yang ditandatangani secara kriptografis, yang berakar di Layanan Keamanan Awan Microsoft Azure Sphere.

• Identitas = pengidentifikasi + pengesahan
  Pengidentifikasi dapat disalin dan diduplikasi. Akibatnya, perangkat tidak dapat diketahui dengan mudah oleh pengidentifikasinya. Identitas perangkat (atau identitas pengguna) harus dianggap sebagai kombinasi pengidentifikasi dan pengesahan bahwa pengidentifikasi tersebut valid dalam konteks tertentu. Anda tidak boleh menetapkan pengidentifikasi ke perangkat dan menggunakannya terpisah dari proses pengesahan. Jika memungkinkan, gabungkan pengidentifikasi dengan bukti pengesahan pada setiap lapisan interaksi dalam sistem Anda.

• Pengidentifikasi + sertifikat kepercayaan
  Pengidentifikasi harus dianggap tidak lebih dari referensi. Saja tidak boleh diasumsikan untuk menunjukkan apa pun tentang kepercayaan objek yang dirujuknya. Misalnya, gunakan pengidentifikasi untuk berlangganan pesan MQTT, gunakan pengidentifikasi untuk mengelompokkan data tepercaya bersama-sama dalam portal, dan menggunakan pengidentifikasi untuk merutekan lalu lintas dan data dalam sistem. Namun, dalam hal kepercayaan, daripada mempercayai pengidentifikasi, percayai sertifikat yang ditandatangani secara kriptografis dan berantai. Sertifikat sangat bermanfaat untuk alur data tanpa kata sandi antara komponen sistem dan merupakan bukti identifikasi yang telah diuji dan terbukti dapat dipercaya dalam konteks tertentu.

Saat menggunakan Azure IoT Hub, jika dikonfigurasi sesuai dengan rekomendasi yang didokumentasikan, konsep ini sudah digabungkan, menyederhanakan penyebaran sistem yang aman dan tangguh.

Anda juga harus menerapkan konsep ini saat menyambungkan ke titik akhir atau layanan non-Azure yang anda kontrol secara langsung. Misalnya, jika menggunakan MQTT, perangkat mungkin menyertakan identitasnya sendiri sebagai bagian dari topik MQTT yang diterbitkan. Namun, sebelum menerima pembaruan topik dari perangkat, server MQTT harus memverifikasi bahwa sertifikat yang disediakan perangkat mengautentikasinya untuk diterbitkan ke topik tertentu ini.

Sertifikat perangkat Azure Sphere dan akses ID perangkat

• Untuk mengakses sertifikat perangkat di aplikasi Anda, gunakan fungsi DeviceAuth_GetCertificatePath .

• Untuk mengakses ID Perangkat unik perangkat, urai subjek dari sertifikat yang disediakan oleh fungsi DeviceAuth_GetCertificatePath() menggunakan fungsi wolfSSL_X509_get_subject_name .

Potongan kode Dapatkan ID Perangkat Azure Sphere menunjukkan cara mendapatkan ID Perangkat Azure Sphere dalam aplikasi tingkat tinggi. Ini mengembalikan ID Perangkat sebagai penyangga karakter 128 karakter. Potongan ini memerintahkan wolfSSL untuk membuka sesi dengan sertifikat, menarik konteks dan sertifikat, memilah ID subjek sertifikat yang merupakan ID Perangkat untuk Perangkat Azure Sphere, dan mengembalikannya sebagai char penunjuk.