Condividi tramite

Confidential computing sul perimetro

  • Articolo

Si applica a:Segno di spunta IoT Edge 1.5 IoT Edge 1.5 Segno di spunta IoT Edge 1.4 IoT Edge 1.4

Importante

IoT Edge 1.5 LTS e IoT Edge 1.4 LTS sono versioni supportate. IoT Edge 1.4 LTS è di fine vita il 12 novembre 2024. Se si usa una versione precedente, vedere Aggiornare IoT Edge.

Azure IoT Edge supporta applicazioni riservate eseguite all'interno di enclave sicuri nel dispositivo. La crittografia offre sicurezza per i dati in transito o inattivi, ma le enclave offrono sicurezza per i dati e i carichi di lavoro durante l'uso. IoT Edge supporta Open Enclave come standard per lo sviluppo di applicazioni riservate.

La sicurezza è un obiettivo importante di Internet delle cose (IoT) perché spesso i dispositivi IoT sono spesso fuori dal mondo anziché protetti all'interno di una struttura privata. Questa esposizione mette i dispositivi a rischio di manomissione e falsificazione perché sono fisicamente accessibili agli attori malintenzionati. I dispositivi IoT Edge hanno ancora più bisogno di attendibilità e integrità perché consentono l'esecuzione di carichi di lavoro sensibili al perimetro. A differenza dei sensori e degli attuatori comuni, questi dispositivi perimetrali intelligenti stanno potenzialmente esponendo carichi di lavoro sensibili che in precedenza venivano eseguiti solo all'interno di ambienti cloud protetti o locali.

Il responsabile della sicurezza di IoT Edge risolve una delle sfide di confidential computing. Il gestore della sicurezza usa un modulo di protezione hardware (HSM) per proteggere i carichi di lavoro di identità e i processi continui di un dispositivo IoT Edge.

Un altro aspetto del confidential computing è la protezione dei dati in uso nella rete perimetrale. Un ambiente di esecuzione attendibile (T edizione Enterprise) è un ambiente sicuro e isolato in un processore e talvolta definito enclave. Un'applicazione riservata è un'applicazione che viene eseguita in un enclave. A causa della natura delle enclave, le applicazioni riservate sono protette da altre app in esecuzione nel processore principale o nel T edizione Enterprise.

Applicazioni riservate in IoT Edge

Le applicazioni riservate vengono crittografate in transito e inattive e decrittografate solo per l'esecuzione all'interno di un ambiente di esecuzione attendibile. Questo standard è valido per le applicazioni riservate distribuite come moduli IoT Edge.

Lo sviluppatore crea l'applicazione riservata e lo crea come modulo IoT Edge. L'applicazione viene crittografata prima di essere sottoposta a push nel registro contenitori. L'applicazione rimane crittografata durante il processo di distribuzione di IoT Edge fino all'avvio del modulo nel dispositivo IoT Edge. Una volta che l'applicazione riservata si trova all'interno del T edizione Enterprise del dispositivo, viene decrittografata e può iniziare l'esecuzione.

Diagramma che mostra che le applicazioni riservate vengono crittografate all'interno dei moduli IoT Edge fino a quando non vengono distribuite nell'enclave sicuro.

Le applicazioni riservate in IoT Edge sono un'estensione logica del confidential computing di Azure. I carichi di lavoro eseguiti all'interno di enclave sicuri nel cloud possono anche essere distribuiti per l'esecuzione all'interno di enclave sicuri al perimetro.

Open Enclave

Open Enclave SDK è un progetto open source che consente agli sviluppatori di creare applicazioni riservate per più piattaforme e ambienti. Open Enclave SDK opera nell'ambiente di esecuzione attendibile di un dispositivo, mentre l'API Open Enclave funge da interfaccia tra T edizione Enterprise e l'ambiente di elaborazione non T edizione Enterprise.

Open Enclave supporta più piattaforme hardware. Il supporto di IoT Edge per le enclave richiede attualmente il sistema operativo Open Portable T edizione Enterprise (OP-T edizione Enterprise OS). Per altre informazioni, vedere Open Enclave SDK for OP-T edizione Enterprise OS (Open Enclave SDK for OP-T edizione Enterprise OS( Open Enclave SDK for OP-T edizione Enterprise OS(Open Enclave SDK for OP-T edizione Enterprise OS

Il repository Open Enclave include anche esempi che consentono agli sviluppatori di iniziare. Per altre informazioni, scegliere uno degli articoli introduttivi:

Hardware

Attualmente, TrustBox by Scalys è l'unico dispositivo supportato con i contratti di servizio del produttore per la distribuzione di applicazioni riservate come moduli IoT Edge. TrustBox è basato sui dispositivi TrustBox Edge e TrustBox EdgeXL, entrambi precaricati con Open Enclave SDK e Azure IoT Edge.

Per altre informazioni, vedere Introduzione all'enclave open per Scalys TrustBox.

Sviluppare e distribuire

Quando si è pronti a sviluppare e distribuire l'applicazione riservata, l'estensione Microsoft Open Enclave per Visual Studio Code può essere utile. È possibile usare Linux o Windows come computer di sviluppo per sviluppare moduli per TrustBox.

Passaggi successivi

Informazioni su come iniziare a sviluppare applicazioni riservate come moduli IoT Edge con l'estensione Open Enclave per Visual Studio Code.