IoT Edge para Linux na segurança do Windows

Aplica-se a:ícone sim IoT Edge 1.1 Outras versões: IoT Edge 1.2, IoT Edge 1.3

Aplica-se a:IoT Edge marca de verificação 1.2 IoT Edge 1.2 IoT Edge 1.3 IoT Edge 1.3 Outras versões:IoT Edge 1.1

O Azure IoT Edge para o Linux no Windows beneficia de todas as ofertas de segurança de funcionar num anfitrião Windows Client/Server e garante que todos os componentes extras mantêm as mesmas instalações de segurança. Este artigo fornece informações sobre as diferentes instalações de segurança que são ativadas por padrão, e algumas das premissas opcionais que o utilizador pode ativar.

Segurança da máquina virtual

A IoT Edge para a máquina virtual com curadoria do Linux (EFLOW) é baseada no Microsoft CBL-Mariner. CBL-Mariner é uma distribuição interna do Linux para a infraestrutura de nuvem da Microsoft e produtos e serviços de borda. CBL-Mariner foi concebido para fornecer uma plataforma consistente para estes dispositivos e serviços e melhora a capacidade da Microsoft de se manter atual nas atualizações do Linux. Para mais informações, consulte a segurança da CBL-Mariner.

A máquina virtual EFLOW é construída numa plataforma de segurança abrangente de três pontos:

  1. Atualizações de manutenção
  2. Sistema de ficheiros raiz apenas de leitura
  3. Bloqueio de firewall

A máquina virtual EFLOW é construída numa plataforma de segurança abrangente de quatro pontos:

  1. Atualizações de manutenção
  2. Sistema de ficheiros raiz apenas de leitura
  3. Bloqueio de firewall
  4. DM-Verity

Atualizações de manutenção

Quando surgem vulnerabilidades de segurança, CBL-Mariner disponibiliza os mais recentes patches e correções de segurança para serem reparados através de atualizações mensais ELOW. A máquina virtual não tem gestor de pacotes, por isso não é possível descarregar manualmente e instalar pacotes RPM. Todas as atualizações à máquina virtual são instaladas utilizando o mecanismo de atualização EFLOW A/B. Para obter mais informações sobre as atualizações do EFLOW, consulte a IoT Edge de atualização para Linux no Windows

Sistema de ficheiros raiz apenas de leitura

A máquina virtual EFLOW é composta por duas divisórias principais e dados. As divisórias rootFS-A ou rootFS-B são permutáveis e uma das duas é montada como um sistema de ficheiros apenas de leitura em /, o que significa que não são permitidas alterações em ficheiros armazenados dentro desta partição. Por outro lado, a partição de dados montada sob /var é legível e escrita, permitindo ao utilizador modificar o conteúdo dentro da partição. Os dados armazenados nesta partição não são manipulados pelo processo de atualização e, portanto, não serão modificados através de atualizações.

Porque pode precisar de escrever acesso a /etc, /homepara /rootcasos específicos de /var uso, escrever acesso para estes diretórios é feito, colocando-os na nossa partição de dados especificamente para o diretório /var/.eflow/overlays. O resultado final disto é que os utilizadores podem escrever qualquer coisa para os diretórios mencionados anteriormente. Para obter mais informações sobre sobreposições, consulte sobreposições.

Layout de partição EFLOW 1.1LTS

Partição Tamanho Descrição
Arranque 192 MB Contém o bootloader
RootFS A 2 GB Uma de duas divisórias ativas/passivas que mantêm o sistema de ficheiros radi ao raiz
RootFS B 2 GB Uma de duas divisórias ativas/passivas que mantêm o sistema de ficheiros radi ao raiz
Atualização AB 2 GB Detém os ficheiros de atualização. Certifique-se de que há sempre espaço suficiente no VM para atualizações
Dados 2 GB a 2 TB Partição imponente para armazenar dados persistentes em atualizações. Expansível de acordo com a configuração de implementação

Layout de partição de CR EFLOW

Partição Tamanho Descrição
BootEFIA 8 MB Partição de firmware A para futura bota GRUBless
Boota 192 MB Contém o bootloader para uma partição
RootFS A 4GB Uma de duas divisórias ativas/passivas que mantêm o sistema de ficheiros radi ao raiz
BootEFIB 8 MB Partição de firmware B para futura bota GRUBless
Botão 192 MB Contém o bootloader para a partição B
RootFS B 4GB Uma de duas divisórias ativas/passivas que mantêm o sistema de ficheiros radi ao raiz
Não éustado 4GB Esta divisória está reservada para uso futuro
Registo 1 GB ou 6 GB Regista partição específica montada em /logs
Dados 2 GB a 2 TB Partição imponente para armazenar dados persistentes em atualizações. Expansível de acordo com a configuração de implementação

Nota

O layout de partição representa o tamanho do disco lógico e não indica o espaço físico que a máquina virtual ocupará no disco oss do anfitrião.

Firewall

Por predefinição, a máquina virtual EFLOW utiliza o utilitário iptables para configurações de firewall. Os iptables são utilizados para configurar, manter e inspecionar as tabelas das regras do filtro de pacotes IP no núcleo Linux. A implementação predefinida só permite a entrada de tráfego na porta 22 (serviço SSH) e bloqueia o tráfego de outra forma. Pode verificar a configuração do iptables com os seguintes passos:

  1. Abra uma sessão powerShell elevada

  2. Ligue-se à máquina virtual EFLOW

    Connect-EflowVm
    
  3. Listar todas as regras do iptables

    sudo iptables -L
    

    EFLOW iptables padrão

Bota verificada

A máquina virtual EFLOW suporta o arranque verificado através da função de núcleo de identificação do dispositivo mapper-verity (dm-verity), que proporciona uma verificação transparente da integridade dos dispositivos de bloqueio. dm-verity ajuda a prevenir rootkits persistentes que podem manter privilégios de raiz e dispositivos de compromisso. Esta funcionalidade garante que a imagem de software de base de máquina virtual é a mesma e não foi alterada. A máquina virtual utiliza a função dm-verity para verificar o dispositivo de bloqueio específico, a camada de armazenamento subjacente do sistema de ficheiros e determinar se corresponde à configuração esperada.

Por predefinição, esta funcionalidade é desativada na máquina virtual e pode ser ligada ou desligada. Para mais informações, consulte dm-verity.

Módulo de plataforma fidedigno (TPM)

A tecnologia de módulo de plataforma fidedigna (TPM) foi concebida para fornecer funções baseadas em hardware e relacionadas com a segurança. Um chip TPM é um crypto-processador seguro que é projetado para realizar operações criptográficas. O chip inclui múltiplos mecanismos de segurança física para torná-lo resistente à adulteração, e o software malicioso é incapaz de adulterar as funções de segurança do TPM.

A máquina virtual EFLOW não suporta vTPM. No entanto, o utilizador pode ativar/desativar a funcionalidade passthrough TPM, que permite à máquina virtual EFLOW utilizar o Sistema OPERATIVO OS do Windows. Isto permite dois cenários principais:

Comunicação de máquina virtual de anfitrião & segura

O EFLOW fornece múltiplas formas de interagir com a máquina virtual expondo uma rica implementação do módulo PowerShell. Para obter mais informações, consulte as funções PowerShell para IoT Edge para Linux no Windows. Este módulo requer uma sessão elevada para ser executado, e está assinado usando um certificado da Microsoft Corporation.

Todas as comunicações entre o sistema operativo hospedeiro Windows e a máquina virtual EFLOW exigidas pelos cmdlets PowerShell são feitas utilizando um canal SSH. Por predefinição, o serviço SSH da máquina virtual não permitirá a autenticação através do nome de utilizador e da palavra-passe, e está limitado à autenticação de certificados. O certificado é criado durante o processo de implantação do EFLOW, e é único para cada instalação EFLOW. Além disso, para evitar ataques de força bruta SSH, a máquina virtual bloqueará um endereço IP se tentar mais de três ligações por minuto ao serviço SSH.

Na versão EFLOW Continuous Release (CR), introduzimos uma alteração no canal de transporte utilizado para estabelecer a ligação SSH. Originalmente, o serviço SSH funciona na porta TCP 22, que pode ser acedida por todos os dispositivos externos da mesma rede utilizando uma tomada TCP para essa porta específica. Por razões de segurança, o EFLOW CR executa o serviço SSH sobre as tomadas Hyper-V em vez de tomadas TCP normais. Toda a comunicação sobre as tomadas Hyper-V funciona entre o SISTEMA hospedeiro do Windows e a máquina virtual EFLOW, sem utilizar a rede. Isto limita o acesso do serviço SSH, limitando as ligações apenas ao sistema operativo hospedeiro windows. Para mais informações, consulte as tomadas Hyper-V.

Passos seguintes

Ler mais sobre as instalações de segurança do Windows IoT

Mantenha-se atualizado com as mais recentes IoT Edge para Linux sobre atualizações do Windows.