Konfidentiell databehandling vid gränsen

Gäller för bockmarkeringen IoT Edge1.1 IoT Edge 1.1 IoT Edge 1.2 IoT Edge 1.2 IoT Edge 1.3 IoT Edge 1.3

Azure IoT Edge stöder konfidentiella program som körs i säkra enklaver på enheten. Kryptering ger säkerhet för data under överföring eller i vila, men enklaver ger säkerhet för data och arbetsbelastningar när de används. IoT Edge stöder Open Enclave som standard för utveckling av konfidentiella program.

Säkerhet har alltid varit ett viktigt fokus för Sakernas Internet (IoT) eftersom ofta IoT-enheter ofta är ute i världen snarare än säkra i en privat anläggning. Den här exponeringen utsätter enheter för risk för manipulering och förfalskning eftersom de är fysiskt tillgängliga för dåliga aktörer. IoT Edge enheter har ännu större behov av förtroende och integritet eftersom de tillåter att känsliga arbetsbelastningar körs vid gränsen. Till skillnad från vanliga sensorer och ställdon exponerar dessa intelligenta gränsenheter potentiellt känsliga arbetsbelastningar som tidigare bara kördes i skyddade molnmiljöer eller lokala miljöer.

Den IoT Edge säkerhetshanteraren hanterar en del av den konfidentiella databehandlingsuppgiften. Säkerhetshanteraren använder en maskinvarusäkerhetsmodul (HSM) för att skydda identitetsarbetsbelastningar och pågående processer för en IoT Edge enhet.

En annan aspekt av konfidentiell databehandling är att skydda de data som används vid gränsen. En betrodd körningsmiljö (TEE) är en säker, isolerad miljö på en processor och kallas ibland en enklav. Ett konfidentiellt program är ett program som körs i en enklav. På grund av enklaver skyddas konfidentiella program från andra appar som körs i huvudprocessorn eller i TEE.

Konfidentiella program på IoT Edge

Konfidentiella program krypteras under överföring och i vila och dekrypteras bara för att köras i en betrodd körningsmiljö. Den här standarden gäller för konfidentiella program som distribueras som IoT Edge moduler.

Utvecklaren skapar det konfidentiella programmet och paketar det som en IoT Edge modul. Programmet krypteras innan det skickas till containerregistret. Programmet förblir krypterat under hela IoT Edge distributionsprocessen tills modulen startas på den IoT Edge enheten. När det konfidentiella programmet finns i enhetens TEE dekrypteras det och kan börja köras.

Diagram – Konfidentiella program krypteras i IoT Edge moduler tills de distribueras till den säkra enklaven

Konfidentiella program på IoT Edge är en logisk förlängning av konfidentiell databehandling i Azure. Arbetsbelastningar som körs i säkra enklaver i molnet kan också distribueras för att köras inom säkra enklaver vid gränsen.

Öppna enklav

Open Enclave SDK är ett öppen källkod projekt som hjälper utvecklare att skapa konfidentiella program för flera plattformar och miljöer. Open Enclave SDK fungerar i den betrodda körningsmiljön för en enhet, medan Open Enclave API fungerar som ett gränssnitt mellan TEE och icke-TEE-bearbetningsmiljön.

Open Enclave stöder flera maskinvaruplattformar. IoT Edge stöd för enklaver kräver för närvarande operativsystemet Open Portable TEE (OP-TEE OS). Mer information finns i Open Enclave SDK for OP-TEE OS (Öppna Enclave SDK för OP-TEE OS).

Open Enclave-lagringsplatsen innehåller även exempel som hjälper utvecklare att komma igång. Om du vill ha mer information väljer du någon av de inledande artiklarna:

Maskinvara

För närvarande är TrustBox by Scalys den enda enhet som stöds med tillverkarens serviceavtal för distribution av konfidentiella program som IoT Edge moduler. TrustBox bygger på TrustBox Edge- och TrustBox EdgeXL-enheter som båda är förinstallerade med Open Enclave SDK och Azure IoT Edge.

Mer information finns i Komma igång med Open Enclave för Scalys TrustBox.

Utveckla och distribuera

När du är redo att utveckla och distribuera ditt konfidentiella program kan Microsoft Open Enclave-tillägget för Visual Studio Code hjälpa dig. Du kan använda Antingen Linux eller Windows som utvecklingsdator för att utveckla moduler för TrustBox.

Nästa steg

Lär dig hur du börjar utveckla konfidentiella program som IoT Edge moduler med Open Enclave-tillägget för Visual Studio Code