Freigeben über


Edge Secured-Core: Zertifizierungsanforderungen

Windows IoT-Betriebssystemunterstützung

Edge Secured-Core erfordert eine Version von Windows IoT, für die zum Zeitpunkt der Zertifizierung noch mindestens fünf Jahre Support von Microsoft im Supportlebenszyklus bestehen, z. B.:

Windows IoT-Hardware-/Firmwareanforderungen

Hinweis

Folgendes muss von der Hardware unterstützt und auf ihr aktiviert sein:

  • Intel- oder AMD-Virtualisierungserweiterungen
  • Trusted Platform Module (TPM) 2.0
  • Für Intel-Systeme: Intel Virtualization Technology für Directed I/O (VT-d), Intel Trusted Execution Technology (TXT) und SINIT ACM-Treiberpaket müssen im Windows-Systemimage (für DRTM) enthalten sein
  • Für AMD-Systeme: AMD IOMMU- und AMD-V-Virtualisierung und SKINIT-Paket müssen in das Windows-Systemimage (für DRTM) integriert sein.
  • Kernel-DMA-Schutz (Direct Memory Access, direkter Speicherzugriff; auch als Speicherzugriffsschutz bezeichnet)


Name SecuredCore.Hardware.Identity
Status Erforderlich
Beschreibung Die Geräteidentität muss auf Hardware basieren.
Zweck Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit.
Abhängigkeiten Trusted Platform Module (TPM) v2.0-Gerät


Name SecuredCore.Hardware.MemoryProtection
Status Erforderlich
Beschreibung Alle extern zugänglichen Ports, die für direkten Speicherzugriff (DMA) aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden.
Zweck Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen.
Abhängigkeiten Aktivierte und entsprechend konfigurierte Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (IOMMU) oder Systemspeicher-Verwaltungseinheit (SMMU)


Name SecuredCore.Firmware.Protection
Status Erforderlich
Beschreibung Die Startsequenz des Geräts muss neben Risikominderungsmaßnahmen des UEFI-Verwaltungsmodus (Unified Extensible Firmware Interface) den dynamischen Vertrauensanker für Messungen (Dynamic Root of Trust for Measurement, DRTM) unterstützen.
Zweck Schützt vor Schwachstellen in der Firmware, nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen.
Abhängigkeiten DRTM + UEFI
Ressourcen


Name SecuredCore.Firmware.SecureBoot
Status Erforderlich
Beschreibung „UEFI Secure Boot“ muss aktiviert sein.
Zweck Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten.
Abhängigkeiten UEFI


Name SecuredCore.Firmware.Attestation
Status Erforderlich
Beschreibung Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für den Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein.
Zweck Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen.
Abhängigkeiten Microsoft Azure Attestation-Dienst
Ressourcen Microsoft Azure Attestation

Windows IoT-Konfigurationsanforderungen



Name SecuredCore.Encryption.Storage
Status Erforderlich
Beschreibung Vertrauliche und private Daten müssen im Ruhezustand mit BitLocker oder einem ähnlichen Feature mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz verschlüsselt werden.
Zweck Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software.


Name SecuredCore.Encryption.TLS
Status Erforderlich
Beschreibung Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und die folgenden Sammlungen von TLS-Verschlüsselungsverfahren müssen verfügbar und aktiviert sein:
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Zweck Stellt sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können.
Abhängigkeiten Windows 10 IoT Enterprise Version 1903 oder höher. Hinweis: Andere Anforderungen erfordern möglicherweise höhere Versionen für andere Dienste.
Ressourcen Sammlungen von TLS-Verschlüsselungsverfahren in Windows


Name SecuredCore.Protection.CodeIntegrity
Status Erforderlich
Beschreibung Für das Betriebssystem müssen virtualisierungsbasierte Codeintegritätsfeatures aktiviert sein: Virtualization-Based Security (VBS) und Hypervisor-Protected Code Integrity (HVCI).
Zweck Schützt vor geändertem/schädlichem Code aus dem Kernel, indem sichergestellt wird, dass nur Code mit überprüfbarer Integrität ausgeführt werden kann.
Abhängigkeiten VBS und HVCI sind auf dem Gerät aktiviert.
Ressourcen Aktivierung von Hypervisor-geschützter Codeintegrität


Name SecuredCore.Protection.NetworkServices
Status Erforderlich
Beschreibung Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden. Für sicherheitsbezogene Dienste können Ausnahmen gelten.
Zweck Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten.

Windows IoT-Software/-Dienstanforderungen



Name SecuredCore.Built-in.Security
Status Erforderlich
Beschreibung Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung wie Microsoft Defender for Endpoint zu senden.
Zweck Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen.
Ressourcen Defender für Endpunkt


Name SecuredCore.Protection.Baselines
Status Erforderlich
Beschreibung Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden.
Zweck Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen.
Ressourcen Microsoft-Sicherheitsbaselines
Liste der Center for Internet Security (CIS)-Benchmarks
Name SecuredCore.Protection.UpdateResiliency
Status Erforderlich
Beschreibung Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht.
Zweck Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können.

Windows IoT-Richtlinienanforderungen

Name SecuredCore.Policy.Protection.Debug
Status Erforderlich
Beschreibung Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern.
Zweck Stellt sicher, dass Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können.


Name SecuredCore.Policy.Manageability.Reset
Status Erforderlich
Beschreibung Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen).
Zweck Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen.


Name SecuredCore.Policy.Updates.Duration
Status Erforderlich
Beschreibung Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden.
Zweck Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher.


Name SecuredCore.Policy.Vuln.Disclosure
Status Erforderlich
Beschreibung Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein.
Zweck Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen.
Ressourcen Microsoft Security Response Center (MSRC)-Portal


Name SecuredCore.Policy.Vuln.Fixes
Status Erforderlich
Beschreibung Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden.
Zweck Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden.


Linux-Betriebssystemunterstützung

Hinweis

Linux wird noch nicht unterstützt. Im Folgenden sind die erwarteten Anforderungen aufgeführt. Füllen Sie dieses Formular aus, wenn Sie ein Linux-Gerät zertifizieren möchten.

Linux-Hardware-/Firmwareanforderungen


Name SecuredCore.Hardware.Identity
Status Erforderlich
Beschreibung Die Geräteidentität muss auf Hardware basieren.
Zweck Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit.
Abhängigkeiten Trusted Platform Module (TPM) v2.0
oder *eine andere unterstützte Methode


Name SecuredCore.Hardware.MemoryProtection
Status Erforderlich
Beschreibung Alle extern zugänglichen Ports, die für DMA aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden.
Zweck Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen.
Abhängigkeiten Aktivierte und entsprechend konfigurierte Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (IOMMU) oder Systemspeicher-Verwaltungseinheit (SMMU)


Name SecuredCore.Firmware.Protection
Status Erforderlich
Beschreibung Die Startsequenz des Geräts muss eine der folgenden Optionen unterstützen:
  • Genehmigte Firmware mit SRTM-Unterstützung (Static Root of Trust for Measurement, statischer Vertrauensanker für Messungen) und Laufzeit-Firmwarehärtung
  • Firmwareüberprüfung und -auswertung durch genehmigte Microsoft-Drittanbieter
Zweck Schützt vor Schwachstellen in der Firmware, nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen.
Ressourcen Vertrauenswürdige Computergruppe


Name SecuredCore.Firmware.SecureBoot
Status Erforderlich
Beschreibung Entweder:
  • „UEFI Secure Boot“ muss aktiviert sein.
  • „Uboot: Verified boot“ muss aktiviert sein.
Zweck Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten.


Name SecuredCore.Firmware.Attestation
Status Erforderlich
Beschreibung Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für den Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein.
Zweck Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen.
Abhängigkeiten Trusted Platform Module (TPM) 2.0
oder *unterstützte OP-TEE-basierte Anwendung, die mit einem Hardwarevertrauensanker (Hardware Root-of-Trust, HWRoT) verkettet ist (Secure Element oder Secure Enclave)
Ressourcen Microsoft Azure Attestation


Name SecuredCore.Hardware.SecureEnclave
Status Optional
Beschreibung Das Gerät muss über eine Secure Enclave verfügen, die Sicherheitsfunktionen ausführen kann.
Zweck Stellt sicher, dass vertrauliche kryptografische Vorgänge (die Vorgänge, die grundlegend für die Geräteidentität und die Vertrauenskette sind) isoliert und vor dem primären Betriebssystem und einigen Formen von Seitenkanalangriffen geschützt sind.

Linux-Konfigurationsanforderungen


Name SecuredCore.Encryption.Storage
Status Erforderlich
Beschreibung Vertrauliche und private Daten müssen im Ruhezustand mit „dm-crypt“ oder einem ähnlichen Feature verschlüsselt werden, das XTX-AES als Standardalgorithmus mit einer Schlüssellänge von mindestens 128 Bits mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz unterstützt.
Zweck Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software.


Name SecuredCore.Encryption.TLS
Status Erforderlich
Beschreibung Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und die folgenden Sammlungen von TLS-Verschlüsselungsverfahren müssen verfügbar und aktiviert sein:
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
Zweck Stellen Sie sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können.


Name SecuredCore.Protection.CodeIntegrity
Status Erforderlich
Beschreibung Für das Betriebssystem müssen „dm-verity“ und IMA-Codeintegritätsfeatures (Integrity Measurement Architecture, IMA) aktiviert sein, und Code muss mit den geringsten Rechten ausgeführt werden.
Zweck Schützt vor geändertem/schädlichem Code, indem sichergestellt wird, dass nur Code mit überprüfbarer Integrität ausgeführt werden kann.


Name SecuredCore.Protection.NetworkServices
Status Erforderlich
Beschreibung Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden (z. B. SYSTEM oder „root“). Für sicherheitsbezogene Dienste können Ausnahmen gelten.
Zweck Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten.

Linux-Software/-Dienstanforderungen


Name SecuredCore.Built-in.Security
Status Erforderlich
Beschreibung Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung wie Microsoft Defender for Endpoint zu senden.
Zweck Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen.
Ressourcen Defender für Endpunkt


Name SecuredCore.Manageability.Configuration
Status Erforderlich
Beschreibung Das Gerät muss die Überwachung und Festlegung der Systemkonfiguration (und bestimmte Verwaltungsaktionen wie Neustart) über Azure unterstützen. Hinweis: Die Verwendung anderer Systemverwaltungstoolketten (z. B. Ansible) durch Operatoren ist nicht verboten, das Gerät muss jedoch den azure-osconfig-Agent für die Azure-Verwaltung enthalten.
Zweck Ermöglicht die Anwendung von Sicherheitsbaselines als Teil eines standardmäßig sicheren Konfigurationsstatus, wodurch das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen verringert wird.
Abhängigkeit azure-osconfig


Name SecuredCore.Update
Status Audit
Beschreibung Das Gerät muss in der Lage sein, Updates zu empfangen und seine Firmware und Software über Azure Device Update oder andere genehmigte Dienste zu aktualisieren.
Zweck Ermöglicht kontinuierliche Sicherheit und erneuerbare Vertrauensstellungen.


Name SecuredCore.UpdateResiliency
Status Erforderlich
Beschreibung Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht.
Zweck Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können.


Name SecuredCore.Protection.Baselines
Status Erforderlich
Beschreibung Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden.
Zweck Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen.
Ressourcen


Name SecuredCore.Protection.SignedUpdates
Status Erforderlich
Beschreibung Updates für das Betriebssystem, Treiber, Anwendungssoftware, Bibliotheken, Pakete und Firmware müssen signiert sein.
Zweck Verhindert die Installation von nicht autorisiertem oder schädlichem Code während des Updateprozesses.

Linux-Richtlinienanforderungen


Name SecuredCore.Policy.Protection.Debug
Status Erforderlich
Beschreibung Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern.
Zweck Stellt sicher, dass Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können.


Name SecuredCore.Policy.Manageability.Reset
Status Erforderlich
Beschreibung Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen).
Zweck Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen.


Name SecuredCore.Policy.Updates.Duration
Status Erforderlich
Beschreibung Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden.
Zweck Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher.


Name SecuredCore.Policy.Vuln.Disclosure
Status Erforderlich
Beschreibung Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein.
Zweck Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen.


Name SecuredCore.Policy.Vuln.Fixes
Status Erforderlich
Beschreibung Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden.
Zweck Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden.

Unterstützung der Azure Sphere-Plattform

MediaTek MT3620AN muss in Ihrem Entwurf enthalten sein. Weitere Anleitungen zum Erstellen gesicherter Azure Sphere-Anwendungen finden Sie in den Anwendungshinweisen zu Azure Sphere.

Azure Sphere: Hardware-/Firmwareanforderungen


Name SecuredCore.Hardware.Identity
Status Erforderlich
Beschreibung Die Geräteidentität muss auf Hardware basieren.
Zweck Schützt vor Klonen und Maskierung der Gerätestammidentität, der wichtigsten Grundlage der Vertrauensstellung in oberen Softwareebenen, die durch eine Vertrauenskette erweitert werden. Stellen Sie eine nachweisbare, unveränderliche und kryptografisch sichere Identität bereit.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung, da MT3620 den integrierten Pluton-Sicherheitsprozessor enthält.


Name SecuredCore.Hardware.MemoryProtection
Status Erforderlich
Beschreibung Alle extern zugänglichen Ports, die für DMA aktiviert sind, müssen sich hinter einer aktivierten und entsprechend konfigurierten Eingabe-Ausgabe-Arbeitsspeicherverwaltungseinheit (Input-Output Memory Management Unit, IOMMU) oder Systemspeicher-Verwaltungseinheit (System Memory Management Unit, SMMU) befinden.
Zweck Schützt vor Drive-by- und anderen Angriffen, bei denen versucht wird, andere DMA-Controller zu verwenden, um den CPU-Speicherintegritätsschutz zu umgehen.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch eine sicher konfigurierbare Peripheriefirewall.


Name SecuredCore.Firmware.Protection
Status Erforderlich
Beschreibung Die Gerätestartsequenz muss Schutz vor Sicherheitsbedrohungen durch Firmware bieten.
Zweck Schützt vor Schwachstellen in der Firmware, persistentem nicht vertrauenswürdigem Code und Rootkits, die frühe und privilegierte Startphasen ausnutzen, um Schutzmaßnahmen des Betriebssystems zu umgehen.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete, gehärtete und authentifizierte Startkette.


Name SecuredCore.Firmware.SecureBoot
Status Erforderlich
Beschreibung Die Startsequenz des Geräts muss authentifiziert sein.
Zweck Stellt sicher, dass die als Teil der Startsequenz ausgeführte Firmware und der Betriebssystem-Kernel zuvor von einer vertrauenswürdigen Stelle signiert wurden und die Integrität beibehalten.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete authentifizierte Startkette.


Name SecuredCore.Firmware.Attestation
Status Erforderlich
Beschreibung Die Geräteidentität sowie die zugehörigen Plattformstartprotokolle und Messungen müssen für einen Microsoft Azure Attestation (MAA)-Dienst remote nachweisbar sein.
Zweck Ermöglicht es Diensten, die Vertrauenswürdigkeit des Geräts herzustellen. Ermöglicht eine zuverlässige Überwachung des Sicherheitsstatus und andere Szenarien mit Vertrauensstellungen wie die Freigabe von Zugriffsanmeldeinformationen.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung über den Geräteauthentifizierungs- und -nachweisdienst (Device Authentication and Attestation, DAA), der als Teil des Azure Sphere-Sicherheitsdiensts (Azure Sphere Security Service, AS3) bereitgestellt wird.


Name SecuredCore.Hardware.SecureEnclave
Status Erforderlich
Beschreibung Das Gerät muss über eine Secure Enclave verfügen, die Sicherheitsfunktionen ausführen kann.
Zweck Stellt sicher, dass vertrauliche kryptografische Vorgänge (die Vorgänge, die grundlegend für die Geräteidentität und die Vertrauenskette sind) isoliert und vor dem primären Betriebssystem und einigen Formen von Seitenkanalangriffen geschützt sind.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung, da MT3260 den Pluton-Sicherheitsprozessor enthält.

Azure Sphere: Anforderungen an die Betriebssystemkonfiguration


Name SecuredCore.Encryption.Storage
Status Erforderlich
Beschreibung Vertrauliche und private Daten müssen im Ruhezustand mit Absicherung der Verschlüsselungsschlüssel durch Hardwareschutz verschlüsselt werden.
Zweck Schützt vor der Exfiltration vertraulicher oder privater Daten durch nicht autorisierte Akteure oder manipulierte Software.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung mit dem Pluton-Sicherheitsprozessor, dem im Paket enthaltenen nicht flüchtigen Speicher und den für Kunden verfügbar gemachten wolfCrypt-APIs.


Name SecuredCore.Encryption.TLS
Status Erforderlich
Beschreibung Das Betriebssystem muss mindestens Transport Layer Security (TLS) 1.2 unterstützen, und Sammlungen sicherer TLS-Verschlüsselungsverfahren müssen verfügbar sein.
Zweck Stellt sicher, dass Anwendungen von Azure-Diensten unterstützte End-to-End-Verschlüsselungsprotokolle und Verschlüsselungsverfahren ohne bekannte Schwachstellen verwenden können.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch eine von Microsoft verwaltete wolfSSL-Bibliothek, die nur Sammlungen sicherer TLS-Verschlüsselungsverfahren verwendet, die von DAA-Zertifikaten unterstützt werden.


Name SecuredCore.Protection.CodeIntegrity
Status Erforderlich
Beschreibung Das Betriebssystem muss die Codeintegrität unterstützen, und Code muss mit den geringsten Rechten ausgeführt werden.
Zweck Schützt vor geändertem/schädlichem Code, indem sichergestellt wird, dass nur Code mit überprüfbarer Integrität ausgeführt werden kann.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch das von Microsoft verwaltete und gehärtete Betriebssystem mit einem schreibgeschützten Dateisystem, das in nicht flüchtigem Speicher im Paket gespeichert ist und mit eingeschränkten Workloads mit den geringsten Rechten in On-Die-RAM ausgeführt wird.


Name SecuredCore.Protection.NetworkServices
Status Erforderlich
Beschreibung Dienste, die auf Eingaben aus dem Netzwerk lauschen, dürfen nicht mit erhöhten Rechten ausgeführt werden (z. B. SYSTEM oder „root“). Für sicherheitsbezogene Dienste können Ausnahmen gelten.
Zweck Beschränkt die Ausnutzbarkeit von kompromittierten Netzwerkdiensten.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch eingeschränkte Workloads, die mit den geringsten Rechten ausgeführt werden.


Name SecuredCore.Protection.NetworkFirewall
Status Erforderlich
Beschreibung Anwendungen können keine Verbindung mit Endpunkten herstellen, die nicht autorisiert wurden.
Zweck Beschränkt die Ausnutzbarkeit von kompromittierten oder schädlichen Anwendungen für Upstream-Netzwerkdatenverkehr und Remotezugriff/-steuerung.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch eine sicher konfigurierbare Netzwerkfirewall und DAA-Zertifikate.

Azure Sphere: Anforderungen an Software/Dienste


Name SecuredCore.Built-in.Security
Status Erforderlich
Beschreibung Geräte müssen in der Lage sein, Sicherheitsprotokolle und Warnungen an eine cloudnative Sicherheitsüberwachungslösung zu senden.
Zweck Ermöglicht die Statusüberwachung für Flotten sowie die Diagnose von Sicherheitsbedrohungen und schützt vor latenten und laufenden Angriffen.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch die Integration von Telemetriedaten des Azure Sphere-Sicherheitsdiensts (AS3) in Azure Monitor und die Möglichkeit, Sicherheitsprotokolle und Warnungen über Azure-Dienste zu senden.
Ressourcen Erfassen und Interpretieren von Fehlerdaten: Azure Sphere
Konfigurieren von Absturzabbildern: Azure Sphere


Name SecuredCore.Manageability.Configuration
Status Erforderlich
Beschreibung Das Gerät muss die Überwachung und Festlegung der Systemkonfiguration (und bestimmte Verwaltungsaktionen) über Azure unterstützen.
Zweck Ermöglicht die Anwendung von Sicherheitsbaselines als Teil eines standardmäßig sicheren Konfigurationsstatus, wodurch das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen verringert wird.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch sichere Konfigurationsmanifeste für Kundenanwendungen, die von einem von Microsoft verwalteten und gehärteten Betriebssystem unterstützt werden.


Name SecuredCore.Update
Status Erforderlich
Beschreibung Das Gerät muss in der Lage sein, Updates zu empfangen und seine Firmware und Software zu aktualisieren.
Zweck Ermöglicht kontinuierliche Sicherheit und erneuerbare Vertrauensstellungen.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch ein von Microsoft verwaltetes und automatisch aktualisiertes Betriebssystem, wobei Updates für Kundenanwendungen remote über den Azure Sphere-Sicherheitsdienst (AS3) bereitgestellt werden.


Name SecuredCore.Protection.Baselines
Status Erforderlich
Beschreibung Das System kann erfolgreich eine Baseline-Sicherheitskonfiguration anwenden.
Zweck Stellt einen standardmäßig sicheren Konfigurationsstatus sicher und verringert das Risiko einer Kompromittierung durch falsch konfigurierte sicherheitsrelevante Einstellungen.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch ein von Microsoft verwaltetes und gehärtetes Betriebssystem.


Name SecuredCore.Protection.UpdateResiliency
Status Erforderlich
Beschreibung Der letzte bekannte fehlerfreie Zustand des Geräts muss wiederhergestellt werden können, wenn ein Update Probleme verursacht.
Zweck Stellt sicher, dass Geräte auf einen funktionsfähigen, sicheren und aktualisierbaren Zustand zurückgesetzt werden können.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung durch einen integrierten Rollbackmechanismus für Updates.


Name SecuredCore.Protection.SignedUpdates
Status Erforderlich
Beschreibung Updates für das Betriebssystem, Treiber, Anwendungssoftware, Bibliotheken, Pakete und Firmware müssen signiert sein.
Zweck Verhindert die Installation von nicht autorisiertem oder schädlichem Code während des Updateprozesses.
Abhängigkeiten Azure Sphere erfüllt diese Anforderung.

Azure Sphere: Richtlinienanforderungen


Name SecuredCore.Policy.Protection.Debug
Status Erforderlich
Beschreibung Die Debugfunktion auf dem Gerät muss deaktiviert sein oder zum Aktivieren eine Autorisierung erfordern.
Zweck Stellt sicher, dass die Software- und Hardwareschutzmaßnahmen nicht durch Debuggerinteraktionen und Rückkanäle umgangen werden können.
Abhängigkeiten Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da die Debugfunktion eine signierte Funktion erfordert, die nur für den Besitzer des OEM-Geräts (Original Equipment Manufacturer) bereitgestellt wird.


Name SecuredCore.Policy.Manageability.Reset
Status Erforderlich
Beschreibung Es muss möglich sein, das Gerät zurückzusetzen (Benutzerdaten entfernen, Benutzerkonfigurationen entfernen).
Zweck Schützt vor der Exfiltration vertraulicher oder privater Daten während des Gerätebesitzes oder Lebenszyklusübergängen.
Abhängigkeiten Das Azure Sphere-Betriebssystem ermöglicht OEM-Anwendungen die Implementierung einer Funktion zum Zurücksetzen.


Name SecuredCore.Policy.Updates.Duration
Status Erforderlich
Beschreibung Softwareupdates müssen für mindestens 60 Monate ab dem Übermittlungsdatum bereitgestellt werden.
Zweck Stellt einen Mindestzeitraum kontinuierlicher Sicherheit sicher.
Abhängigkeiten Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da Microsoft Sicherheitsupdates für das Betriebssystem bereitstellt und der AS3-Dienst es OEMs ermöglicht, Anwendungssoftwareupdates bereitzustellen.


Name SecuredCore.Policy.Vuln.Disclosure
Status Erforderlich
Beschreibung Ein Mechanismus zum Sammeln und Verteilen von Berichten über Sicherheitsrisiken im Produkt muss verfügbar sein.
Zweck Stellt einen eindeutigen Pfad für erkannte Sicherheitsrisiken bereit, die gemeldet, bewertet und offengelegt werden müssen, um ein effektives Risikomanagement und zeitnahe Korrekturen zu ermöglichen.
Abhängigkeiten Sicherheitsrisiken im Azure Sphere-Betriebssystem können dem Microsoft Security Response Center (MSRC) gemeldet werden und werden über die Azure Sphere-Seite „Neuigkeiten“ sowie die CVE-Datenbank (Common Vulnerabilities and Exposures, allgemeine Sicherheitsrisiken und Schwachstellen) von Mitre veröffentlicht.
Ressourcen


Name SecuredCore.Policy.Vuln.Fixes
Status Erforderlich
Beschreibung Sicherheitsrisiken, die mit Common Vulnerability Scoring System (CVSS) 3.0 als hoch/kritisch eingestuft werden, müssen innerhalb von 180 Tagen nach Verfügbarkeit der Korrektur behoben werden.
Zweck Stellt sicher, dass Sicherheitsrisiken mit erheblichen Auswirkungen zeitnah behoben werden, wodurch die Wahrscheinlichkeit und die Auswirkung eines erfolgreichen Exploits verringert werden.
Abhängigkeiten Das Azure Sphere-Betriebssystem erfüllt diese Anforderung, da Microsoft Sicherheitsupdates für das Betriebssystem bereitstellt, die den obigen Anforderungen entsprechen. Der AS3-Dienst ermöglicht es OEMs, Anwendungssoftwareupdates bereitzustellen, die diese Anforderung erfüllen.