Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a:
IoT Edge 1.5
Importante
IoT Edge 1.5 LTS es la versión compatible. IoT Edge 1.4 LTS finaliza su ciclo de vida el 12 de noviembre de 2024. Si está usando una versión anterior, consulte Actualización de IoT Edge.
El administrador de seguridad de Azure IoT Edge es un núcleo de seguridad bien limitado que protege el dispositivo IoT Edge y sus componentes mediante la abstracción de hardware de silicio seguro. El administrador de seguridad se centra en el fortalecimiento de la seguridad y proporciona un punto de integración tecnológica a los fabricantes de equipos originales (OEM).
El administrador de seguridad abstrae hardware de silicio seguro en un dispositivo IoT Edge y proporciona un marco de extensibilidad para servicios de seguridad adicionales.
El administrador de seguridad de IoT Edge defiende la integridad del dispositivo IoT Edge y sus operaciones de software. El administrador de seguridad transiciona la confianza desde la raíz de confianza de hardware subyacente (si está disponible) para arrancar en el entorno de ejecución de IoT Edge y supervisar la integridad de sus operaciones. El administrador de seguridad de IoT Edge funciona con hardware de silicio seguro (siempre que esté disponible) para ofrecer las mayores garantías de seguridad posibles.
El administrador de seguridad de IoT Edge también proporciona un marco seguro para las extensiones de servicio de seguridad a través de módulos de nivel de host. Estos servicios incluyen la supervisión y las actualizaciones de seguridad que requieren agentes dentro del dispositivo con acceso con privilegios a algunos componentes del dispositivo. El marco de extensibilidad garantiza que estas integraciones siempre mantengan la seguridad general del sistema.
El administrador de seguridad de IoT Edge es responsable de tareas como:
- Configurar el dispositivo Azure IoT Edge
- Control del acceso en la raíz de confianza de hardware de dispositivo a través de servicios notariales.
- Supervisión de la integridad de las operaciones de IoT Edge en tiempo de ejecución
- Aprovisionamiento de la identidad del dispositivo y administración de la transición de confianza cuando sea necesario
- Asegúrese de que los agentes cliente para servicios como Device Update para IoT Hub y Microsoft Defender para IoT se ejecuten de forma segura.
El administrador de seguridad de IoT Edge tiene tres componentes:
- Entorno de ejecución del módulo IoT Edge
- Abstracciones del módulo de seguridad de hardware (HSM) a través de implementaciones estándar como PKCS#11 y Módulo de plataforma segura (TPM)
- Raíz de confianza en silicio de hardware o HSM (opcional, pero altamente recomendado)
Cambios en la versión 1.2 y posteriores
En las versiones 1.0 y 1.1 de IoT Edge, un componente denominado demonio de seguridad administra las operaciones de seguridad lógicas del administrador de seguridad. En la versión 1.2, varias responsabilidades clave se mueven al subsistema de seguridad de Azure IoT Identity Service . Después de que estas tareas de seguridad se desplacen del demonio de seguridad, su nombre no se ajusta a su rol. Para reflejar mejor lo que hace este componente en la versión 1.2 y posteriores, se cambia el nombre al entorno de ejecución del módulo.
Entorno de ejecución del módulo de IoT Edge.
El entorno de ejecución del módulo de IoT Edge delega la confianza del subsistema de seguridad del servicio de identidad de Azure IoT para proteger el entorno de ejecución del contenedor de IoT Edge. Un servicio, ahora delegado a Azure IoT Identity Service, es el servicio automatizado de inscripción y renovación de certificados mediante un servidor de EST. Para ver cómo funciona y crear un servidor de EST de ejemplo hecho para un dispositivo IoT Edge, pruebe el tutorial Configuración de la inscripción a través del servidor de transporte seguro para Azure IoT Edge.
El entorno de ejecución del módulo es el responsable de las operaciones lógicas de seguridad del administrador de seguridad. Representa una porción importante de la base informática de confianza del dispositivo IoT Edge. El entorno de ejecución del módulo usa servicios de seguridad del servicio de identidad de IoT, que a su vez está protegido por la elección del módulo de seguridad de hardware (HSM) del fabricante del dispositivo. Se recomienda encarecidamente el uso de HSM para la protección de dispositivos.
Principios de diseño
IoT Edge sigue dos principios básicos: maximizar la integridad operativa y minimizar el sobredimensionamiento y la renovación.
Maximización de la integridad de las operaciones
El entorno de ejecución del módulo de IoT Edge funciona con la mayor integridad posible dentro de la funcionalidad de defensa de cualquier hardware de raíz de confianza determinado. Con una integración correcta, el hardware de raíz de confianza mide y supervisa el demonio de seguridad de manera estática y en el entorno de ejecución para resistir manipulaciones.
El acceso físico malintencionado a los dispositivos siempre es una amenaza en IoT. La raíz de confianza de hardware juega un papel importante en la defensa de la integridad del dispositivo IoT Edge. La raíz de confianza de hardware tiene dos variantes:
- Elementos seguros para la protección de información confidencial, como secretos y claves criptográficas.
- Enclaves seguros para la protección de secretos, como claves, y cargas de trabajo confidenciales, como modelos de aprendizaje automático confidenciales y operaciones de medición.
Existen dos tipos de entornos de ejecución para usar la raíz de confianza del hardware:
- El entorno de ejecución estándar o enriquecido (REE) que se basa en el uso de elementos seguros para proteger información confidencial.
- El entorno de ejecución de confianza (TEE) que se basa en el uso de la tecnología de enclave seguro para proteger información confidencial y ofrecer protección para la ejecución de software.
En el caso de los dispositivos que usan los enclaves seguros como raíz de confianza de hardware, la lógica confidencial dentro del entorno de ejecución del módulo de IoT Edge debe encontrarse dentro del enclave. Las partes no confidenciales del entorno de ejecución del módulo pueden estar fuera de TEE. En cualquier caso, se recomienda encarecidamente que los original design manufacturers (ODM) y los fabricantes de equipos originales (OEM) amplíen la confianza desde su HSM para medir y defender la integridad del entorno de ejecución del módulo de IoT Edge en el arranque y en el entorno de ejecución.
Minimización del sobredimensionamiento y la renovación
Otro principio básico para el entorno de ejecución del módulo de IoT Edge es minimizar la renovación. Para obtener el máximo nivel de confianza, el entorno de ejecución del módulo de IoT Edge puede acoplarse estrechamente con la raíz de confianza de hardware de dispositivo y funcionar como código nativo. En estos casos, es habitual actualizar el software de IoT Edge a través de las rutas de actualización seguras de la raíz de confianza del hardware en lugar de los mecanismos de actualización del sistema operativo, lo que puede ser complicado. La renovación de seguridad es una recomendación para los dispositivos IoT, pero los requisitos excesivos de actualización o las cargas de actualizaciones de gran tamaño pueden expandir de muchas maneras la superficie expuesta a amenazas. Por ejemplo, puede verse tentado a omitir algunas actualizaciones para maximizar la disponibilidad del dispositivo. Por tanto, el diseño del entorno de ejecución del módulo de IoT Edge es conciso para que la base informática de confianza bien aislada no crezca con el fin de incentivar las actualizaciones frecuentes.
Arquitectura
El entorno de ejecución del módulo de IoT Edge aprovecha las ventajas de cualquier tecnología de raíz de confianza de hardware disponible para fortalecer la seguridad. También permite la operación de división global entre un entorno de ejecución estándar o enriquecido (REE) y un entorno de ejecución de confianza (TEE) cuando las tecnologías de hardware ofrecen los entornos de ejecución de confianza. Las interfaces específicas de rol habilitan los componentes importantes de IoT Edge para garantizar la integridad del dispositivo IoT Edge y sus operaciones.
Interfaz de la nube
La interfaz en la nube permite el acceso a servicios en la nube que complementan la seguridad de los dispositivos. Por ejemplo, esta interfaz permite el acceso al servicio de aprovisionamiento de dispositivos para la administración del ciclo de vida de la identidad del dispositivo.
API de administración
El agente de IoT Edge llama a la API de administración en el momento de crear, iniciar, detener o eliminar un módulo de IoT Edge. El entorno de ejecución del módulo almacena "registros" para todos los módulos activos. Estos registros asignan la identidad de un módulo a algunas propiedades del módulo. Por ejemplo, estas propiedades del módulo incluyen el identificador de proceso (pid) del proceso que se ejecuta en el contenedor y el hash del contenido del contenedor de Docker.
La API de carga de trabajo usa estas propiedades para comprobar que el autor de la llamada está autorizado para una acción.
La API de administración es una API con privilegios, a la que solo se puede llamar desde el agente de IoT Edge. Como el entorno de ejecución del módulo de IoT Edge arranca e inicia el agente de IoT Edge, comprueba que el agente de IoT Edge no se ha alterado y entonces puede crear un registro implícito para él. El mismo proceso de atestación que usa la API de carga de trabajo restringe también el acceso a la API de administración solo para el agente de IoT Edge.
API de contenedor
La API de contenedor interactúa con el sistema de contenedor en uso para la administración de módulos, como Moby o Docker.
API de carga de trabajo
La API de carga de trabajo es accesible para todos los módulos. Proporciona una prueba de identidad, en forma de un certificado X509 o token firmado liberado de HSM, y la agrupación de confianza correspondiente a un módulo. La agrupación de confianza contiene certificados de entidad de certificación para todos los demás servidores en que deben confiar los módulos.
El entorno de ejecución del módulo de IoT Edge usa un proceso de atestación para proteger esta API. Cuando un módulo llama a esta API, el entorno de ejecución del módulo intenta encontrar un registro para la identidad. Si eso se completa correctamente, usa las propiedades del registro para medir el módulo. Si el resultado del proceso de medición coincide con el registro, se genera una nueva prueba de identidad. Los certificados de entidad de certificación correspondientes (agrupación de confianza) se devuelven al módulo. El módulo usa este certificado para conectarse a IoT Hub, otros módulos, o iniciar un servidor. Cuando el certificado o un token firmado se acerca a la expiración, es responsabilidad del módulo solicitar un certificado nuevo.
Integración y mantenimiento
Microsoft mantiene la base de código principal para el entorno de ejecución del módulo de IoT Edge y el servicio de identidad de Azure IoT en GitHub.
Al leer el código base de IoT Edge, recuerde que el entorno de ejecución del módulo evolucionó a partir del demonio de seguridad. El código base todavía puede contener referencias al demonio de seguridad.
Instalación y actualizaciones
La instalación y las actualizaciones del entorno de ejecución del módulo de IoT Edge se administra a través del sistema de administración de paquetes del sistema operativo. Los dispositivos IoT Edge con raíz de confianza de hardware deben proporcionar una protección adicional a la integridad del entorno de ejecución del módulo a través de la administración de su ciclo de vida mediante los sistemas de administración de actualizaciones y el arranque seguro. Los fabricantes de dispositivos deben explorar estas vías en función de sus respectivas funcionalidades del dispositivo.
Control de versiones
El entorno de ejecución de IoT Edge supervisa la versión del entorno de ejecución del módulo de IoT Edge y la notifica. La versión se notifica como el atributo runtime.platform.version de la propiedad notificada del módulo del agente de IoT Edge.
Módulo de seguridad de hardware
El administrador de seguridad de IoT Edge utiliza el Módulo de Plataforma Confiable y los estándares de interfaz PKCS#11 para integrar módulos de seguridad de hardware (HSM). Estos estándares permiten integrar casi cualquier HSM, incluidos los de interfaces propietarias. Use HSM para reforzar la seguridad.
Hardware de raíz de confianza de silicio seguro
Los anclajes seguros de silicio fomentan la confianza en el hardware de los dispositivos IoT Edge. Secure Silicon incluye módulo de plataforma segura (TPM), elemento seguro incrustado (eSE), Arm TrustZone, Intel SGX y tecnologías de silicio seguras personalizadas. El uso de una raíz de confianza de silicio segura en los dispositivos es importante debido a las amenazas asociadas con el acceso físico a los dispositivos IoT.
El administrador de seguridad de IoT Edge identifica y aísla los componentes que protegen la seguridad e integridad de la plataforma De Azure IoT Edge para la protección personalizada. Los creadores de dispositivos y otros terceros pueden usar características de seguridad personalizadas disponibles con su hardware de dispositivo.
Aprenda a proteger el administrador de seguridad de Azure IoT con el módulo de plataforma segura (TPM) mediante el uso de TPM virtuales o de software:
Cree y aprovisione un dispositivo IoT Edge con un TPM virtual en Linux o Linux en Windows.
Pasos siguientes
Obtenga más información sobre cómo proteger los dispositivos IoT Edge en estas entradas de blog: