Compartir a través de

Administrador de seguridad de IoT Edge

  • Artículo

Se aplica a: icono IoT Edge 1.1

Importante

IoT Edge 1.1: la fecha de finalización del soporte técnico fue el 13 de diciembre de 2022. Consulte la página del ciclo de vida de productos de Microsoft para obtener información sobre cómo se admite este producto, servicio, tecnología o API. Para más información sobre cómo actualizar a la versión más reciente de IoT Edge, consulte Actualización de IoT Edge.

El Administrador de seguridad de Azure IoT Edge es un núcleo de seguridad bien delimitado para proteger el dispositivo IoT Edge y todos sus componentes mediante la abstracción de hardware de silicio seguro. El responsable de seguridad es el punto focal para fortalecer la seguridad y proporciona a los fabricantes de equipos originales (OEM) el punto de integración de la tecnología.

El administrador de seguridad abstrae el hardware de silicio seguro en un dispositivo IoT Edge.

Administrador de seguridad de IoT Edge El administrador de seguridad de IoT Edge tiene como objetivo defender la integridad del dispositivo IoT Edge y todas las operaciones de software inherentes. El administrador de seguridad transiciona la confianza desde la raíz de confianza de hardware subyacente (si está disponible) para arrancar en el entorno de ejecución de IoT Edge y supervisar la integridad de sus operaciones. El administrador de seguridad de IoT Edge es software que funciona junto con el hardware de silicio seguro (donde esté disponible) para ayudar a entregar las garantías de seguridad más altas posible.

Las responsabilidades del administrador de seguridad de IoT Edge incluyen, entre otras:

  • Arranque del dispositivo Azure IoT Edge.
  • Control del acceso en la raíz de confianza de hardware de dispositivo a través de servicios notariales.
  • Supervisión de la integridad de las operaciones de IoT Edge en el entorno de ejecución.
  • Recepción de la delegación de confianza del módulo de seguridad de hardware (HSM).
  • Aprovisionamiento de la identidad del dispositivo y administración de la transición de confianza cuando corresponda.
  • Hospedaje y protección de los componentes del dispositivo de servicios en la nube como servicio Device Provisioning.
  • Aprovisionamiento de los módulos de IoT Edge con identidades únicas.

El administrador de seguridad de IoT Edge consta de tres componentes:

  • El demonio de seguridad de IoT Edge
  • Capa de abstracción de plataforma del módulo de seguridad de hardware (HSM PAL).
  • HSM o raíz de confianza de silicio de hardware (opcional, pero altamente recomendado).

El demonio de seguridad de IoT Edge

El demonio de seguridad de IoT Edge es el responsable de las operaciones lógicas de seguridad del administrador de seguridad. Representa una porción importante de la base informática de confianza del dispositivo IoT Edge.

Principios de diseño

IoT Edge sigue dos principios básicos: maximizar la integridad operativa y minimizar el sobredimensionamiento y la renovación.

Maximización de la integridad de las operaciones

El demonio de seguridad de IoT Edge funciona con la mayor integridad posible dentro de la funcionalidad de defensa de cualquier hardware de raíz de confianza determinado. Con una integración correcta, el hardware de raíz de confianza mide y supervisa el demonio de seguridad de manera estática y en el entorno de ejecución para resistir manipulaciones. El acceso físico malintencionado a los dispositivos siempre es una amenaza en IoT. La raíz de confianza de hardware juega un papel importante en la defensa de la integridad del dispositivo IoT Edge. La raíz de confianza de hardware tiene dos variantes:

  • Elementos seguros para la protección de información confidencial, como secretos y claves criptográficas.
  • Enclaves seguros para la protección de secretos, como claves, y cargas de trabajo confidenciales, como modelos de aprendizaje automático confidenciales y operaciones de medición.

Existen dos tipos de entornos de ejecución para usar la raíz de confianza del hardware:

  • El entorno de ejecución estándar o enriquecido (REE) que se basa en el uso de elementos seguros para proteger información confidencial.
  • El entorno de ejecución de confianza (TEE) que se basa en el uso de la tecnología de enclave seguro para proteger información confidencial y ofrecer protección para la ejecución de software.

En el caso de los dispositivos que usan los enclaves seguros como raíz de confianza de hardware, la lógica confidencial dentro del demonio de seguridad de IoT Edge debe encontrarse dentro del enclave. Las partes no confidenciales del demonio de seguridad pueden estar fuera del entorno de ejecución de confianza. En cualquier caso, se recomienda encarecidamente que los original design manufacturers (ODM) y los fabricantes de equipos originales (OEM) amplíen la confianza desde su HSM para medir y defender la integridad del demonio de seguridad de IoT Edge en el arranque y en el entorno de ejecución.

Minimización del sobredimensionamiento y la renovación

Otro principio básico para el demonio de seguridad de IoT Edge es minimizar la renovación. Para obtener el máximo nivel de confianza, el demonio de seguridad de IoT Edge puede acoplarse estrechamente con la raíz de confianza de hardware de dispositivo y funcionar como código nativo. En estos casos, es habitual actualizar el software de IoT Edge a través de las rutas de actualización seguras de la raíz de confianza del hardware en lugar de los mecanismos de actualización del sistema operativo, lo que puede ser complicado. La renovación de seguridad es una recomendación para los dispositivos IoT, pero los requisitos excesivos de actualización o las cargas de actualizaciones de gran tamaño pueden expandir de muchas maneras la superficie expuesta a amenazas. Por ejemplo, puede verse tentado a omitir algunas actualizaciones para maximizar la disponibilidad del dispositivo. Por tanto, el diseño del demonio de seguridad de IoT Edge es conciso para que la base informática de confianza bien aislada no crezca con el fin de incentivar las actualizaciones frecuentes.

Arquitectura

El demonio de seguridad de IoT Edge aprovecha las ventajas de cualquier tecnología de raíz de confianza de hardware disponible para fortalecer la seguridad. También permite la operación de división global entre un entorno de ejecución estándar o enriquecido (REE) y un entorno de ejecución de confianza (TEE) cuando las tecnologías de hardware ofrecen los entornos de ejecución de confianza. Las interfaces específicas de rol habilitan los componentes importantes de IoT Edge para garantizar la integridad del dispositivo IoT Edge y sus operaciones.

Arquitectura del demonio de seguridad de Azure IoT Edge

Interfaz de la nube

La interfaz en la nube permite el acceso a servicios en la nube que complementan la seguridad de los dispositivos. Por ejemplo, esta interfaz permite el acceso al servicio de aprovisionamiento de dispositivos para la administración del ciclo de vida de la identidad del dispositivo.

API de administración

El agente de IoT Edge llama a la API de administración en el momento de crear, iniciar, detener o eliminar un módulo de IoT Edge. El demonio de seguridad almacena "registros" para todos los módulos activos. Estos registros asignan la identidad de un módulo a algunas propiedades del módulo. Por ejemplo, estas propiedades del módulo incluyen el identificador de proceso (pid) del proceso que se ejecuta en el contenedor y el hash del contenido del contenedor de Docker.

La API de carga de trabajo (que se describe a continuación) usa estas propiedades para comprobar que el autor de llamada está autorizado para hacer una acción.

La API de administración es una API con privilegios, a la que solo se puede llamar desde el agente de IoT Edge. Como el demonio de seguridad de IoT Edge arranca e inicia al agente de IoT Edge, comprueba que el agente de IoT Edge no se ha alterado y entonces puede crear un registro implícito para él. El mismo proceso de atestación que usa la API de carga de trabajo restringe también el acceso a la API de administración solo para el agente de IoT Edge.

API de contenedor

La API de contenedor interactúa con el sistema de contenedor en uso para la administración de módulos, como Moby o Docker.

API de carga de trabajo

La API de carga de trabajo es accesible para todos los módulos. Proporciona una prueba de identidad, en forma de un certificado X509 o token firmado liberado de HSM, y la agrupación de confianza correspondiente a un módulo. La agrupación de confianza contiene certificados de entidad de certificación para todos los demás servidores en que deben confiar los módulos.

El demonio de seguridad de IoT Edge usa un proceso de atestación para proteger esta API. Cuando un módulo llama a esta API, el demonio de seguridad intenta encontrar un registro para la identidad. Si eso se completa correctamente, usa las propiedades del registro para medir el módulo. Si el resultado del proceso de medición coincide con el registro, se genera una nueva prueba de identidad. Los certificados de entidad de certificación correspondientes (agrupación de confianza) se devuelven al módulo. El módulo usa este certificado para conectarse a IoT Hub, otros módulos, o iniciar un servidor. Cuando el certificado o un token firmado se acerca a la expiración, es responsabilidad del módulo solicitar un certificado nuevo.

Integración y mantenimiento

Microsoft mantiene el código base principal para el demonio de seguridad de IoT Edge en GitHub.

Instalación y actualizaciones

La instalación y las actualizaciones del demonio de seguridad de IoT Edge se administra a través del sistema de administración de paquetes del sistema operativo. Los dispositivos IoT Edge con raíz de confianza de hardware deben proporcionar una protección adicional a la integridad del demonio a través de la administración de su ciclo de vida mediante los sistemas de administración de actualizaciones y el arranque seguro. Los fabricantes de dispositivos deben explorar estas vías en función de sus respectivas funcionalidades del dispositivo.

Control de versiones

El entorno de ejecución de IoT Edge hace el seguimiento de la versión del demonio de seguridad de IoT Edge y la notifica. La versión se notifica como el atributo runtime.platform.version de la propiedad notificada del módulo del agente de IoT Edge.

Módulo de seguridad de hardware

La capa de abstracción de la plataforma del módulo de seguridad de hardware (HSM PAL) abstrae todo el hardware de raíz de confianza para aislar al desarrollador o usuario de IoT Edge de sus complejidades. Incluye una combinación de la interfaz de programación de aplicaciones (API) y procedimientos de comunicaciones entre dominios, por ejemplo, la comunicación entre un entorno de ejecución estándar y un enclave seguro. La implementación real de HSM PAL depende del hardware seguro específico que esté en uso. Su existencia permite el uso de prácticamente cualquier hardware de silicio seguro.

Hardware de raíz de confianza de silicio seguro

El silicio seguro es necesario para delimitar la confianza dentro del hardware del dispositivo IoT Edge. El silicio seguro viene en una gran variedad de formas que incluyen Módulo de plataforma segura (TPM), Elemento seguro integrado (eSE), Arm TrustZone, Intel SGX y tecnologías de silicio seguro. Se recomienda usar la raíz de confianza de silicio seguro en dispositivos, dadas las amenazas asociadas con la accesibilidad física de los dispositivos IoT.

El objetivo del administrador de seguridad de IoT Edge es identificar y aislar los componentes que se encargan de defender la seguridad y la integridad de la plataforma de Azure IoT Edge para el sistema de protección personalizado. Los terceros (como fabricantes de dispositivos) deben usar las características de seguridad personalizadas disponibles con su hardware de dispositivo.

Aprenda a proteger el administrador de seguridad de Azure IoT con el Módulo de plataforma segura (TPM) mediante TPM virtuales o de software:

Cree y aprovisione un dispositivo IoT Edge con un TPM virtual en Linux o Linux en Windows.

Pasos siguientes

Para obtener más información sobre la protección de dispositivos IoT Edge, lea las siguientes entradas de blog: