Partager via


Informatique confidentielle à la périphérie

S’applique à : Coche IoT Edge 1.5 IoT Edge 1.5 Coche IoT Edge 1.4 IoT Edge 1.4

Important

IoT Edge 1.5 LTS et IoT Edge 1.4 LTS sont des versions prises en charge. IoT Edge 1.4 LTS sera en fin de vie le 12 novembre 2024. Si vous utilisez une version antérieure, consultez l’article Mettre à jour IoT Edge.

Azure IoT Edge prend en charge les applications confidentielles exécutées dans des enclaves sécurisées sur l’appareil. Le chiffrement assure la sécurité des données en transit ou au repos, tandis que les enclaves assurent la sécurité des données et des charges de travail en cours d'utilisation. IoT Edge prend en charge Open Enclave en tant que norme pour le développement d’applications confidentielles.

La sécurité est un élément important de l’Internet des objets (IoT), car souvent les appareils IoT sont souvent hors du monde plutôt que sécurisés à l’intérieur d’une installation privée. Exposés, les appareils peuvent faire l'objet de tentatives d'altération et de falsification car ils sont physiquement accessibles à des personnes malveillantes. En termes d'approbation et d'intégrité, les besoins des appareils IoT Edge sont d'autant plus importants qu'ils permettent d'exécuter des charges de travail sensibles à la périphérie. Contrairement aux capteurs et aux mécanismes de positionnement courants, ces appareils de périphérie intelligente exposent potentiellement des charges de travail sensibles qui étaient auparavant exécutées dans des environnements cloud ou locaux protégés.

Le Gestionnaire de sécurité IoT Edge répond à une partie du défi posé par l'informatique confidentielle. Le gestionnaire de sécurité utilise un module de sécurité matériel (HSM) pour protéger les charges de travail liées à l'identité et les processus en cours d'un appareil IoT Edge.

La protection des données utilisées à la périphérie est un autre aspect de l'informatique confidentielle. Un environnement d'exécution approuvé (TEE) est un environnement sécurisé et isolé sur un processeur ; c'est ce qu'on appelle parfois une enclave. Une application confidentielle est une application qui s’exécute dans une enclave. Compte tenu de la nature des enclaves, les applications confidentielles sont protégées des autres applications s’exécutant sur le processeur principal ou dans le TEE.

Applications confidentielles sur IoT Edge

Les applications confidentielles sont chiffrées en transit et au repos, et ne sont déchiffrées que pour s’exécuter dans un environnement d’exécution approuvé. Cette norme s’applique aux applications confidentielles déployées en tant que modules IoT Edge.

Le développeur crée l’application confidentielle et l’empaquète en tant que module IoT Edge. L'application est chiffrée avant d'être envoyée (push) au registre de conteneurs. L'application reste chiffrée tout au long du processus de déploiement IoT Edge jusqu'à ce que le module soit démarré sur l'appareil IoT Edge. Une fois l’application confidentielle dans le TEE de l’appareil, elle est déchiffrée et son exécution peut débuter.

Diagramme montrant les applications confidentielles sont chiffrées dans les modules IoT Edge jusqu’à ce qu’elles soient déployées dans l’enclave sécurisée.

Les applications confidentielles sur IoT Edge sont une extension logique de l’informatique confidentielle Azure. Les charges de travail exécutées dans des enclaves sécurisées du cloud peuvent également être déployées pour être exécutées dans des enclaves sécurisées à la périphérie.

Open Enclave

Le kit de développement logiciel (SDK) Open enclave est un projet open source qui permet aux développeurs de créer des applications confidentielles pour plusieurs environnements et plateformes. Le kit de développement logiciel (SDK) Open Enclave fonctionne dans l'environnement d'exécution approuvé d'un appareil, tandis que l'API Open Enclave sert d'interface entre le l'environnement TEE et l'environnement de traitement non TEE.

Open Enclave prend en charge différentes plateformes matérielles. La prise en charge des enclaves par IoT Edge requiert actuellement le système d'exploitation Open Portable TEE (OP-TEE OS). Pour en savoir plus, consultez SDK Open Enclave pour OP-TEE OS.

Le référentiel Open Enclave contient également des exemples pour aider les développeurs à démarrer. Pour plus d'informations, choisissez l'un des articles de présentation suivants :

Matériel

Actuellement, la TrustBox de Scalys est le seul appareil pris en charge par les contrats de service du fabricant pour le déploiement d’applications confidentielles en tant que modules IoT Edge. TrustBox est basé sur les appareils TrustBox Edge et TrustBox EdgeXL, tous deux préchargés avec le Kit de développement logiciel (SDK) Open Enclave et Azure IoT Edge.

Pour plus d'informations, consultez Prise en main d'Open Enclave pour la TrustBox de Scalys.

Développer et déployer

Lorsque vous êtes prêt à développer et à déployer votre application confidentielle, l’extension Microsoft Open Enclave pour Visual Studio Code peut vous aider. Vous pouvez utiliser un ordinateur de développement Linux ou Windows afin de développer des modules pour la TrustBox.

Étapes suivantes

Apprenez à développer des applications confidentielles sous forme de modules IoT Edge avec l’extension Open Enclave pour Visual Studio Code.